Le tecniche di evasione renderanno il ransomware ancora più efficace—#2021Predictions

by Maria Patricia Revilla Dacuno, Ricercatrice, Tactical Defense Unit

Diversi sviluppi avvenuti nel 2020 contribuiranno a plasmare l’evoluzione degli attacchi ransomware nel 2021.

Quest’anno, i ransomware Ragnar Locker e Maze sono stati osservati utilizzando macchine virtuali che eseguono VirtualBox di Oracle, implementando attacchi ransomware per evitare i rilevamenti della protezione degli endpoint (EPP). Poiché l’EPP proteggerà l’host immediato ma non le immagini della macchina virtuale generate, il campione di ransomware sarà invisibile all’EPP. È ragionevole presumere che altre famiglie di ransomware possano seguire la stessa tecnica e che altri autori di minacce sviluppino nuove tecniche di evasione per evitare di essere bloccati da diversi tipi di tecnologie EPP.

Emotet, una famiglia di malware che ha acquisito notorietà per la distribuzione di Trickbot (che poi distribuisce il ransomware Ryuk), ha sfruttato tattiche di social engineering migliorate nelle sue campagne di spam nel 2020. I ricercatori hanno anche registrato l’utilizzo di un nuovo modulo che ruba allegati email oltre a rubare contenuti email. Si è visto inoltre che gli allegati rubati sono stati usati come tecnica di “dirottamento del thread di posta elettronica”. Ciò si traduce in un’email falsificata che riutilizza le informazioni leggibili nel documento rubato in un documento malevolo per aumentare la credibilità dell’email. Considerando le capacità di furto di contenuti di Emotet, possiamo immaginare che gli attaccanti possano pensare a più modi per personalizzare gli attacchi in base alle informazioni che raccolgono. Inoltre, le campagne di spam di Emotet hanno iniziato a utilizzare archivi protetti da password per impedire ai prodotti di sicurezza di scansionare i documenti malevoli. Tutti questi sviluppi confermano gli sforzi degli operatori di Emotet per rendere i loro attacchi ancora più efficaci. I difensori devono prepararsi ai nuovi sviluppi di questa minaccia.

Un altro sviluppo significativo sono state le scoperte di Buer e BazarLoader, nuovi loader per la distribuzione del ransomware Ryuk. Si può ipotizzare che la notorietà di Emotet possa aver motivato gli attaccanti a provare nuove offerte di “loader-as-a-service”. I due nuovi loader utilizzano l’archiviazione in cloud come Google Docs per distribuire payload (rispetto all’uso di Emotet di siti web compromessi). Gli attaccanti potrebbero provare nuovi loader con nuove tecniche per evitare la detection, o potrebbe essere dovuto a prezzi più competitivi da parte degli operatori. Ma qualunque sia la ragione, probabilmente vedremo più attori offrire nuovi servizi agli autori delle minacce ransomware.