skip to Main Content

Cybercrime, la minaccia di Egregor è sempre più concreta anche secondo l’FBI

di Pierguido Iezzi

Egregor si conferma una minaccia sempre più concreta, lo conferma anche l’FBI

Egregor, rilevato per la prima volta a settembre 2020, è stato protagonista di una serie di attacchi ad alto profilo avvenuti in una piccola finestra temporale, che hanno visto come vittime importanti operatori del retail e altre organizzazioni di fama internazionale. Secondo l’FBI, il ransomware avrebbe già colpito più di 150 organizzazioni. Il Bureau ha avvertito le aziende del settore privato a seguito di una serie di attacchi che hanno visto protagonista il malware. Questo sta attualmente imperversando nei sistemi informatici di tutto il mondo, creando problemi anche a diverse multinazionali. Attraverso il bollettino PIN (Private industry Notification) viene fatta nuova luce sul funzionamento di questo codice del cybercrime, capace di generare grattacapi e mal di testa ai responsabili di cybersecurity di diverse organizzazioni fra cui il venditore al dettaglio di libri Barnes & Noble, la catena della grande distribuzione nordamericana Kmart, il produttore di videogiochi Ubisoft e la società che gestisce la metropolitana di Vancouver, Translink.

Le caratteristiche del ransomware

Egregor – il cui nome deriverebbe dal greco antico egregoros (traducibile con insonne) – è un concetto mistico che rappresenterebbe un’entità immateriale sorta dalla riunione di un gruppo di persone. Dal lato informatico, è un ransomware frutto del lavoro di un numero rilevante di threat actors del cybercrime, attivo secondo lo schema del ransomware-as-a-service, come spiegato dall’FBI stessa. “A causa del gran numero di aggressori coinvolti nell’utilizzo di Egregor, le tattiche, le tecniche e le procedure (TTP) utilizzate nel suo dispiegamento possono variare sensibilmente, creando notevoli problematiche nello sviluppo di efficaci contromisure preventive e difensive”, ha fatto sapere un rappresentante del Federal Bureau of Investigation. Il malware è in grado di compromettere le reti aziendali in tanti modi diversi. Il primo aspetto d’interesse riguarda il targeting, ovvero la precisa messa nel mirino degli account personali di dipendenti che condividono l’accesso con le reti o con i dispositivi aziendali.

Come si veicola il malware

Egregor può entrare in un sistema informatico anche tramite e-mail di phishing con allegati dannosi, o attraverso protocollo RDP (Remote Desktop Protocol) o VPN. Il numero e la varietà dei punti d’accesso di questa minaccia rappresentano una delle caratteristiche fondamentali del ransomware in oggetto. Una volta ottenuto l’accesso, i threat actors possono muoversi lateralmente all’interno delle reti. All’interno delle campagne offensive è stato rilevato anche l’utilizzo di comuni strumenti di pen-testing (test di penetrazione) e lo sfruttamento di exploit come Cobalt Strike, Qakbot/Qbot, Advanced IP Scanner e AdFind al fine di elevare i privilegi all’interno delle reti ed eseguire ulteriori movimenti laterali. Fra gli altri tool utilizzati, possiamo citare Rclone – a volte rinominato o nascosto come “svchost” – e 7zip per estrarre i dati. A conferma di quanto già osservato in passato, l’FBI ha dichiarato di aver identificato il ransomware per la prima volta a settembre e ha affermato che i threat actors che operano dietro a questo malware stanno affinando costantemente il loro approccio.

Egregor è il primo malware a usare le stampanti della vittima per le richieste di riscatto

Il documento pubblicato dal Federal Bureau of Investigation descrive anche come si presenta alle vittime il tipico modus operandi di Egregor, paragonabile a quanto già osservato anche in attacchi noti del passato recente.  Oltre a tratti tipici di altri ransomware, come la tecnica dell’esfiltrazione e la cifratura dei file in rete, per non parlare della “firma”, ovvero l’avviso del riscatto lasciato sulle macchine violate per fornire alle vittime i prossimi passi per mettersi in contatto con i cyber criminali, ha anche una caratteristica unica. Gli aggressori che tirano le fila del malware utilizzano spesso la funzione di stampa sulle macchine delle vittime per stampare le richieste di riscatto. Al momento, si tratterebbe dell’unico ransomware visto eseguire script che ordinano alle stampanti aziendali di stampare senza soluzione di continuità la richiesta di riscatto.

Non manca la double extortion per aumentare il pressing sui bersagli

Se le vittime si rifiutano di pagare, il gruppo del cybercrime pubblica i dati delle vittime su un sito accessibile al pubblico. Tuttavia, l’FBI, come molti esperti di cyber security, consiglia alle organizzazioni di non pagare il riscatto. La risoluzione della questione tramite una transazione incoraggerebbe infatti gli aggressori a replicare tale attacco verso altre organizzazioni, oltre a incentivare altri criminali all’utilizzo di tecniche simili. Pagare il riscatto, inoltre, non garantisce il recupero dei file sottratti o compromessi.  “Tuttavia, l’FBI comprende come un’azienda, resa incapace di operare normalmente, tramite il suo management valuti tutte per proteggere i propri azionisti, dipendenti e clienti”, ha dichiarato a margine della nota l’Agenzia.

Il malware usa differenti elementi di crittografia: da AES a RSA-2048, passando per ChaCha

Ciò che rende Egregor particolarmente pericoloso è il fatto che questo utilizza differenti algoritmi di crittografia tra cui AES, RSA-2048 e ChaCha . AES (Advanced Encryption Standard) è l’algoritmo di crittografia preferito da governi, istituzioni finanziarie e imprese. Per esempio la U.S. National Security Agency (NSC) lo usa per proteggere le informazioni “top secret” del paese. In realtà, l’AES non è mai stato cracckato, e sulla base delle attuali tendenze tecnologiche, si prevede che rimarrà sicuro per gli anni a venire. RSA, invece, prende il nome dagli scienziati dell’ MIT (Rivest, Shamir e Adleman) che l’hanno descritta per la prima volta nel 1977. Si tratta di un algoritmo asimmetrico che utilizza una chiave nota al pubblico per la cifratura, ma richiede una chiave diversa, nota solo al destinatario, per la decifrazione. Egregor combina questi algoritmi per rendere impossibile o quasi la decrittazione.

Come reagire se si è stati infettati

Ovviamente, davanti a una “potenza di fuoco” così impressionante, non sempre è possibile evitare un attacco ransomware.  Per questo è necessario impostare un piano ben strutturato di Incident Response, pensato in modo tale da essere in grado di adempiere in termini di obblighi legislativi (in particolare è cruciale essere compliant con la normativa vigente di data protection) e di Business Continuity con un approccio coerente, sostenibile, efficace ed efficiente. Idealmente un piano di Incident Response deve seguire 5 fasi ben strutturate:

  • Investigazione: per identificare i vettori d’attacco, determinare i punti d’ingresso, stabilire i target e isolare le tecniche e le metodologie utilizzate.
  • Contenimento: per identificare le vulnerabilità e criticità del sistema, definirne il livello di Severity e valutare la possibilità di exploit.
  • Sanitizzazione: per eliminare i componenti chiave e scatenanti dell’Incident.
  • Recovery: per determinare l’efficacia del piano di Remediation precedente attraverso una Gap Analysis e misurare i Security Key Performance Indicator.
  • Reporting: per avere una dettagliata documentazione inerente al processo di data breach Incident Response.

Non abbassiamo la guardia!

Back To Top