Recentemente è stato rilevato un attacco informatico che sfrutta il malware INC, un ransomware che funziona come un servizio (RaaS) e che è emerso intorno a luglio 2023. Questo malware ha preso di mira diverse organizzazioni nel nostro Paese.
In genere, l’attacco ha inizio quando i criminali informatici riescono ad accedere ai sistemi delle vittime, solitamente attraverso il brute-forcing. Questo accade quando le interfacce di gestione dei sistemi sono esposte direttamente su Internet senza protezione tramite autenticazione a più fattori (MFA) sugli account amministrativi. In alternativa, gli attaccanti sfruttano vulnerabilità note su sistemi di sicurezza periferici che non sono stati aggiornati correttamente.
Una volta ottenuto l’accesso, gli hacker possono estrarre informazioni sensibili, come le configurazioni dei sistemi di gestione degli accessi (IAM), che contengono credenziali valide. Queste credenziali vengono poi utilizzate per muoversi lateralmente all’interno dell’infrastruttura aziendale e diffondere il malware in altri sistemi. Ma di cosa si tratta in particolare? Vediamolo insieme.
Gli attaccanti accedono inizialmente ai sistemi sfruttando due tecniche principali:
- Password spraying tramite botnet: gli hacker utilizzano una rete di dispositivi compromessi per provare una serie di password comuni su molteplici account amministrativi. Questa tecnica è progettata per evitare il rilevamento da parte dei meccanismi di sicurezza, poiché i tentativi di accesso vengono distribuiti su diversi dispositivi
- Sfruttamento di vulnerabilità note: in alcuni casi, gli attaccanti approfittano di vulnerabilità di sicurezza presenti su dispositivi con software non aggiornato. Questo permette di bypassare le misure di autenticazione e di ottenere l’accesso al sistema, spesso senza che l’azienda si accorga dell’intrusione
Una volta ottenuto l’accesso, gli hacker sono in grado di estrarre configurazioni dei sistemi di gestione degli accessi (IAM), il che consente di recuperare credenziali valide che possono essere utilizzate per spostarsi lateralmente nella rete aziendale e installare il malware su altri dispositivi.
Dopo aver ottenuto l’accesso ad una macchina Windows, l’attaccante può utilizzare strumenti come Advanced IP Scanner per eseguire una scansione della rete locale, identificando dispositivi attivi e relativi indirizzi IP. Una volta individuati i dispositivi, il tool Impacket SMBExec viene utilizzato per eseguire comandi remoti tramite il protocollo SMB su macchine vulnerabili.
L’attaccante prosegue poi con l’esecuzione del comando quser, uno strumento di Windows che permette di visualizzare le sessioni utente attive e identificare account con privilegi elevati. Successivamente, viene eseguito un dump della memoria del processo lsass.exe, che gestisce l’autenticazione su Windows, per estrarre le credenziali degli utenti. Utilizzando Mimikatz, un noto strumento di post-exploitation, l’attaccante estrae e raccoglie gli hash delle credenziali di utenti locali e di dominio con privilegi elevati.
Una volta ottenuto l’accesso completo alla rete e una mappatura delle risorse, l’attaccante individua i servizi contenenti dati sensibili e li seleziona come obiettivi per la cifratura tramite ransomware. Il ransomware INC viene quindi distribuito utilizzando nuovamente Impacket SMBExec e viene eseguito tramite un file win.exe.
Il ransomware è scritto principalmente in Visual Basic 6 e C/C++, e al suo avvio accetta diversi parametri di utilizzo, tra cui:
- –file <FILE>: cifra solo il file specificato
- –dir <DIRECTORY>: cifra i file in una directory
- –mode <MODE>: modalità di cifratura che può essere
- fast: velocità massima, cifratura parziale
- medium: compromesso tra velocità e profondità di cifratura
- slow: cifratura completa, più lenta ma più efficace
- –ens: estende la cifratura alle condivisioni di rete
- –lhd: carica anche le unità nascoste del sistema
- –sup: arresta determinati processi per sbloccare file in uso
- –hide: nasconde la finestra di console durante l’esecuzione
- –kill: termina determinati processi o servizi
- –debug: abilita la modalità di debug
Un parametro non documentato, –safe-mode, crea una persistenza nel sistema registrando un servizio chiamato dmksvc, configurato per eseguire il ransomware automaticamente. In seguito, il sistema viene riavviato in modalità provvisoria, probabilmente per evadere i controlli di sicurezza in modalità normale.
Il ransomware inizia a cifrare i dati circa un minuto dopo l’esecuzione, utilizzando cicli di attesa per evitare rilevamenti da parte di sistemi di analisi automatica. Durante l’esecuzione, il malware esegue una serie di operazioni per evitare l’identificazione da parte degli analisti, tra cui:
- Verifica la presenza di debugger per evitare di essere studiato in ambienti di analisi
- Raccolta di informazioni di sistema, come configurazioni hardware e software installato, per adattare l’attacco
- Disattivazione dei log di tracciamento per rendere più difficile l’individuazione delle attività del malware
- Eliminazione delle copie shadow dei file, impedendo il recupero dei dati tramite backup
- Rimozione dei punti di ripristino di sistema, ostacolando ulteriormente il recupero dei dati
La fase di cifratura utilizza l’algoritmo AES-128 con una chiave simmetrica generata casualmente tramite la funzione CryptGenRandom. La chiave AES viene poi cifrata con l’algoritmo RSA utilizzando una chiave pubblica incorporata nel codice del malware.
Il ransomware utilizza una tecnica nota come “double extortion”: non solo i file vengono cifrati, ma i dati sensibili vengono anche esfiltrati e minacciati di essere pubblicati se il riscatto non viene pagato. Dopo la cifratura, viene generata una nota di riscatto che include un ID univoco per identificare la vittima e le istruzioni per contattare gli attaccanti e ottenere il decryptor. Questa nota di riscatto viene archiviata sia in un file immagine che in un file HTML e viene visualizzata modificando lo sfondo del desktop e aprendo il file HTML tramite Internet Explorer.
Nel contesto dell’esfiltrazione, il malware ha utilizzato un tool legittimo di backup, rclone, e file di configurazione per il servizio di file sharing MEGA, probabilmente per esfiltrare i dati sensibili prima di procedere con la cifratura. Per mantenere l’accesso remoto, è stato inoltre rilevato l’uso del tool AnyDesk, un programma di Remote Desktop Management. In conclusione, questo attacco ha seguito un processo ben pianificato, che ha combinato l’accesso non autorizzato, l’esfiltrazione dei dati, la cifratura dei file e la minaccia di pubblicazione dei dati, sfruttando tecniche avanzate per eludere i controlli di sicurezza e mantenere l’accesso alle macchine compromesse.
