skip to Main Content

Phishing, il caso di Rancor conferma che è ancora apprezzato dal cybercrime

Phishing, Il Caso Di Rancor Conferma Che è Ancora Apprezzato Dal Cybercrime

di Pierguido Iezzi

Il phishing è ancora oggi una delle strategie più apprezzate e usate dal cybercrime per rubare dati sensibili

Il Phishing è ancora una delle strategie più utilizzate e apprezzate dal cybercrime e dai gruppi di cyber spionaggio per ottenere i dati sensibili degli utenti. Dalle carte di credito alle password di accesso ai servizi di home banking, le possibilità e soprattutto i bersagli sono svariati. Lo scopo? Dalla pura e semplice estorsione o truffa fino a cercare di stabilire la prima testa di ponte per un attacco più devastante o redditizio (si pensi a un Ransomware). Lo conferma il caso di Rancor. Anche se aggirare una vittima era molto facile con gli attacchi di phishing, l’evoluzione costante delle tecnologie di rilevamento delle minacce e l’aumento della consapevolezza informatica tra le persone, de facto, ha rallentato il rateo di successo dai picchi che si registravano verso la fine degli Anni 90- primi Duemila. 

Meno attacchi cibernetici di questo tipo hanno successo, ma cresce il valore dei dati rubati. Le campagne diventano quindi sempre più sofisticate, il caso di Rancor lo conferma

Non dobbiamo, però, sottovalutare la minaccia, perché il valore delle informazioni estrapolabili da un singolo attacco cibernetico oggi è enormemente superiore a ciò che si poteva ottenere anni fa e può comportare danni catastrofici sia per il singolo sia per l’associazione dove lavora! Per rendere il sistema sempre più sofisticato e al passo con i tempi, molti elementi del cybercrime hanno cominciato ad organizzarsi in gruppi sempre più sofisticati e a dedicare molto più tempo, energie e ricerca alla costruzione di campagne di Phishing ben strutturate. In una di queste ultime, scoperte dai ricercatori Cyber Security presso una nota società americana, è stato riconosciuto l’operato un gruppo cinese: Rancor. Questo ha condotto attacchi molto mirati ed estesi contro quasi tutti gli organi governativi degli stati dell’area del sud est asiatico (in particolare nel periodo che va da dicembre 2018 a giugno 2019). 

Il gruppo del cybercrime ha portato avanti la sua offensiva cyber per sette mesi, aggiornando costantemente le TTP e usando esche molto credibili per le vittime

Il fatto interessante di questa campagna è che, oltre a essere durata 7 mesi, ha visto un costante aggiornamento delle tattiche, degli strumenti e delle procedure (TTP o Tactics, Techniques and Procedures) da parte dei cyber criminali. Rancor, in base a quali erano i suoi obiettivi, elaborava contenuti email phishing e documenti di richiamo che, a una prima lettura, sembravano molto convincenti. Gli attacchi cyber osservati sono iniziati con email inviate per conto di dipendenti provenienti da diversi dipartimenti governativi, ambasciate o entità legate al governo del Paese preso di mira in quel momento. Gli aggressori, peraltro, sembravano determinati a raggiungere specifici obiettivi, poiché decine di email venivano inviate ai dipendenti impiegati all’interno degli stessi ministeri. Per dare più credibilità alla campagna, inoltre, l’origine delle comunicazioni era stata sapientemente falsificata per renderle più affidabili agli occhi delle vittime. 

I ricercatori di cyber security hanno scoperto diverse combinazioni di TTP in base alla sequenza temporale, alla consegna, alla persistenza e ai payload. Tucco, però, comincia sempre con una email di spear phishing

I ricercatori di cyber security hanno scoperto diverse combinazioni di TTP in base sequenza temporale, consegna, persistenza e ai payload. Quindi le hanno combinate in otto varianti principali. Ognuna è iniziata con una classica email di spear-phishing, contenente un documento dannoso progettato per eseguire macro e per sfruttare vulnerabilità già note per installare un backdoor sui PC delle vittime e ottenere pieno accesso ai sistemi. La maggior parte delle email consegnate conteneva, inoltre, argomenti legittimi relativi al governo: da istruzioni per gli impiegati a lettere ufficiali, comunicati stampa, sondaggi e altro. Sembravano anche essere inviati da altri funzionari governativi.  È interessante notare che, come parte della catena di infezione, nella maggior parte delle campagne Rancor usa anche propri eseguibili legittimi, firmati e affidabili, dei principali prodotti antivirus. Ciò per caricare lateralmente file DLL dannosi, eludendo il rilevamento e in particolare i prodotti di monitoraggio comportamentale.

La campagna phishing è stata progettata per colpire in maniera persistente il governo cinese e potrebbe essere replicata contro qualunque paese, cambiando pochi elementi

Sebbene le catene di attacchi abbiano coinvolto attività senza file – come l’uso di macro VBA, codice Powershell e strumenti legittimi integrati di Windows -, questa campagna di Rancor non è stata progettata per raggiungere un approccio senza file. Bensì per colpire in modo persistente la Cina. Ad oggi non abbiamo visto attacchi cibernetici così aggressivi e continuativi contro un governo. Peraltro, replicarli contro altri paesi sarebbe semplice. Non servirebbe cambiare molto nello schema, a parte tradurre tutti i suoi documenti di richiamo e includere temi che possano innescare l’interesse della vittima. 

Il gruppo del cybercrime continuerà a evolversi e a modificare le sue TTP per lanciare nuovi attacchi. L’Italia, anche se è un bersaglio poco probabile, non è comunque immune

Comunque, questo ultimo caso che ha coinvolto molti Paesi asiatici, non è stato il debutto sulla scena di Rancor. Il gruppo del cybercrime, infatti, era stato scoperto in precedenza mentre effettuava attacchi informatici massicci contro la Cambogia e Singapore. Perciò, è facile prevedere come non solo continuerà ad evolversi e a modificare le sue TTP, ma che cercherà anche un modo per bypassare qualsiasi perimetro di Cyber Security venga posto davanti. Sebbene sia meno probabile che in Italia avvenga un attacco informatico della stessa magnitudine di quello perpetuato dagli hacker malevoli, è bene non abbassare mai la guardia. Soprattutto se si lavori per un ente governativo o svolga una mansione pubblica. Le email sospette, oltre a contenere virus che possono mandare in tilt i PC, sono spesso l’anticamera di tentativi di phishing e di richieste di payload. 

 5 consigli per difendersi dal phishing e prevenire un cyber attacco potenzialmente dannoso

Oltre a installare un firewall e un programma antivirus affidabili, ecco 5 consigli che si possono attuare per difendersi dall’email phishing e prevenire un attacco potenzialmente dannoso:

  1. Non aprire email provenienti da indirizzi sospetti: se non sei sicuro, non cliccare, scaricare file o aprire email che sembrano provenire da indirizzi email sospetti, nemmeno se sembrano affidabili. Diffida anche delle email che richiedono informazioni riservate, come dati personali o bancari.
  2. 2) Fai attenzione ai link abbreviati: i link abbreviati, compresi quelli presenti sui social media, spesso vengono usati dai cybercriminali per condurre l’utente ad un sito infetto per rubargli i dati personali o eseguire un attacco drive-by-download, infestando così il suo dispositivo con malware.
  3. L’email sembra sospetta? Leggila di nuovo: la maggior parte delle email di phishing sono riconoscibili, perché contengono errori di battitura, parole in maiuscolo o punti esclamativi. I criminali informatici spesso li commettono apposta per superare i controlli antispam. 
  4. Diffida dalle minacce e dalle scadenze urgenti: le minacce, così come l’urgenza, sono un chiaro segno di phishing. Ignorale e, se hai dubbi, contatta l’azienda via telefono o altri canali attendibili, ma non usare l’email.
  5. Non usare mai il wi-fi pubblico: se devi mandare un’email importante per conto del tuo ufficio, immettere informazioni personali online o eseguire una transazione bancaria, è fortemente sconsigliato usare il wi-fi pubblico. 
Back To Top