La comunità dei ricercatori in sicurezza informatica ha prodotto un lavoro “dal basso” di valore inestimabile: una lista delle vulnerabilità usate dalle ransomware gangs come teste di ponte per attaccare un sistema informatico.
Tutto è partito con una “chiamata alle armi” su Twitter di Allan Liska, un membro del Recorded Future’s CSIRT (computer security incident response team). A partire da questa, molti altri ricercatori si sono uniti alla nobile iniziativa: stilare una lista delle vulnerabilità usate negli attacchi più recenti, così come nelle serie storiche, da parte dei diversi gruppi di estorsori cibernetici.
Le principali campagne di ransomware del 2021
Nel 2021 abbiamo assistito ad un moltiplicarsi degli exploits usati dalle diverse gang per attaccare le varie vulnerabilità riportate. Ad esempio, bleeping computer a riguardo riporta un panorama desolante: in questa settimana i membri di un gruppo di ransomware-as-a-service hanno sfruttato la possibilità di Remote Code Execution (RCE) offerta dalla vulnerabilità MSHTML di MS Windows CVE-2021-40444, per la quale è stato rilasciato un aggiornamento di recente.
A settembre la consorteria Conti ha usato MS Exchange per entrare nei sistemi, nella fattispecie alcuni ProxyShell vulnerability exploits (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).
In Agosto i tipi di LockFile hanno iniziato a usare il PetitPotam NTLM relay attack method (CVE-2021-36942) per prendere il controllo dei domini Windows in tutto il mondo, Magniber ha sfruttato la vulnerabilità PrintNightmare (CVE-2021-34527), i malandrini di eCh0raix nel frattempo sfruttavano CVE-2021-28799 per prendere il controllo dei NAS delle due marche più famose: QNAP e Synology.
A Luglio il ransomware HelloKitty ha infettato i dispositivi SonicWall vulnerabili (CVE-2019-7481), mentre REvil si è fatto strada nella rete del gigante dell’IT Kaseya, sfruttando le vulnerabilità CVE-2021-30116, CVE-2021-30119, e CVE-2021-30120, andando ad affliggere più di 1500 loro clienti.
I tipi di FiveHands hanno sfruttato la CVE-2021-20016 per prendere controllo dei dispositivi di SonicWall prima che fosse disponibile una patch a fine Febbraio 2021, come si apprende dal rapporto di Mandiant pubblicato a Giugno.
In Aprile invece QNAP ha segnalato due minacce: i suoi prodotti venivano attaccati sia dal ransomware AgeLocker che da Qlocker, quest ultimo svruttava la vulnerabilità CVE-2021-28799, che riguardava credenziali “hard coded”, poi sottoposta a patch.
Sempre in Aprile, l’FBI e il CISA diramavano un bollettino di allarme riguardo il ransomware Cring che cercava dispositivi legati alla VPN Fortinet, usati nel settore industriale, vulnerabili a CVE-2018-13379.
Nel mese di Marzo, tanto per non farci mancar nulla i server Microsoft Exchange sono stati attaccati dai ransomware Black Kingdom e DearCry. Ambedue le operazioni sono da ascrivere ad una violenta ondata di attacchi contr sistemi non aggiornati che presentavano le vulnerabilità ProxyLogon CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065.
E, tanto per chiudere in bellezza questa carrellata sul 2021, come non menzionare gli attacchi di Clop contro i server Accelion non patchati, che presentavano ancora le vulnerabilità CVE-2021-27101, CVE-2021-27102, CVE-2021-27103 e CVE-2021-27104, che si è tenuta da metà Dicembre 2020 a Gennaio 2021.
Come difendersi da questa minaccia?
Il lodevole lavoro di Liska – e di quella parte della comunità che ha contribuito – è parte di uno sforzo globale da parte dei ricercatori, delle aziende e dei governi contro questa terribile forma di crimine informatico.
Il mese scorso il CISA statunitense ha raccolto intorno a sé aziende del calibro di Microsoft, Google Cloud, Amazon Web Services, AT&T, Crowdstrike, FireEye Mandiant, Lumen, Palo Alto Networks e Verizonaper dar vita alla Joint Cyber Defense Collaborative (JCDC) partnership, che ha la missione di difendere le infrastrutture critiche dai ransomware e dalle altre minacce cyber. La CISA, in Giugno, ha anche pubblicato uno strumento di autovalutazione per le aziende per capire la loro preparazione verso i ransomware e per valutare i loro strumenti di difesa e ripristino delle loro risorse nei campi dell’information technology (IT), operational technology (OT) industrial control system (ICS) assets. Inoltre l’agenzia federale ha divulgato una Ransomware Response Checklist per le aziende vittime d questi crimini, oltre a dare linee guida e pubblicare delle liste di Domande Frequenti sempre aggiornate. Anche l’equivalente kiwi di quest’agenzia, il New Zealand Computer Emergency Response Team (CERT NZ) ha pubblicato di recente le sue linee guida per la protezione dei cespiti aziendali dai ransomware. In questa guida vengono anche messi in evidenza i pathway di attacco e le contromisure per proteggersi o contrastare gli attacchi.
Dalle linee guida NZ è preso il diagramma riportato sopra, che illustra come avvengono questi attacchi e le contromisure difensive. Il diagramma è articolato in tre fasi: i punti d’ingresso, i pathway di espansione e la richiesta di riscatto.
Per la prima fase, i metodi più comuni sono:
- Il “recupero” delle credenziali di accesso (username e password) di un computer aziendale
- L’invio di allegati email infetti
- Lo sfruttamento di vulnerabilità dei sistemi informatici aziendali
Nella seconda fase i malandrini, a partire dal primo computer infettato, cercano di prendere il controllo dell’intera rete.
Una volta che tutto il sistema è compromesso, i bricconi sono pronti per la terza fase: cifratura dei sistemi (con conseguente blocco di tutte le operazioni) e richiesta di riscatto. Spesso i criminali rubano i segreti industriali ed i dati più sensibili di un’organizzazione, cancellano i backup e chiedono quindi un riscatto, spesso minacciando di vendere il maltolto al miglior offerente se non si paga.
I singoli elementi di ciascuna fase sono circondati da cerchi gialli, mentre le connessioni tra i vari elementi sono rappresentati dalle linee blu.
