Ransomware

Primo passo: ottenere un accesso iniziale per distribuire ransomware

Principali osservazioni

  • Oggi, il ransomware non minaccia più direttamente l’email, ma indirettamente, poiché l'email è solo una parte della catena di attacco. 
  • I responsabili del ransomware sfruttano gruppi di criminali informatici - principalmente distributori di trojan dei servizi bancari - per la distribuzione del loro malware. Questi facilitatori d’accesso distribuiscono le loro backdoor tramite link dannosi e allegati inviati via email.
  • Nella prima metà del 2021, secondo i dati di Proofpoint, i trojan dei servizi bancari si sono rivelati il malware più popolare distribuito tramite email, rappresentando quasi il 20% del malware osservato. 
  • Attualmente, Proofpoint monitora almeno 10 gruppi di criminali informatici probabilmente affiliati a organizzazioni di ransomware o che fungono come facilitatori dell’accesso iniziale.
  • Il ransomware viene raramente distribuito direttamente tramite l’email. Un singolo ceppo di ransomware rappresenta il 95% dei ransomware utilizzati come payload iniziale tra il 2020 e il 2021.
  • Non c’è un legame diretto tra i loader di malware e gli attacchi ransomware. Diversi gruppi di criminali informatici utilizzano gli stessi payload malware per la distribuzione del malware.

Panoramica

Gli attacchi ransomware continuano ad arrivare tramite l’email, ma non nel modo che potresti immaginare. I criminali informatici che distribuiscono il ransomware spesso acquistano l’accesso da gruppi di criminali informatici indipendenti che si infiltrano all’interno di obiettivi importanti e quindi vendono loro l’accesso in cambio di una parte dei guadagni illeciti. Gruppi di criminali informatici che già distribuiscono malware bancario o altri trojan possono anche diventare parte di una rete affiliata di organizzazioni di malware. Ciò crea un ecosistema criminale forte e lucrativo in cui diversi individui e organizzazioni continuano ad arricchirsi a spese delle vittime. 

Prevenire la distribuzione di ransomware tramite email è semplicissimo: bisogna bloccare il loader. 

In generale, i broker di accesso iniziale sono considerati come criminali informatici opportunistici che offrono servizi agli affiliati e ad altri pirati informatici dopo il fatto, per esempio promuovendo l’accesso in vendita sui forum. Ai fini di questo report, è stata utilizzata la seguente definizione di broker di accesso iniziale: un gruppo che ottiene l’accesso iniziale tramite payload iniziali che possono o meno lavorare direttamente con i responsabili del ransomware.

Questi criminali informatici attaccano le aziende prese di mira con un malware iniziale, come The Trick, Dridex o Buer Loader, per poi vendere il loro accesso ai responsabili del ransomware per consentire loro di lanciare operazioni di furto e crittografia dei dati. Secondo i dati di Proofpoint, i trojan dei servizi bancari, spesso utilizzati come loader di ransomware, hanno rappresentato quasi il 20% del malware osservato nelle campagne identificate nella prima metà del 2021 nonché il tipo di malware più popolare. Proofpoint ha anche rilevato un ransomware distribuito tramite SocGholish, che utilizza falsi aggiornamenti e falsi siti web per infettare gli utenti, e tramite il sistema di distribuzione del traffico (TDS) Keitaro e i kit di exploit del tracciamento utilizzati dai criminali per eludere il rilevamento. 

Proofpoint vanta una visibilità unica sui payload d’accesso iniziale (e sui criminali informatici che li forniscono) spesso utilizzati dai responsabili del ransomware. È importante notare che il ransomware non è l’unico carico virale secondario associato al malware identificato. I responsabili del ransomware non solo veicolano le loro minacce tramite email, ma sfruttano anche le vulnerabilità del software in esecuzione su dispositivi di rete esposti a Internet o servizi di accesso remoto non sicuri per ottenere l’accesso iniziale.

Mappa dell'ecosistema dei ransomware

Proofpoint attualmente traccia circa 10 gruppi di criminali informatici sospettati di agire come broker d’accesso iniziale. Molte delle campagne di attacco via email che distribuiscono loader di malware osservate da Proofpoint hanno portato a infezioni di ransomware. La collaborazione tra i broker di accesso e i responsabili del ransomware è difficile da provare poiché questi ultimi si sforzano in ogni modo di nascondere la loro identità e sfuggire al rilevamento. È possibile una collaborazione diretta tra i broker di accesso iniziale/sviluppatori di backdoor e i responsabili del ransomware, con i primi che possono assumere il ruolo dei secondi.

Facilitatori dell’accesso iniziale 

Emotet, un malware versatile e distruttivo, è stato uno dei distributori di malware più prolifici all’origine di costose infezioni di ransomware tra il 2018 e il 2020. Nel gennaio 2021, la cooperazione internazionale tra le forze dell’ordine di tutto il mondo ha permesso di bloccare il malware, smantellando la sua infrastruttura e impedendo ulteriori infezioni. 

Dallo smantellamento di Emotet, Proofpoint ha osservato un’attività continua e omogenea dei malware The Trick, Dridex, Qbot, IcedID, ZLoader, Ursnif e molti altri, che servono come payload iniziale per causare infezioni successive, compresi attacchi ransomware. Proofpoint monitora queste famiglie di malware “bancario”. Negli ultimi sei mesi, i trojan dei servizi bancari sono stati associati a oltre 16 milioni di messaggi, rendendoli il tipo di malware più comunemente osservato nei nostri dati. 

Inoltre, Proofpoint controlla anche i downloader, come Buer Loader e BazaLoader, che vengono spesso utilizzati come vettori di accesso iniziale per gli attacchi ransomware. Negli ultimi sei mesi, Proofpoint ha identificato quasi 300 campagne di downloader che hanno distribuito circa sei milioni di messaggi dannosi.

I ricercatori di Proofpoint monitorano gli accessi backdoor offerti da vari criminali informatici sui forum di hacking. A seconda della società compromessa e dei suoi margini di profitto, l’accesso può costare da poche centinaia a diverse migliaia di dollari, pagabili in criptovaluta, più frequentemente bitcoin.

Proofpoint ha osservato una sovrapposizione tra vari criminali informatici, malware e distribuzioni di malware. I nostri dati, combinati con report esterni, indicano per esempio che il ransomware Conti è stato associato a diversi loader iniziali tra cui Buer, The Trick, ZLoader e IcedID. IcedID è stato associato anche agli attacchi ransomware Sodinokibi, Maze e Egregor.

TA800 è un gruppo di criminali informatici su larga scala monitorato da Proofpoint dalla metà del 2019. Questo gruppo tenta di distribuire e installare malware bancario e loader di malware tra cui The Trick, BazaLoader, Buer Loader e Ostap. I suoi payload sono stati utilizzati per distribuire malware. Proofpoint è quasi certa che il gruppo TA800 sia associato a impianti BazaLoader utilizzati dai criminali informatici per distribuire il ransomware Ryuk. 

TA577

TA577 è un gruppo di criminali informatici prolifico monitorato da Proofpoint dalla metà del 2020. Questo gruppo organizza campagne su larga scala contro diversi settori e aree geografiche. Secondo quanto osservato da Proofpoint, TA577 distribuisce payload tra cui Qbot, IcedID, SystemBC, SmokeLoader, Ursnif e Cobalt Strike. 

Proofpoint ritiene che TA577 sia stato coinvolto nell’infezione del ransomware Sodinokibi del marzo 2021. TA577 ha violato la sua vittima tramite email contenenti allegati Microsoft Office dannosi che, una volta abilitate le macro, scaricano ed eseguono IcedID. L’attività associata a questo gruppo di criminali informatici è aumentata del 225% negli ultimi sei mesi. 

TA569

TA569 è un venditore di traffico e payload noto per la violazione dei server di gestione dei contenuti e per l’iniezione e il reindirizzamento del traffico web verso un kit di social engineering. Il gruppo utilizza falsi aggiornamenti per ingannare gli utenti e spingerli ad aggiornare i loro browser e scaricare uno script dannoso. Proofpoint monitora TA569 dal 2018, ma il gruppo è attivo almeno dalla fine del 2016. 

Proofpoint ritiene con certezza che TA569 sia associato alle campagne del ransomware WastedLocker lanciate nel 2020, che si basano sulla struttura di aggiornamento fittizio SocGholish per distribuire il ransomware. Alcune entità terze associano questo ransomware a un gruppo di criminali informatici russi noto come Evil Corp, ma non è questa l’opinione di Proofpoint.

TA551

TA551 è un gruppo di criminali informatici monitorato da Proofpoint dal 2016. Spesso utilizza l’hijacking del thread di discussione per distribuire documenti Office dannosi via email e opera in diversi settori e aree geografiche. Secondo quanto osservato da Proofpoint, TA551 distribuisce Ursnif, IcedID, Qbot e Emotet. 

Proofpoint è quasi certa che impianti IcedID da parte di TA551 fossero associati agli attacchi dei ransomware Maze e Egregor nel 2020. 

TA570

Proofpoint monitora questo gruppo di criminali informatici su larga scala, uno degli affiliati più attivi del malware Qbot, dal 2018. Qbot è stato utilizzato per distribuire ransomware tra cui ProLock e Egregor. TA570 può utilizzare siti di hosting di file compromessi o siti WordPress per ospitare i suoi payload. È stato associato all’hacking del thread di discussione che distribuisce allegati e URL dannosi. Negli ultimi sei mesi, l’attività del gruppo è aumentata di quasi il 12%.

Figura 1: campione di gruppi di criminali informatici osservati, payload di accesso iniziale da loro distribuiti e ransomware associati distribuiti a partire da quell’accesso iniziale. La fonte di queste informazioni è indicata nelle descrizioni di ciascun gruppo qui sopra.

TA547

TA547 è un gruppo di criminali informatici prolifico che distribuisce principalmente Trojan dei servizi bancari, tra cui ZLoader, The Trick e Ursnif, in diverse aree geografiche. Dato il suo frequente ricorso al geofencing, i suoi payload potrebbero non essere accessibili agli utenti di tutte le regioni. L’accesso ai payload dalle VPN è spesso impossibile, poiché il gruppo di criminali informatici inserisce gli indirizzi IP di uscita delle VPN all’interno di blacklist. Negli ultimi sei mesi, il numero di campagne associate a questo gruppo di criminali informatici è aumentato di quasi il 30%.

TA544

Questo gruppo di criminali informatici molto attivo installa regolarmente malware bancario e altri payload in varie aree geografiche, tra cui l’Italia e il Giappone. Probabilmente, è affiliato a diversi sviluppatori. TA544 distribuisce i trojan Ursnif e Dridex e ha inviato oltre otto milioni di messaggi dannosi negli ultimi sei mesi, secondo i dati di Proofpoint.

TA571

Proofpoint monitora il gruppo TA571 e i suoi tentativi di distribuire e installare malware bancario dal 2019. Questo gruppo distribuisce Ursnif, ZLoader e DanaBot e spesso utilizza servizi di hosting dei file legittimi o infrastrutture compromesse o violate per ospitare i suoi payload. Generalmente, TA571 distribuisce oltre 2.000 messaggi per campagna.

TA574

Secondo quanto osservato dai ricercatori di Proofpoint, TA574 ha distribuito oltre 1 milione di messaggi negli ultimi sei mesi. Questo gruppo di criminali informatici molto attivo opera in diversi settori e tenta di distribuire e installare malware come ZLoader. In genere, distribuisce allegati dannosi di Office e utilizza diverse tecniche, come il geotargeting e il rilevamento degli agent utente, prima di distribuire il malware. I ricercatori di Proofpoint monitorano TA574 da giugno 2020. 

TA575

TA575 è un gruppo affiliato a Dridex monitorato da Proofpoint dalla fine del 2020. Questo gruppo distribuisce malware tramite URL dannosi, allegati Office e file protetti da password. In media, TA575 distribuisce quasi 4.000 messaggi per campagna a centinaia di aziende. 

Ransomware iniziale

Proofpoint continua a osservare un calo significativo nella distribuzione di ransomware direttamente tramite l’email, come allegati o link. Per esempio, nel 2020 e nel 2021, Proofpoint ha identificato 54 campagne ransomware che hanno distribuito poco più di un milione di messaggi. 

Di queste, quattro erano campagne Avaddon che hanno distribuito circa un milione di messaggi nel 2020, ovvero il 95% del totale. Nel maggio 2021, l’FBI ha rilasciato dettagli sull’aumento dell’attività di Avaddon, e ha notato che i responsabili del ransomware ottengono un accesso iniziale tramite portali di accesso remoto, come i client RDP e VPN, e non più direttamente tramite l’email. Questo cambiamento operativo è coerente con le campagne Avaddon osservate nei dati raccolti da Proofpoint. 

Tra gli altri ransomware che sfruttano direttamente l’email come vettore d’accesso e presenti nei dati di Proofpoint di quest’anno sono inclusi Hentai OniChan, BigLock, Thanos, Demonware e Xorist.

Diversificazione del crimine informatico

Il team di ricerca sulle minacce informatiche di Proofpoint ha analizzato i dati raccolti tra il 2013 e oggi per meglio comprendere le tendenze del ransomware e l’utilizzo dell’email come vettore di accesso iniziale. Proofpoint ha scoperto che il numero di campagne ransomware distribuite direttamente tramite email come allegati o link è stato relativamente basso e stabile prima del 2015. In seguito, i criminali informatici hanno aumentato significativamente l’utilizzo di questo metodo di distribuzione del ransomware. I criminali informatici inviano a singoli indirizzi email un gran numero di messaggi contenenti gli URL o i file dannosi destinati a infettare il computer della vittima non appena questa fa clic su un link o scarica un allegato. Locky, per esempio, è stato inviato in almeno un milione di messaggi al giorno nel 2017, prima che la sua attività si interrompesse all’improvviso. 

Figura 2: volumi del ransomware come malware iniziale

I dati di Proofpoint mostrano un calo significativo delle campagne ransomware iniziali nel 2018. Diversi fattori hanno contribuito all’abbandono del ransomware come payload iniziale, tra cui il miglioramento del rilevamento delle minacce, le attività di crittografia individuali che portano a payload più bassi e l’emergere di minacce con le caratteristiche di un attacco worm e che richiedono l’intervento umano con funzionalità nettamente più destabilizzanti.

Il modus operandi degli hacker

I responsabili del ransomware stanno attualmente portando avanti una “caccia grossa”. Istituiscono una sorveglianza ad accesso aperto per identificare le aziende di alto valore, gli obiettivi vulnerabili e la probabilità di pagamento del riscatto da parte delle aziende. Lavorando con i broker di accesso iniziale, i responsabili del ransomware possono sfruttare le backdoor esistenti per effettuare uno spostamento laterale e compromettere l’intero dominio prima di crittografare i dati. 

Una catena di attacco che utilizza i broker di accesso iniziale potrebbe assomigliare alla seguente:

  1. Un criminale informatico invia email che contengono un documento Office dannoso.
  2. Un utente scarica il documento e attiva le macro che a loro volta iniettano il payload di un malware.
  3. Il criminale informatico sfrutta l’accesso alla backdoor per esfiltrare informazioni dal sistema.
  4. A questo punto, il broker dell’accesso iniziale può vendere l'accesso a un altro criminale informatico.
  5. Tramite l’accesso backdoor del malware, il criminale informatico distribuisce Cobalt Strike permettendogli lo spostamento laterale all’interno della rete.
  6. Il criminale viola l’intero dominio tramite Active Directory.
  7. Il criminale informatico distribuisce poi il ransomware a tutte le workstation collegate al dominio.

 

Ransomware

Figura 3: esempio di una catena d’attacco tramite un broker di accesso iniziale

Previsioni

I dati raccolti da Proofpoint nel 2021 mostrano una persistenza delle minacce trasmesse via email, compresi downloader e malware bancari con payload che vengono eseguiti a più stadi che spesso sfociano in infezione di ransomware. I criminali informatici eseguono una vasta ricognizione, un’escalation dei privilegi e uno spostamento laterale all’interno dell’ambiente prima di distribuire manualmente il payload del ransomware. Un elemento chiave da osservare è la durata della permanenza. Negli ultimi due anni, diversi report pubblici pubblicati da società di risposta agli incidenti hanno notato una diminuzione del tempo che i criminali informatici trascorrono in un ambiente prima delle operazioni di crittografia. In alcuni casi, non sono passati più di due giorni tra l’accesso iniziale e la diffusione del ransomware rispetto a una media di 40 giorni segnalata nel 2019.

I brevi tempi di permanenza, i guadagni elevati e la collaborazione all’interno dell’ecosistema di criminali informatici hanno portato a un’ondata di attacchi presi seriamente dai governi di tutto il mondo. In risposta ai recenti attacchi ransomware di altro profilo, il governo degli Stati Uniti ha proposto di intensificare la lotta contro il ransomware, mettendo questo tema caldo all’ordine del giorno della conferenza del G7 del 2021. Concentrando gli sforzi su questa minaccia e aumentando gli investimenti nella cyber difesa in diverse supply chain, è possibile ridurre la frequenza e l’efficacia degli attacchi di ransomware. 

 

Subscribe to the Proofpoint Blog