Proofpoint: è l’accesso iniziale che apre la porta al ransomware

redazione

Gli attacchi ransomware si avvalgono ancora delle email, ma non nel modo in cui si potrebbe pensare. Gli attori di questa minaccia spesso comprano l’accesso da gruppi di criminali informatici indipendenti che, dopo essersi infiltrati in obiettivi importanti, lo cedono in cambio di soldi. Gruppi criminali che possono anche entrare a far parte di una rete affiliata di ransomware dando vita a un ecosistema criminale robusto e lucrativo in cui diversi individui e organizzazioni si specializzano sempre di più per ottenere maggiori profitti per tutti. 

Prevenire il ransomware via email è semplice: basta bloccate il loader e bloccherete il ransomware. 

In genere, i broker di accesso iniziale sono attori opportunisti di minacce, tuttavia, ai fini di questo rapporto, sono i gruppi che ottengono l’accesso iniziale tramite i payload del malware di primo livello e possono o meno lavorare direttamente con gli attori che compromettono le organizzazioni con malware come The Trick, Dridex o Buer Loader e poi vendono l’accesso agli operatori di ransomware per il furto e la crittografia dei dati. Secondo i dati di Proofpoint, i trojan bancari – spesso utilizzati come loader ransomware – hanno rappresentato quasi il 20% del malware osservato nelle campagne identificate nella prima metà del 2021 e sono il tipo di malware più diffuso. L’azienda ha inoltre osservato esempi di ransomware distribuiti tramite SocGholish che utilizza falsi aggiornamenti e reindirizzamenti di siti web per infettare gli utenti, e tramite il sistema di distribuzione del traffico Keitaro (TDS) e i kit di exploit successivi che gli operatori utilizzano per eludere il rilevamento. 

Mappa dell’ecosistema ransomware

Proofpoint attualmente traccia circa una dozzina di attori che con ogni probabilità operano come broker di accesso iniziale, e molte delle campagne via e-mail osservate che distribuiscono loader causano infezioni da ransomware. La conferma della collaborazione tra access broker e attori delle minacce ransomware è difficile perché questo ultimi si adoperano per nascondere la loro identità ed eludere il rilevamento. È possibile che i mediatori di accesso iniziale e gli sviluppatori di backdoor malware collaborino direttamente con – o operino come – attori di minacce specifiche per il ransomware.

Facilitatori di accesso iniziale 

Emotet, malware quanto mai versatile ed efficace, è stato uno dei più prolifici distributori di malware tra il 2018 e il 2020. Tuttavia, nel gennaio 2021 le forze dell’ordine ne hanno spazzato via l’infrastruttura, impedendo ulteriori infezioni. 

Dopo l’eliminazione di Emotet, Proofpoint ha osservato un’attività costante e continua su The Trick, Dridex, Qbot, IcedID, ZLoader, Ursnif e molti altri che l’azienda traccia sotto la famiglia “banking”. Negli ultimi sei mesi, i trojan bancari sono stati associati a più di 16 milioni di messaggi, rappresentando il tipo di malware più comune. 

Inoltre, Proofpoint tiene traccia di downloader come Buer Loader e BazaLoader spesso utilizzati come vettore di accesso iniziale per gli attacchi ransomware. Negli ultimi sei mesi, abbiamo identificato quasi 300 campagne di downloader che hanno distribuito quasi sei milioni di messaggi dannosi.

I nostri ricercatori tracciano gli accessi backdoor pubblicizzati sui forum di hacking da vari attori. A seconda dell’organizzazione compromessa e dei suoi margini di profitto, l’accesso – che può essere pagato con criptovalute – viene venduto da poche centinaia a migliaia di dollari.

Ransomware di prima fase

Proofpoint vede ancora ransomware distribuiti direttamente via e-mail, come allegati o link, anche se a volumi notevolmente inferiori. Nel periodo 2020/2021 abbiamo identificato 54 campagne ransomware che hanno distribuito poco più di un milione di messaggi. 

Di queste, quattro erano basate su Avaddon, per circa un milione di messaggi, a rappresentare il 95% del totale. Nel maggio 2021, l’U.S. Federal Bureau of Investigation ha rilasciato dettagli su un aumento dell’attività di Avaddon, notando che l’accesso iniziale era avvenuto tramite portali di accesso remoto come RDP e VPN. Un cambiamento operativo coerente con quanto osservato da Proofpoint. 

Altri ransomware che sfruttano direttamente l’email come vettore di accesso apparsi nei dati di Proofpoint quest’anno includono Hentai OniChan, BigLock, Thanos, Demonware e Xorist.

Il business criminale si diversifica

Il team di Proofpoint ha analizzato i dati dal 2013 ad oggi per comprendere meglio le tendenze associate al ransomware e alle e-mail come vettore di accesso iniziale e ha osservato che le campagne ransomware distribuite direttamente via e-mail come allegati o link hanno avuto volumi relativamente bassi e costanti prima del 2015, anno in cui gli attori delle minacce hanno iniziato a distribuire ransomware via e-mail con volumi notevolmente più elevati. Gli attori delle minacce inviavano un gran numero di messaggi a singoli indirizzi e-mail contenenti i file dannosi o gli URL che avrebbero infettato la vittima se cliccati o scaricati. Locky, ad esempio, è stato inviato in ben un milione di messaggi al giorno nel 2017 prima che le sue operazioni si fermassero bruscamente. 

Figura 2: Volumi di ransomware come malware di primo livello

I dati di Proofpoint mostrano un calo significativo delle campagne ransomware di primo livello nel 2018. Più fattori hanno contribuito a questo trend, tra cui il miglioramento del rilevamento delle minacce, le attività di crittografia individuale con conseguenti pagamenti limitati, e l’introduzione di minacce wormable e human-operated che avevano capacità esponenzialmente più dirompenti.

Come cacciano gli hacker?

Gli attori delle minacce ransomware attualmente svolgono una “caccia grossa”, conducendo una sorveglianza open-source per identificare organizzazioni ad alto valore, obiettivi suscettibili e la disponibilità delle aziende a pagare un riscatto. Lavorando con i broker di accesso iniziale, gli attori delle minacce ransomware possono sfruttare le backdoor del malware esistente per consentire il movimento laterale e la compromissione completa del dominio prima che la crittografia abbia successo. 

Una catena di attacchi che sfrutta i broker di accesso iniziale potrebbe avere questo aspetto:

1.         Un attore delle minacce invia e-mail contenenti un documento Office dannoso

2.         Un utente scarica il documento e attiva le macro che rilasciano un payload 

3.         L’attore sfrutta l’accesso backdoor per esfiltrare informazioni di sistema

4.         A questo punto, il broker di accesso iniziale può vendere l’accesso a un altro attore 

5.         L’attore distribuisce Cobalt Strike tramite l’accesso backdoor del malware che consente il movimento laterale all’interno della rete

6.         L’attore ottiene la compromissione completa del dominio tramite Active Directory

7.         L’attore distribuisce il ransomware a tutte le stazioni di lavoro collegate al dominio

Figura 3: Esempio di catena d’attacco tramite broker di accesso iniziale

Outlook

Proofpoint continua a osservare minacce basate su e-mail, compresi downloader e banker con payload a più fasi che spesso portano a infezioni ransomware. Gli attori delle minacce stanno conducendo un’ampia ricognizione, escalation dei privilegi e movimenti laterali all’interno dell’ambiente prima di distribuire manualmente il payload del ransomware. Una metrica chiave da osservare è il tempo di permanenza. Negli ultimi due anni, molteplici rapporti pubblici indicano una diminuzione della quantità di tempo che i malintenzionati trascorrono all’interno di un ambiente prima di cifrarlo. Alcuni incidenti riportano tempi di infezione di due giorni tra l’accesso iniziale e la distribuzione del ransomware, rispetto alle medie riportate di 40 giorni nel 2019.

I brevi tempi di permanenza, i pagamenti elevati e la collaborazione tra gli ecosistemi cybercriminali hanno portato a una tempesta perfetta di crimini informatici che i governi del mondo stanno prendendo sul serio e che è stato un argomento caldoalla conferenza del G7 del 2021.