Le tipologie di ransomware sono diverse e anche nel settore del cybercrime vi sono svariati innovatori, proprio per la componente innovativa e il nuovo livello di efficenza malevola, virus come CryptoLocker e CryptoWall sono diventati dei veri e propri brand nel settore. Oggi quella dei ransomware è una minaccia davvero seria, la maggior parte dei modelli conosciuti non possono essere decriptati facilmente e la conseguenza è che nella maggior parte dei casi le vittime hanno ben poche opzioni se non pagare il riscatto richiesto.
I ransomware si evolvono anche con l’introduzione di nuovi vettori. L’email ed il malicious advertising (malvertising) sono i principali vettori per le campagne ransomware. Tuttavia diversi cybercriminali continuano tuttora ad utilizzare le vulnerabilità più tradizionali sia della rete sia lato server. Una campagna malevola in campo ransomware molto innovativa e pericolosa, che ha molte somiglianze con CryptoWall, è apparsa nella prima parte di quest’anno e ha contaminato in particolare il settore dell’healthcare industry, si chiama SamSam (Samas/Samsam/MSIL.B/C), questa è stata diffusa attraverso dei server compromessi. In particolare è stata progettata per infettarli senza patch e crittografare i file archiviati sui computer collegati in rete al server infetto. I cybercriminali che si servono di tali minacce utilizzano i server per muoversi attraverso le reti e compromettere ulteriori macchine aggiuntive, alle quali poi viene richiesto il riscatto.
Talvolta questi sistemi utilizzano JexBoss, uno strumento open-source per testare e attuare l’exploiting dei server JBoss e prendere piede nelle reti delle organizzazioni. Quando questi hanno accesso alle rete, essi procedono a criptare diversi sistemi Windows utilizzando i ransomware della famiglia SamSam. Samsam aggiunge al nome di ogni file criptato una delle seguenti estensioni: .encryptedAES, .encryptedRSA, .encedRSA, .justbtcwillhelpyou, .btcbtcbtc o .btc-help-te – in base alla versione del ransomware ed impiega l’algoritmo di crittografia asimmetrica RSA-2048.
Per molti aspetti gli attacchi di SamSam erano inevitabili perchè molte organizzazioni dove operava Jboss sui server erano piene zeppe di vulnerabilità senza patch. In una analisi fatta il 16 aprile scorso, Cisco ha identificato circa 2100 server Jboss già compromessi in attesa che un attacco maligno potesse commettervi il proprio abuso. Tutte le organizzazioni sono state informate che potevano mettere i server offline ed effettuare l’upgrade immediatamente.
La vulnerabilità delle infrastrutture di Internet rappresenta un problema pervasivo, c’è da aspettarsi che molti attori malevoli esplorino questi canali sempre più spesso anche come via per condurre segretamente una campagna malware che miri non soltanto a colpire le imprese ma anche intere industrie.
L’avvento di SamSam rappresenta un cambiamento di trend per tutti gli operatori in ambito ransomware soprattutto per la capacità di localizzazione degli utenti finali individuali atti ad infettare intere reti. Tale metodo di propagazione, pur essendo apparentemente semplice si è rivelato altamente efficace. Il successo raggiunto da SamSam fa pensare che sia solo questione di tempo ed i cybercriminali introdurranno metodi ancora più rapidi e ed efficaci, introducendo modalità di propagazione atti a massimizzare l’impatto e ad incrementare la probabilità di riscuotere i propri riscatti.
Ricercatori e addetti ai lavori di Cisco, basandosi su trend e studi avanzati, affermano che fra questi, i self-propagating ransomware rappresentano il prossimo step per gli innovatori del settore ed è urgente che gli utenti adottino al più presto le giuste contromisure. L’attacco che all’inizio di quest’anno ha sfruttato la back door di JBoss per lanciare una campagna ransomware contro le organizzazioni nel settore dell’industria healthcare è un concreto rimando al fatto che gli advertiser fin quando avranno tempo di operare potranno trovare sempre nuove vie per compromettere reti e utenti, sfruttando vulnerabilità vecchie e nuove e metodi di exploitation che avrebbero dovuto essere messi al sicuro già tempo addietro. Tanto che i self-propagating malware non sono certo una novità ed infatti esistono gia da una decina d’anni sottoforma di worms e botnets.
Alcuni di queste minacce sono pervasive e continuano ad essere efficaci. Con l’intento di essere d’aiuto per diffondere la cultura della cybersecurity a livello pubblico e privato e controbattere le minacce del crimine cibernetico, chiudiamo a seguire questo excursus sui ransomware elencandovi i tratti che caratterizzano appunto i self-propagating malware, quella che potrebbe essere quindi la nuova minaccia di domani:
– Utilizzo delle vulnerabilità in un prodotto largamente distribuito. I worms di maggiore successo del passato utilizzavano vulnerabilità dei prodotti distribuiti attraverso la rete;
– Replica a tutte le unità disponibili. Alcune famiglie di malware vanno ad elencare ed enumerare le unità locali e remote includendo unità USB e di rete, copiando se stessi su queste unità e sfruttando ciò per rinforzarsi e diffondersi maggiormente. Questo consente di abilitare l’infezione anche ai sistemi offline così come anche nei sistemi non raggiungibili attraverso la normale rete internet pubblica;
– Infezione del file. Il malware di infezione dei file va ad aggiungersi o sostituirsi al file. Nello specifico il malware si attacca agli eseguibili non protetti da Windows SFC (System File Checker) o Windows SFP (System File Protector).
– Limitate attività di brute-force. Pochi worms hanno provato questo metodo in passato;
– Comando e controllo resiliente. Alcuni worms si servono delle azioni normalmente utilizzate per scardinare infrastrutture command-and-control e implementare misure preventive per eludere queste spaccature. Molti altri worms, invece, non hanno infrastrutture command-and-control. Essi esibiscono solo una azione di default semplicistico per diffondersi il più rapidamente possibile.
– Utilizzo di altre back door. Alcuni autori di malware, consapevoli che altre infezioni possono avere già fatto un’impressione sul sistema, possono agire alle spalle di questa backdoor per diffondere il proprio malware.
