skip to Main Content

Cybercrime, cosa ci insegnano gli attacchi ransomware ai Microsoft Exchange server

di Pierguido Iezzi

Cybercrime, gli attacchi ai Microsoft Exchange server sono una delle offensive più ampie e rilevanti di sempre

È notizia piuttosto recente (lo scorso12 marzo) il lancio di attacchi ransomware del cybercrime ai danni dei server di Exchange, prodotto Microsoft colpito da una delle offensive più larghe e rilevanti degli ultimi anni. Proprio a seguito della messa a disposizione delle patch, per risolvere i problemi di sicurezza al software usato in migliaia di sistemi informatici, si è registrato un picco di attacchi con questo tipo di malware. Nell’ultima settimana di marzo si è arrivati a più di 50mila aggressioni su scala globale, un numero triplo rispetto alla media del periodo precedente.

Quale ransomware è stato rilasciato e come si è comportato? Partiamo da DearCry/DoejoCrypt

La prima variante del ransomware che è stata rilevata è DearCry/DoejoCrypt. Questo copia e cifra i file prima di sovrascrivere ed eliminare gli originali, seguendo la falsariga del modus operandi di WannaCry. Le aggressioni del cybercrime iniziano con una variante della web shell China Chopper, che viene rilasciata in un server Exchange già violato, come chiarito da Microsoft stessa. Il resto della procedura d’attacco prevede la scrittura di un batch file per dare agli aggressori accesso alle password degli utenti locali a sistema. Come evidenziato dall’azienda produttrice, viste le configurazioni usate normalmente dagli admin sui server di Exchange, molti sistemi infetti dispongono di almeno un servizio o di un task programmato configurato con un account ad alte credenziali per eseguire task come il backup. Dato che queste credenziali non vengono cambiate frequentemente, si può creare un grande vantaggio a un aggressore, anche nel caso in cui perdesse accesso alla Web shell iniziale a causa del rilevamento della stessa da parte di un anti-virus. L’header che il ransomware DoejoCrypt aggiunge ai file infetti è molto simile allo stesso usato negli attacchi con WannaCry, facendo sorgere solide congetture che puntano su una sostanziale coincidenza fra i 2 gruppi a capo di queste offensive.

Una seconda campagna malware: quella di Black KingDom

Il 18 marzo gli esperti di cybersecurity di Sophos hanno rilevato un’altra offensiva con il ransomware, che aveva come obiettivo i server di Exchange vulnerabili. Solitamente, queste campagne iniziano prima del weekend perché la maggior parte dei team IT sono sotto staff in questo periodo o non prestano particolare attenzione allo stato del sistema informatico. Ma in questo caso il malware Black KingDom non sembrerebbe avere nulla in comune con DoejoCrypt, tranne l’obiettivo e la circostanza che sfrutti la stessa vulnerabilità. A un primo sguardo, la fattura di Black KingDom sarebbe rudimentale, quasi amatoriale, costruito da un gruppo o da un hacker criminale alle prime armi. Il ransomware è stato scritto in Python, con il codice sorgente originale incorporato all’interno del binary del ransomware, permettendo così ai ricercatori di risalire al codice originale tramite reverse-engineering.

Gli attori del cybercrime dietro all’aggressione sembrano “amatoriali”

L’approccio amatoriale dell’attacco è ancora più evidente guardando nel dettaglio come questo malware punti ad ottenere la cifratura dei file colpiti. Normalmente un ransomware seleziona un’unica estensione per ogni file che vuole crittare, il che significa che questi tipi di file non verranno cifrati due volte. Nel caso di Black KingDom, viene scelta randomicamente un’estensione per ogni file che viene cifrato. Un approccio inusuale, come detto, considerando anche che il il ransomware non controlla nemmeno se un file sia già stato cifrato o meno, a differenza della totalità dei malware utilizzati solitamente in questo ambito. Si tratta di programmi come Ryuk, REvil o Clop che utilizzano questi controlli automatici in modo da agire in maniera rapida ed efficiente, evitando di cifrare lo stesso file 2 volte. La cosa più vicina a questo tipo di “controllo” da parte di Black KingDom è il rilascio di una specifica nota di riscatto nella macchina della vittima. Ma se una vittima toglie la nota, la macchina può essere nuovamente cifrata, rendendo la decifratura ancora più complessa, anche nel caso di pagamento del riscatto.

Come è stato possibile che nonostante la “scarsa professionalità” dei criminali cibernetici, questi abbiano avuto successo? Ciò è la conferma che nella cybersecurity non si deve abbassare la guardia

Un altro tratto che ha fatto comprendere la scarsa professionalità delle operazioni che stanno dietro a Black KingDom è la bassa cifra del riscatto richiesto: soli 10.000 dollari, un importo irrisorio rispetto alla media delle richieste attuali in questo specifico ambito. L’aspetto sorprendente è che un gruppo apparentemente alle prime armi sia riuscito a completare un attacco di questo tipo, soprattutto considerando che Hafnium, il primo collegato ad attacchi su questo tipo di vulnerabilità, è un’APT collegata all’establishment cinese. Potrebbe forse trattarsi di un ritorno di fiamma di un’organizzazione che si era concentrata su altri temi, considerando che Black KingDom potrebbe essere legato in qualche modo a un malware visto nel 2020. In quel caso gli obiettivi erano macchine con una versione vulnerabile del software Pulse Secure VPN. L’incremento di offensive con ransomware registrato nell’ultimo periodo dovrebbe sensibilizzare aziende ed enti governativi sulla cruciale importanza del tema. Progettare e implementare una “patch policy” adeguata è il primo fondamentale step per rendere più sicuri i propri dati ed evitare che il proprio sistema venga compromesso con enormi ripercussioni dal lato economico e reputazionale.

Non abbassiamo la guardia!

Back To Top