Salta al contenuto

Temi di tendenza

[Podcast] Ransomware fuori, e Cryptojacking dentro? Le ultime tendenze del cybercrime

Samanta Fumagalli

24.07.18 19 minuti di lettura

Negli ultimi due anni, il ransomware ha occupato molti titoli dei giornali come la più grande minaccia malware di cui occorreva preoccuparsi. I consumatori e le imprese sono stati colpiti e costretti a sborsare soldi per recuperare i loro file. Ma i criminali informatici non si fermano mai e nemmeno il malware. Al giorno d’oggi il ransomware viene eclissato dalle nuove tendenze. Perché e cosa sta prendendo il suo posto? I ricercatori dei Laboratori F-Secure, Paivi Tynninen e Jarkko Turkulainen, nell’episodio 10 dei podcast Cyber Sauna parlano di cryptojacking e dell’attuale mondo del crimine informatico.

Janne: Benvenuti ragazzi.

Jarko: Grazie.

Paivi: Grazie.

Quindi il ransomware è in declino. Quanto è in declino, e perché? Le persone hanno smesso di pagare il riscatto?

Paivi: Fondamentalmente tutto il malware viene creato per guadagnare soldi. La sorprendente tendenza che abbiamo osservato lo scorso anno è che il ransomware ha subito un improvviso calo, soprattutto perché il valore di mercato era stimato in milioni di dollari nel 2016, quindi è stato piuttosto sorprendente. Ma il declino può essere spiegato parzialmente dal fatto che le persone non pagano più, questo grazie a progetti pubblici che hanno invitato a non pagare il riscatto, e allo sforzo congiunto di Europol sul progetto No More Ransomware, che prevede la fornitura di strumenti di decrittografia gratuiti per alcune infezioni ransomware; anche la condivisione delle conoscenze sulle infezioni da ransomware ha sortito il suo effetto soprattutto verso quelle persone che non si sentono necessariamente vittime quando vengono attaccate dal ransomware.

Quindi non si preoccupano troppo dell’infezione?

Paivi: Sì, e hanno altre misure su cui possono contare per recuperare i dati, per esempio, probabilmente hanno dei backup, o si rendono conto che okay, il ransomware è una minaccia potente, quindi hanno già in atto misure preventive per neutralizzarlo.

Abbiamo avuto tre principali violazioni di dati nell’ultimo anno che probabilmente hanno contribuito a far percepire che il ransomware è una minaccia, ma anche che pagando il riscatto non si ottengono necessariamente indietro i propri file. Ad esempio, nel primo caso con WannaCry veniva solo pulito il disco e i file venivano crittografati in modo tale da non essere decifrabili. Quindi, anche se le persone hanno pagato, nessuna di loro ha recuperato i propri file. Questo ha probabilmente rovinato la “reputazione” del ransomware. In uno studio del 2016 abbiamo analizzato il servizio clienti che i criminali del ransomware stavano offrendo. Erano veramente interessati a fornire un buon servizio ai propri utenti, e questo significa che se l’utente o la vittima cliente voleva pagare il riscatto e recuperare i propri file, poteva farlo: volevano solo fornire un servizio veramente buono per aiutarli.

Quindi presumibilmente stavano cercando di evitare esattamente quello che è successo in questo caso, ossia che se le persone pagano ma non recuperano i loro file l’incentivo a pagare svanisce.

Paivi: Esattamente. Quindi, in un certo senso, quelle tre violazioni hanno causato un sacco di danni al business del ransomware.

Quindi significa che non dobbiamo più preoccuparci del ransomware?

Paivi: Assolutamente no. Il ransomware è ancora una minaccia potente. Le misure che gli utenti hanno appreso negli ultimi due anni vanno ancora esercitate.

Quali sono le tecniche moderne per diffondere il ransomware? Parliamo ancora di spam o macro?

Paivi: Sì, sono ancora abbastanza popolari, ma il vettore di infezione attualmente più diffuso consiste nel forzare il sistema di destinazione, ad esempio tramite porte RDP, e di eseguire manualmente il ransomware. Quindi l’utente non deve fare alcuna interazione, e questo approccio è in realtà più efficiente, poiché va a selezionare solo obiettivi di alto profilo come le aziende che hanno questi protocolli RDP abilitati nei loro sistemi. E quindi aumenta la possibilità di ottenere un riscatto più grande, con maggiori probabilità di essere pagato, in quanto l’azienda colpita probabilmente ha bisogno di riavere indietro la propria proprietà intellettuale.

Come funziona? Stai parlando di vulnerabilità specifiche nel protocollo desktop remoto, o…?

Paivi: Solo credenziali deboli e porte pubbliche. Non sono come in questi segmenti di rete controllati, ma le porte RDP sono disponibili nell’internet pubblico.

Ok, e non è qualcosa che consigliamo.

Paivi: No.

In una recente presentazione, Paivi, hai detto che l’esca nell’email di phishing cambia sempre anche se i vettori di infezione sono rimasti invariati. Puoi spiegarci meglio?

Paivi: Sì, le email di spam sono cambiate un po’. Anche se i vettori di infezione, le macro dei documenti, sono rimasti invariati, gli attaccanti stanno aggiungendo ulteriori livelli per evitare l’analisi automatica e i ricercatori stanno cercando di intercettare le loro infezioni e di creare nuovi modi per rilevarle. Gli attaccanti per esempio non usano più gli allegati di posta elettronica, ma usano link che sono reindirizzamenti folli da una pagina all’altra, e dopo un paio o anche sette reindirizzamenti di pagina diversi il payload alla fine viene caricato, che è il documento con le macro. E gli hacker usano anche un altro livello di sicurezza aggiuntivo: se usano un allegato in un messaggio di posta elettronica, lo proteggono con una password allegata all’email originale. Pertanto, se lo si invia a un box di analisi automatica, l’allegato non viene eseguito perché richiede la password che non è disponibile senza l’e-mail di spam originale.

Qual è lo scopo di reindirizzarti così tante volte?

Paivi: Se hai così tanti loop di reindirizzamento, puoi sempre distruggere un sito web di quella catena. Quindi, se seguo questo ceppo d’infezione un paio d’ore dopo che la campagna è finita, non sarò in grado di dedurre dalle informazioni che ho qual era il payload finale e quale era l’eseguibile che è stato fornito. Quindi non sarò in grado di creare rilevamenti per qualcosa che non è stato trovato.

Quindi si tratta di una catena che conduce agli attaccanti ma che questi sono in grado di rompere quando vogliono in qualsiasi punto.

Paivi: Esatto.

Ma oggigiorno qual è la minaccia malware prevalente che sta prendendo il posto del ransomware?

Jarkko: Ovviamente il cryptomining è una nuova tendenza e penso anche la “click fraud” sta diventando sempre più prominente, specialmente su mobile. Forse i kit di phishing possono rappresentare in futuro una tendenza in crescita. In realtà, attualmente vediamo kit di phishing molto complessi che possono replicare in modo convincente grandi web stores come Wal-Mart. Ma sicuramente il criptojacking – e in generale il criptomining – è assolutamente la tendenza più grande.

Ma cosa sono cryptomining e cryptojacking?

Jarkko: Il cryptomining in generale è il processo che genera la criptovaluta. E allo stesso tempo gestisce l’intera rete della valuta. Il cryptojacking è una tecnica speciale in cui il browser viene usato per minare la criptovaluta.

Ok, quindi gli attaccanti stanno usando il mio computer per minare criptovaluta per loro stessi?

Jarkko: Sì, questa è l’idea di base. Approfittano delle risorse del tuo computer. E invece di iniettarti un trojan o un ransomware, usano la tua macchina, i cicli della tua CPU, la tua alimentazione e ne ricavano soldi.

Si possono fare soldi in questo modo?

Jarkko: Si tratta di un business profittevole solo per alcuni.

Da quanto ho capito sul criptomining servono una grande quantità di tempo e una tonnellata di risorse: ciò significa che l’attaccante avrà un accesso così lungo alle mie risorse?

Jarkko: Usano questa criptovaluta chiamata Monero, o criptovalute basate su Monero, e la caratteristica interessante è che si può effettivamente fare un mining piuttosto efficiente su CPU normali. Quindi non è come un Bitcoin in cui è necessario avere la GPU, è possibile minare Monero abbastanza bene con il notebook o anche con il cellulare o il browser. Quindi immagina se hai un sito web e 10.000 visitatori. Si generano delle entrate.

Quindi ogni individuo non sta facendo molto lavoro, ma messo tutto insieme diventa un grosso affare.

Jarkko: Sì, è così, e su un normale PC che puoi usare 24 ore su 24, 7 giorni su 7. E se hai una botnet decente che esegue quelle cose può effettivamente generare cryptovaluta.

Non noterei che sul mio PC stanno succedendo delle cose?

Jarkko: Non credo, no.

Quindi non rallenta la mia macchina?

Jarkko: No, e solitamente usano tool legittimi come XM Rig e puoi configurare quelli che usano solo su un core della tua macchina o su due core. Non lo noti su un normale PC.

Quindi quanto tempo può rimanere un attaccante sulla macchina di una vittima per condurre le sue operazioni di cryptomining?

Jarkko: Se l’attacco è su un PC normale, su una piattaforma nativa come Windows, allora installano il miner che agisce per sempre. Fino a quando il sistema operativo è attivo e funzionante.

Quindi potresti non accorgetene mai.

Jarkko: No. Solo se l’AV o altra soluzione per rimuovere il malware interrompe l’esecuzione, allora viene semplicemente eseguito lì.

Si tratta di qualcosa che è semplice da rilevare per un AV, come il cryptomining malevolo opposto al cryptomining che la gente fa di proposito?

Jarkko: Non proprio. Perché per la maggior parte del tempo usano strumenti legittimi, come XM Rig, che viene usato da gente comune per fare operazioni di mining e procurarsi qualche entrata extra.

Quindi anche un AV potrebbe non essere in grado di rilevarlo.

Jarkko: Non si tratta di essere in grado, a volte non vogliamo rilevare questi file perché riceveremmo così tante lamentele. Ma la maggior parte degli AV li rileva come applicazioni potenzialmente indesiderate. E poi se il miner è in esecuzione sul browser, allora ovviamente la cosa è completamente diversa. Dipende da come è installato.

Quindi in cosa è diverso su un browser?

Jarkko: In generale viene eseguito solo quando sei su quella pagina. Ma in alcuni casi potrebbero installare un add-on malevolo, per esempio per Chrome. Allora viene eseguito ogni volta che Chrome è attivo, che al giorno d’oggi significa sempre. Ma Google e altri player stanno bloccando attivamente questi add-on sui loro negozi online.

Quindi quando è iniziata questa faccenda del cryptojacking e quale è stato il catalizzatore?

Jarkko: Penso che il primo grosso caso sia stato l’incidente di Pirate Bay nel settembre 2017, quindi quando l’intera faccenda è arrivata a un pubblico più vasto. Ma lo sviluppo di questo Monero basato su Javascript stava già accadendo dietro le quinte e il CoinHive è stato il primo a emergere con una libreria forse a metà estate 2017. Da lì in poi il processo ha effettivamente preso il sopravvento e ne è seguita una grande crescita.

Stiamo anche assistendo a istanze non criminali di cryptomining sui browser delle persone? Penso di aver visto degli annunci pubblicitari sostituiti da messaggi del tipo “non abbiamo intenzione di mostrarti annunci, stiamo solo minando criptovaluta sul tuo browser mentre visiti il nostro sito web”.

Jarkko: Non ricordo i nomi ma ci sono stati alcuni grandi siti che lo hanno fatto e che continuano a farlo.

Il malware cryptojacking viene diffuso nello stesso modo come per i payload tradizionali? Ci sono differenze?

Paivi: Un sacco di malware cryptomining che prende di mira, ad esempio, piattaforme Windows ed è distribuito come binario, utilizza gli stessi vettori di infezione che abbiamo visto nel ransomware negli ultimi due anni e che sono parzialmente spam. Ma ci sono anche siti di social engineering ingannevoli: mentre stai visitando un sito legittimo attendibile con una sorta di reindirizzamento malevolo vieni reindirizzato verso questi siti piuttosto loschi che ti chiedono di installare alcuni plugin o software di potenziamento del browser che rendono sì il tuo PC ancora più veloce ma potrebbero essere miner di monete.

Si tratta ancora di banner malevoli, o qual è la tecnica in questo caso?

Jarkko: Fondamentalmente malvertising. Ci sono stati casi importanti, che hanno usato piattaforme di consegna legittime, ad esempio DoubleClick. Per esempio, a gennaio qualcuno ha inserito alcuni script CoinHive offuscati utilizzando DoubleClick e li ha caricati dai siti più importanti, incluso YouTube.

Wow.

Jarkko: Ovviamente questi non hanno una vita molto lunga, ma ci sono ancora. Raggiungono molte persone.

Paivi: Sì, anche se le raggiungono solo per un breve periodo di tempo: ad esempio, YouTube ha probabilmente milioni di visitatori in appena un paio di minuti: questa è un’audience sufficientemente grande per il mining di monete.

Certamente.

Jarkko: Sì, e poi naturalmente i siti web, attaccati manualmente, nel modo normale.

Quindi, invece di danneggiare il sito web, qualcuno ci mette semplicemente cose simili.

Jarkko: Sì, ed è un modo molto efficiente e pulito di farlo, perché tradizionalmente quando queste persone si impossessano dei server, inseriscono alcuni iframe per qualche exploit kit o altra exploitation e questo è un modo molto inaffidabile per prendere in consegna una macchina. Ma in questo caso basta hackerare il sito web, che è molto più facile (trovi sempre dei siti web da hackerare) e poi metti questo bel iframe lì e stop. Nessun hacking, nessun browser si blocca, niente del genere.

Questo genere di cose colpisce principalmente le aziende, i consumatori o entrambi?

Paivi: Direi che riguarda sia i consumatori che le aziende. Gli utenti sono un pubblico migliore in quanto sono molti di più, ma le risorse fornite dai normali utenti non sono così di valore come i dati forniti dai data center di un’azienda. E abbiamo visto un sacco di ceppi di malware che prendono di mira le grandi aziende, i loro servizi e server e vengono infestati da miner di monete che si muovono lateralmente da un computer all’altro e in pochi minuti compromettono l’intera rete.

Jarkko: A tutto ciò posso aggiungere un altro vettore di iniezione, uno molto interessante che usa gli hotspot wifi. Qualcuno può semplicemente avvalersi del wifi e iniettare qualcosa ai computer dei clienti. Ma anche avvalersi dei nodi di uscita TOR, e questo è molto comune. Ho monitorato i nodi di uscita TOR per un po’ di tempo e fanno lo striping SSL e tutte queste cose, quindi se stai usando TOR, potresti stare producendo monete.

Se ho un nodo wifi fasullo o sto facendo funzionare il mio nodo di uscita TOR malevolo, cosa accade? Vedo del traffico non criptato che ci passa sopra e posso sfruttarlo?

Jarkko: Sì, e poi brutalmente inserisci l’iframe qui. Fondamentalmente è un’unica linea di codice per CoinHive.

Wow. Hai parlato di movimento laterale che qualche volta serve per diffondere malware in un’intera organizzazione. Avviene attraverso strumenti admin o mezzi malevoli come EternalBlue o cose similari?

Paivi: Esistono molte opzioni diverse per i movimenti laterali, ma penso che i metodi più popolari siano le raccolte di credenziali usate all’interno della rete, come Mimikatz e questi grandi exploit come EternalBlue, che utilizzano queste ben note vulnerabilità, specialmente in ambienti aziendali.

Parliamo un po’ del cyber crime in generale. I cyber criminali come decidono quale tipo di attacco o truffa mettere in atto? Perché usare trojan bancari invece di un ransomware?

Paivi: La cosa principale che sta guidando questi criminali del crimeware/malware è il denaro. Stanno dirigendo le loro azioni là dove vi è maggior reddito potenziale. Se vedono che OK, il ransomware è di tendenza e io non ho bisogno di fare così tanto sforzo per creare il mio ransomware poiché ho creato le mie reti di distribuzione, allora OK, mando fuori questo ransomware e il denaro arriva semplicemente. Per i trojan bancari è piuttosto semplice se hai buone banche di destinazione che sai come compromettere, come intercettarne i bonifici bancari in modo da poter trasferire un po’ di denaro anche sul tuo conto. È semplice, vanno solo dove scorre il denaro.

Quando un flusso diminuisce ti basta passare a qualsiasi altra cosa ti garantisca più soldi in quel momento.

Paivi: Esattamente.

La tecnologia è in continua evoluzione e si muove molto rapidamente: può l’ultima tendenza tecnologica tenerci al sicuro dal cyber crimine?

Jarkko: Dal punto di vista tecnico, non sono per nulla preoccupato.

Perché?

Jarkko: Penso che possiamo stare al passo con quei criminali. Ciò che è davvero preoccupante è che non esistono limiti ben definiti. Voglio dire, chi sta ingannando un’altra persona con una lettera d’amore su Facebook, sta compiendo un crimine informatico? Io penso di sì. Ma questo è chiaramente qualcosa per cui l’AV non può fare molto.

Vuoi dire che dal punto di vista tecnologico siamo in grado di rilevare gli ultimi virus e malware, ma se riesci a ingannare un essere umano avrai sempre successo.

Jarkko: Proprio così. Ci sarà sempre questo tipo di polarità: da un lato hai il crimine informatico altamente avanzato, con tecnologie complesse e zero-day e quant’altro, e questo è ciò su cui tradizionalmente abbiamo lavorato. Ma dall’altra parte, si stanno semplicemente chiedendo soldi. Se chiedi denaro a un milione di persone, qualcuno te lo darà e diventerai ricco. E questo è ancora crimine informatico.

Assolutamente. Non ci puoi fare molto. Quale sarebbe la cosa da fare per tenere a bada l’essere umano che è parte del problema?

Jarkko: Formazione.

Paivi: L’educazione è praticamente l’unica via. Possiamo condividere le conoscenze che abbiamo e le buone pratiche di sicurezza che chiunque può mettere in atto da solo.

Jarkko: In realtà, credo che ci siano stati dei progressi abbastanza buoni. Continuiamo a dire alla gente che deve fare gli aggiornamenti, deve fare i backup e deve fare questo e quello. E la gente ora lo sta accettando. Non si arrabbia quando il computer si riavvia a causa degli aggiornamenti o fa altre operazioni, quindi penso che l’educazione alla sicurezza stia dando i suoi frutti. Quindi la sicurezza nei sistemi operativi sta diventando davvero molto buona. Parlo dei browser e dei principali sistemi operativi come Windows. È davvero buona. Ma è l’essere umano che fa clic e fa tutte queste cose, è su questo che dobbiamo ancora lavorare.

Parliamo un po’ del vostro lavoro. Com’è essere un analista di malware? Cosa vi dà stimoli nel vostro lavoro? Vi sentite delusi quando i cattivi non riescono a inventare qualcosa di sfidante? Sognate il prossimo Stuxnet?

Jarkko: Non sono alla ricerca di questo tipo di cose da grandi media, come i casi di malware di importanza nazionale; naturalmente sarebbe bello, ma è più una curiosità generica che mi guida. In realtà ricordo ancora il mio primo vero malware che ho scovato. A quel tempo stavo lavorando per un importante fornitore IT finlandese per reti e server UNIX e in effetti abbiamo visto in uno dei registri proxy queste strane cose che succedevano e c’erano questi file eseguibili di Windows che entravano nella rete e dovevo solo scoprire cosa stavano facendo così ho comprato una licenza IDA personalmente con i miei soldi, ho passato alcuni fine settimana e notti a fare reverse engineering e quando ho effettivamente realizzato cosa stavano facendo, finalmente tutto ha iniziato a quadrare: credo che sia il tipo di sensazione che sto ancora cercando. È un tipo di cosa molto eccitante. Divento quasi ossessivo quando mi trovo in quel tipo di situazione.

E tu Paivi? Cosa ti guida nel tuo lavoro?

Paivi: Mi trovo d’accordo con Jarkko. Non aspetto i grandi casi così per ottenere fama e far parte di qualcosa di molto grande che sta ricevendo molto interesse pubblico. Faccio questo lavoro perché sono molto curiosa e voglio analizzare il malware, capire cosa fa, scoprire da dove proviene e qual è stato il suo scopo, e perché il creatore di questo malware ha preso queste decisioni, perché vorrebbe mirare a quel target, e cerco di capire l’infrastruttura che c’è dietro. In sostanza mi piace avere la comprensione dell’intero quadro: è questo che mi stimola in questo lavoro.

Ma se sono questi enormi puzzle da risolvere che vi tengono motivati, non diventa noioso quando vedete i criminali fare sempre la stessa cosa vecchia e avere un successo folle in qualcosa che non dovrebbe assolutamente funzionare?

Jarkko: Abbiamo anche altre cose da fare. Per esempio, io ho un altro ruolo in questa azienda, ho fatto parte anche di Ricerca e Sviluppo (R&D) per molto tempo, e quindi per me ci sono fondamentalmente due aspetti. Uno è capire cosa fanno questi malware, come funzionano, come operano, ma poi ho un altro punto di vista, ossia cosa possiamo fare con la nostra tecnologia, e questo è fondamentalmente un processo che non si ferma mai. Possiamo sempre perfezionare i nostri strumenti e tecnologie. Non diventerà mai noioso.

Paivi: Una delle parti più affascinanti di questo lavoro è comprendere l’intero quadro per ottenere i pezzi del puzzle, ma dobbiamo anche pensare poi a risolverlo. Mentre Jarkko è nella Ricerca e Sviluppo, io sono più esperta nella feed automation e cerco di avere maggiore visibilità su tutte le minacce che si stanno verificando, quindi abbiamo una copertura ancora migliore. Non è solo una banda di criminali informatici che stiamo monitorando, monitoriamo tutto e il nostro obiettivo è comprendere l’intero quadro e capirne le tendenze. Non importa se vediamo che funziona, che questi ragazzi stanno facendo le stesse vecchie cose e ora vedo quest’altro tizio ripetere la stessa cosa. In fondo ci stanno arrivando informazioni e questa va bene, indicano una tendenza. Tutto questo serve a dare priorità alla R&D per offrire una migliore protezione ai nostri clienti.

Vi arrabbiate mai quando nelle notizie compare l’ “Olympic Destroyer” e la gente dice “Sarà sicuramente cinese” e voi direste “Non è assolutamente così!”

Paivi: Non provo mai così forti emozioni. Semplicemente scuoto la testa e mi chiedo dove abbiano trovato informazioni per fare simili attribuzioni: spesso vengono fatte senza avere abbastanza prove.

Ma capita mai che vedete qualcosa di nuovo e dite “Okay, questo sarà qualcosa di grande”.

Jarkko: Beh, a me è successo per il cryptojacking, quando mi sono imbattuto in Pirate Bay e ho visto lo script, mi sono detto “Sì, questo farà danni”. Era così ovvio. Perché è un modo così semplice per fare soldi e il modello di sicurezza JavaScript è praticamente inesistente. Quindi puoi mettere questo script di terze parti su qualsiasi sito e verrà eseguito. E’ su questo che si basa.

Qualche consiglio finale per i nostri ascoltatori?

Jarkko: Per quanto riguarda il cryptojacking, è meglio disabilitare Javascript.

Questo è sempre un buon consiglio. Grazie per essere stati con noi oggi.

Paivi: Grazie.

Jarkko: Grazie.

 

Traduzione della trascrizione del podcast n. 10 della serie Cyber Sauna dal titolo “[Podcast] Ransomware Out, Cryptojacking In? Latest Cybercrime Trends” di Melissa Michael, Content Producer, F-Secure Corporate Communications

Samanta Fumagalli

24.07.18 19 minuti di lettura

Articolo in primo piano

Post correlati

Newsletter modal

Grazie del tuo interesse per la newsletter di F-Secure. Riceverai a breve un email per confermare la sottoscrizione.

Gated Content modal

Congratulazioni – ora puoi accedere al contenuto cliccando sul bottone sottostante.