Passa ai contenuti principali

CISA rilascia un avviso sul ransomware Conti, rileva un aumento degli attacchi dopo oltre 400 incidenti

Mercoledì la CISA (Cybersecurity and Infrastructure Security Agency) ha inviato un avviso incentrato sul ransomware Conti, fornendo informazioni dettagliate alla comunità della sicurezza informatica sul gruppo ransomware e sui suoi affiliati.

Sia la CISA che l'FBI hanno affermato di aver visto più di 400 attacchi che coinvolgono il ransomware di Conti contro organizzazioni statunitensi e imprese internazionali. L'FBI ha già coinvolto Conti in attacchi contro almeno 290 organizzazioni negli Stati Uniti. CISA ha offerto un'analisi tecnica sul funzionamento tipico degli operatori del gruppo ransomware e sulle misure che le organizzazioni possono adottare per mitigare potenziali attacchi.

La CISA ha notato che mentre Conti gestisce un modello ransomware-as-a-service, lo fa in modo leggermente diverso rispetto ad altri. Invece di pagare agli affiliati una parte dei guadagni che provengono dai riscatti, il gruppo paga uno stipendio ai distributori del ransomware, secondo CISA.

Rob Joyce, direttore della sicurezza informatica della NSA, ha affermato che i criminali informatici che ora gestiscono il ransomware-as-a-service Conti hanno storicamente preso di mira infrastrutture critiche, come la Defense Industrial Base (DIB). Ha aggiunto che l'avviso evidenzia le azioni che le organizzazioni possono intraprendere in questo momento per contrastare la minaccia.

"La NSA lavora a stretto contatto con i nostri partner, fornendo informazioni critiche e consentendo operazioni per contrastare le attività ransomware. Consigliamo vivamente di utilizzare le mitigazioni delineate in questo advisory per proteggersi dal malware Conti e mitigare il rischio contro qualsiasi attacco ransomware", ha affermato Joyce.

Su Twitter , Joyce ha affermato che gli attacchi di Conti sono in aumento e ha esortato le organizzazioni a utilizzare l'MFA, segmentare le proprie reti ed esplorare l'utilizzo di un sistema di gestione delle patch per mantenere le reti aggiornate.

CISA ha spiegato che gli attori di Conti in genere utilizzano una varietà di metodi e strumenti per infiltrarsi nei sistemi, comprese campagne di spearphishing, software di monitoraggio e gestione remoti e software desktop remoto.

Le campagne di spearphishing viste da CISA hanno utilizzato e-mail su misura che contengono allegati o collegamenti dannosi.

Credenziali RDP (Remote Desktop Protocol) rubate o deboli, telefonate, software fasullo promosso tramite l'ottimizzazione dei motori di ricerca, altre reti di distribuzione di malware come ZLoader e vulnerabilità comuni in risorse esterne sono stati tutti citati come strumenti utilizzati dagli attori Conti durante gli attacchi ransomware.

"Gli allegati dannosi di Word contengono spesso script incorporati che possono essere utilizzati per scaricare o rilasciare altri malware, come TrickBot e IcedID e/o Cobalt Strike, per assistere con il movimento laterale e le fasi successive del ciclo di vita dell'attacco con l'obiettivo finale di distribuire il ransomware Conti", ha spiegato CISA.

"Nella fase di esecuzione, gli attori eseguono un payload getuid prima di utilizzare un payload più aggressivo per ridurre il rischio di attivare i motori antivirus. CISA e FBI hanno osservato che gli attori Conti utilizzano Router Scan, uno strumento di test di penetrazione, per scansionare in modo dannoso e brute force router , fotocamere e dispositivi di archiviazione collegati alla rete con interfacce Web. Inoltre, gli attori utilizzano gli attacchi Kerberos per tentare di convincere l'hash dell'amministratore a condurre attacchi di forza bruta".

Gli operatori del ransomware di Conti sono stati visti anche utilizzare software di monitoraggio e gestione remoti e software desktop remoto come backdoor per mantenere la persistenza nella rete di una vittima.

La CISA ha spiegato che a volte il gruppo ransomware e i suoi affiliati utilizzano strumenti già presenti sulla rete della vittima o aggiungono strumenti come Windows Sysinternals e Mimikatz per "ottenere hash degli utenti e credenziali in chiaro, che consentono agli attori di aumentare i privilegi all'interno di un dominio e svolgere altre attività post-sfruttamento e di movimento laterale."

Il malware TrickBot viene utilizzato anche in alcuni casi come un modo per svolgere altre attività post-sfruttamento.

L'advisory ha osservato che "gli artefatti di un 'playbook' di un attore di minacce trapelato di recente, identificano gli indirizzi IP che gli attori di Conti hanno utilizzato per la loro attività dannosa". Il playbook mostra anche che gli operatori Conti mirano a sfruttare le vulnerabilità in risorse senza patch come le vulnerabilità del server Microsoft Windows Server Message Block 1.0 del 2017, la vulnerabilità " PrintNightmare " e la vulnerabilità "Zerologon".

"La CISA e l'FBI hanno osservato che gli attori Conti utilizzano diversi indirizzi IP del server Cobalt Strike univoci per diverse vittime. Gli attori Conti usano spesso il programma a riga di comando open source Rclone per l'esfiltrazione dei dati", afferma l'advisory.

"Dopo che gli attori hanno rubato e crittografato i dati sensibili della vittima, impiegano una doppia tecnica di estorsione in cui chiedono alla vittima di pagare un riscatto per il rilascio dei dati crittografati e minacciano la vittima con il rilascio pubblico dei dati se il riscatto non viene pagato ."

Come ha detto Joyce, CISA, FBI e NSA hanno suggerito alle organizzazioni di segmentare le loro reti, filtrare il traffico, scansionare le vulnerabilità e rimanere aggiornate con tutte le patch. Hanno aggiunto che le applicazioni non necessarie e i controlli applicati dovrebbero essere rimossi, gli endpoint e gli strumenti di risposta al rilevamento dovrebbero essere implementati e l'accesso dovrebbe essere limitato attraverso le reti.

Conti si è fatta un nome dopo aver attaccato centinaia di istituzioni sanitarie, incluso un debilitante attacco ransomware all'Esecutivo del servizio sanitario irlandese il 14 maggio, così come scuole come l'Università dello Utah e altre organizzazioni governative come il governo della città di Tulsa, Oklahoma e l'Agenzia scozzese per la protezione dell'ambiente .

Allan Liska, esperto di ransomware e membro del team di risposta agli incidenti di sicurezza informatica presso Recorded Future, ha affermato che gran parte di ciò che era nell'avviso era ben noto nella comunità della sicurezza delle informazioni. Ma ha notato che gli esperti non sono il pubblico di destinazione dell'advisory.

"Ci sono molte persone della sicurezza che lo troveranno molto utile perché gli strumenti utilizzati da Conti sono utilizzati da altri gruppi di ransomware. Ad esempio, rclone è menzionato nel rapporto. Vedo rclone utilizzato da molti gruppi di ransomware ma raramente da dipendenti legittimi di un'organizzazione, quindi cercare hash rclone sugli endpoint potrebbe essere utile", ha affermato Liska.
Tag:

Commenti

Posta un commento

Popolari

Attenzione al phishing via Booking.com , un caso reale e subdolo

Di recente, mio fratello mi ha raccontato un'esperienza che merita la massima attenzione. Dopo aver prenotato un hotel tramite Booking.com , ha ricevuto una mail dall’aspetto legittimo con oggetto simile a: "Your reservation is at risk of cancellation" Nel corpo del messaggio, un tono urgente: Hi, There's a page ready for you to visit now. www. xxxxxxxxxx . xxx <- sito truffa Please review it in the next 6 hours. Otherwise, your progress may be affected. Quasi in contemporanea, è arrivato un altro messaggio via "chat di Booking" (mail) , apparentemente dallo stesso hotel prenotato. Stesso contenuto, stesso link. Il phishing camuffato da "verifica prenotazione" Il sito di destinazione era una pagina clonata alla perfezione: Al primo step chiedeva i dati personali. Al secondo step, come prevedibile, chiedeva i dati della carta di credito, con la solita formula "Per motivi di sicurezza, l'importo verrà solo temporaneamente trattenuto e po...
Posta un commento
Continua a leggere »

Dopo le bombe, i byte. La guerra ibrida tra USA, Iran e Israele

Nella notte tra sabato e domenica, le bombe americane hanno colpito i siti nucleari iraniani con una precisione chirurgica che ha fatto rumore nel mondo fisico. Ma mentre le polveri si depositavano a Fordow e Isfahan, un altro fronte si apriva, invisibile agli occhi ma cruciale: il cyberspazio. E lì, non ci sono sirene né detriti, solo silenzi improvvisi nelle connessioni, pacchetti che non arrivano, servizi che collassano. Da quel momento, l’escalation digitale ha cominciato a prendere forma, accelerando quella che è, a tutti gli effetti, una guerra informatica attiva tra Iran, Israele e Stati Uniti. Nei minuti successivi ai bombardamenti, l’Iran ha cominciato a limitare drasticamente l’accesso alla rete. Una mossa difensiva, certo, ma anche preventiva. Staccare i cavi è una strategia antica quanto efficace: nessuna connessione, nessuna infiltrazione, nessuna fuga di dati. È stato documentato un blackout della connettività con punte del 97% in alcune regioni. La linea è semplice: se t...
Posta un commento
Continua a leggere »

Troppo pericolose insieme. Cina e Russia sono davvero alleate?

Secondo un’inchiesta pubblicata dal New York Times, confermata anche dal Financial Times e da fonti ucraine, hacker cinesi avrebbero violato i sistemi informatici russi rubando informazioni militari sensibili, comprese quelle sulla guerra in Ucraina. È un episodio clamoroso che mette in dubbio la tanto sbandierata "partnership senza limiti" tra Vladimir Putin e Xi Jinping. Mentre a livello ufficiale Mosca e Pechino si mostrano unite contro l’Occidente e proclamano intese strategiche, nel cyberspazio sembrano valere altre logiche: quelle del sospetto reciproco e della supremazia informativa. I gruppi cinesi, probabilmente legati all’intelligence di Pechino, hanno preso di mira agenzie statali russe e contractor della difesa, sottraendo piani, analisi e forse perfino vulnerabilità operative. Questa non è una semplice contraddizione, è una crepa. E fa emergere una realtà molto più spietata: l’interesse nazionale viene prima di ogni alleanza ideologica, soprattutto quando si parl...
Posta un commento
Continua a leggere »