Attacco hacker alla regione Lazio… Sai che è alle porte di tutti?

Gli hacker per portare a termine con successo tale attacco, hanno sempre bisogno di tutti noi. Non sono mica dei maghi. Anche se non lo ammetteremo mai, se siete vittima di un attacco simile e perchè nell’arco del mese precedente alla richiesta di riscatto avete eseguito un azione poco “sana” nell’uso quotidiano del computer.
Cosa si intende per poco sana?
Le email di phishing (che ci invitano a cliccare su un determinato link o a scaricare un certo file) continuano ad essere la modalità più diffusa, che sfrutta la scarsa attenzione e la mancanza di consapevolezza degli utenti.

Spesso il messaggio di posta elettronica che viene mascherata in modo che risulti inviata da qualcuno di cui ci fidiamo, ad esempio un collega di lavoro (con la tecnica nota come “spoofing”). In altri casi, cybercriminali sfruttano vulnerabilità presenti nei vari programmi – come Java, Adobe Flash o nei diversi sistemi operativi.

In quest’ultimo caso, il software malevolo si propaga in maniera autonoma senza che l’utente debba compiere alcuna azione.

I vettori d’infezione utilizzati dai ransomware sono sostanzialmente i medesimi usati per gli altri tipi di attacchi malware:

1. Il più diffuso, perché purtroppo continua a funzionare molto bene, sono le email di phishing: attraverso questa tecnica, che sfrutta il social engineering (ingegneria sociale) vengono veicolati oltre il 75% dei ransomware. A tutti noi sarà capitato di ricevere email da spedizionieri, o con false bollette allegate. Sono evidentemente e-mail di phishing, ma le statistiche ci dicono che nel 10% dei casi questi messaggi vengono aperti dagli utenti ed addirittura, secondo il Verizon Data Breach Investigation Report, in circa il 2-5% dei casi vengono cliccati anche gli allegati o i link presenti nelle email permettendo così l’infiltrazione del malware.
2. Attraverso la navigazione su siti compromessi: il cosiddetto “drive-by download” (letteralmente: scaricamento all’insaputa) da siti nei quali sono stati introdotti, da parte di attaccanti che sono riusciti a violare il sito o che hanno realizzato appositamente siti fake simili ad altri più noti, exploit kit che sfruttano vulnerabilità dei browser, di Adobe Flash Player, Java o altri. I cybercriminali compromettono ed infettano (con JavaScript, HTML, exploit) i siti visitati dalle potenziali vittime. In questo caso muta lo scenario poiché è la vittima ad andare nel sito infetto e non l’attaccante a sollecitarne la visita attraverso una email. Si presentano, per esempio come banner pubblicitari o pulsanti che ci invitano a cliccare. A quel punto verremo indirizzati su siti malevoli, diversi dall’originale, ove avverrà il download del malware.
3. Usando un supporto rimovibile, per esempio una chiavetta USB contenente il software malevolo. Questa tecnica si chiama “baiting” (esca) e – così come le email di phishing – fa leva sul fattore umano e sulla curiosità delle persone. In pratica viene lasciato incustodito in un luogo comune (ingresso dell’azienda, mensa, parcheggio ecc.) un supporto di memorizzazione come una chiavetta USB o un hard disk contenenti malware (che si attiveranno appena l’oggetto sarà collegato al computer). E la curiosità umana fa sì che in molti casi questa esca (bait) funzioni e la persona inserisca la chiavetta sconosciuta nel proprio computer.
4. All’interno (in bundle) di altri software che vengono scaricati: per esempio programmi gratuiti che ci promettono di “crackare” software costosi (spesso anche videogiochi) per utilizzarli senza pagare. È una pratica che oggi è diventata assai pericolosa, perché il crack che andremo a scaricare sarà un eseguibile (.exe) dentro il quale ci potrebbe essere anche una brutta sorpresa. Nei primi mesi del 2021 si segnalano campagne di ransomware che vengono veicolati attraverso versioni craccate (quindi gratuite) di noti programmi a pagamento, soprattutto Microsoft Office e Adobe Photoshop CC.
5. Attacchi attraverso il desktop remoto (RDP: Remote Desktop Protocol, posizionato in genere sulla porta 3389): sono attacchi con furto di credenziali (per accedere ai server attraverso RDP e prenderne il controllo. I computer ed i server con RDP attivo ed esposti in rete sono soggetti ad attacchi mirati ad ottenere le credenziali di accesso (in genere con attacchi di tipo brute force). Una volta ottenuto l’accesso al sistema, il cyber criminale potrà eseguire varie operazioni, quali: furto di credenziali e dati e – appunto – iniezione del ransomware.
6. Attraverso lo sfruttamento di vulnerabilità. Citiamo solo due casi molto famosi: il celebre WannaCry del maggio 2017 (che utilizzava la vulnerabilità del protocollo Windows Server Message Block versione 1.0 (SMBv1) e l’attacco del marzo 2021 che ha utilizzato vulnerabilità di Microsoft Exchange Server (il software che aziende e organizzazioni in tutto il mondo utilizzano per gestire email e calendari) per distribuire ransomware dopo la compromissione dei server. Microsoft ha assegnato a questa nuova famiglia di ransomware il nome Win32/DoejoCrypt.A. (o anche, più semplicemente, DearCry). L’attacco sembra partito dal gruppo di cyber criminali cinesi denominato Hafnium e sfrutta le vulnerabilità zero-day di Microsoft Exchange per infiltrarsi nei server Exchange locali delle vittime, accedendo alle caselle di posta elettronica delle aziende per sottrarne il contenuto e per iniettare malware.