In un articolo precedente, che potete consultare qui, abbiamo distinto le categorie principali di malware. Oggi vorremmo parlarvi di una fattispecie piuttosto particolare dei Malware as a Service: il malware “Conti”.
Per parlare correttamente della questione è necessario sottolineare qualcosa di ovvio eppure a volte sottovalutato. Ci vogliono abilità particolari per riuscire a scrivere un malware così potente e che riesca a bypassare le misure di sicurezza e le analisi comportamentali. Per questo motivo spesso il malware viene “acquistato” o per meglio dire “noleggiato”. Si parla dunque di Malware as a Service.
Kaspersky ne da la seguente definizione:
The lease of software and hardware for carrying out cyber attacks. Owners of MaaS servers provide paid access to a botnet that distributes malware. Typically, clients of such services are offered a personal account through which to control the attack, as well as technical support.
Enciclopedia Kaspersky
In data 22/09/2021 la Cyber & Infrastructure Security Agency (CISA), ha emanato un alert d’urgenza concernente il malware Conti (AA21-265A). Ciò che ha determinato l’agenzia ad esprimersi è stato un notevole incremento, nell’ultimo periodo, del novero degli attacchi (circa 400) con successiva installazione del malware.
Sebbene presenti varie similitudini con altri malware notevolmente conosciuti come Sodinokibi e Ryuk, ci sono alcune caratteristiche peculiari. Infatti, citando l’articolo di CyberSecurity360:
compromette e cripta, tramite riga di comando, il disco rigido locale, le condivisioni di rete SMB ed anche indirizzi IP specifici (similitudine con Sodinokibi). Ciò indicherebbe, sempre secondo i ricercatori, che il ransomware sia stato principalmente implementato per una esecuzione e controllo manuale da parte di un attaccante remoto, includendo tuttavia la possibilità di essere eseguito anche senza alcuna interazione (in modo autonomo)
Salvatore Lombardo
Tuttavia la CISA ha notato che tale Malware as a Service sembra aver utilizzato un modello di business differenziato rispetto al classico modello. Infatti, invece d’offrire una percentuale sul riscatto derivante da un eventuale successo, sembra offrire un pagamento standard agli “installatori”.
Proprio tale caratteristica, insieme al fatto d’essere tendenzialmente attivato manualmente, lo rende innovativamente minaccioso. Gli attori, infatti, si prendono tutto il tempo necessario all’installazione. A tal riguardo, vi consigliamo l’articolo di Tiziana Carboni, Marketing Manager di Sophos Italia, pubblicato sul dominio di Sophos relativo alle news che potete trovare qui.
La propagazione della minaccia, come identificato dalla CISA, tende ad avvenire per i classici canali:
Spearphishing campaigns using tailored emails that contain malicious attachments [T1566.001] or malicious links [T1566.002]; Stolen or weak Remote Desktop Protocol (RDP) credentials [T1078].[4] Phone calls; Fake software promoted via search engine optimization; Other malware distribution networks (e.g., ZLoader); and Common vulnerabilities in external assets- CISA Alert AA21-265A
Quindi, come agire per ridurre il rischio di una possibile compromissione?
- Formazione degli utenti. Come sempre è un punto fondamentalmente critico dell’intero perimetro di sicurezza: è necessario formare gli utenti al fine di ridurre le possibilità di compromissione da allegati, phishing links, etc.;
- Effettuare analisi preventive di sicurezza al fine dell’identificazione delle vulnerabilità presenti in un’infrastruttura – sia dall’esterno che dall’interno.
guarda come potremmo aiutarti!