Discussione strategie attacco ransomware e diffusione

Stato
Discussione chiusa ad ulteriori risposte.
Ordina per data Ordina commenti per reazioni
N

nicovon

Utente Gold
19 Aprile 2016
576
129
10
324
Ultima modifica:
Buona festa della Repubblica!
Mi sono chiesto, visto che non l'ho mai preso.. Ma come si entra in contatto con un ransomware?
Naturalmente e-mail di phishing, chiavette infette ecc. ma è davvero così?
Sono attacchi mirati? Perché io da persona non politicamente esposta, un privato non una pubblica amministrazione, dovrei essere l'obiettivo di un attacco ransomware?
Aiutatemi a capire la strategia di un attacco ransomware..

P.S. Preparando opportunamente un ambiente di test, potrei essere contagiato semplicemente visitando un indirizzo?
Messaggio unito automaticamente:

Mi piacerebbe capire qual è il primo contatto con il malware, il primo step della catena
 
Dipende dal tipo di ransomware e da come è stato deciso che si propaghi. WannaCry, ad esempio, utilizzava come vettore di propagazione una vulnerabilità non patchata di Windows e si auto-espandeva in autonomia (probabilmente l'entry-point erano le macchine windows esposte su internet), mentre altri ransomware più specifici hanno usato come punto d'ingresso la classica email di phishing.

In genere comunque i ransomware sono targettizzati verso le compagnie o le pubbliche amministrazioni, non verso i privati, proprio perchè è raro che un privato sia disposto a pagare tanti soldi. In genere formatta il pc e via, mentre un organizzazione è più incline a pagare (poi magari a volte capita che anche un privato si becca un ransomware, ma è meno comune).

nicovon ha detto:
P.S. Preparando opportunamente un ambiente di test, potrei essere contagiato semplicemente visitando un indirizzo?
Clicca per espandere...
Sni, diciamo che è possibile ma è altamente improbabile: servirebbe uno 0-day che bypassa tutte le protezioni del browser che utilizzi e che riesce ad eseguire codice remoto. Sono exploit altamente sofisticati e costosi (si parla di migliaia di migliaia di dollari, se non di più), e non vorrebbero usati su persone a caso ma su target ben specifici. Per cui, tecnicamente la cosa è fattibile, ma per una serie di ragioni è praticamente impossibile che tu, nicovon, ti ci possa imbattere
 
  • Mi piace
Reazioni: --- Ra --- e nicovon
0xbro ha detto:
Per cui, tecnicamente la cosa è fattibile, ma per una serie di ragioni è praticamente impossibile che tu, nicovon, ti ci possa imbattere
Clicca per espandere...
Grazie per la risposta. Per beccarsi il ransomware l'unico modo è prenderne un "pezzo" da una macchina già colpita? (L'ho buttata li, non so se sia possibile)
Non è possibile risalire al vettore iniziale?
p.s. scusa, sono poco informato sui ransomware
 
nicovon ha detto:
Grazie per la risposta. Per beccarsi il ransomware l'unico modo è prenderne un "pezzo" da una macchina già colpita? (L'ho buttata li, non so se sia possibile)
Clicca per espandere...
Per essere colpiti da un ransomware in genere le strade sono tre: o si è vulnerabili a qualche bug sfruttato dall'hacker in questione per compromettere il server e installare il ransomware "a mano", o si è vulnerabili a qualche bug sfruttato dal ransomware in questione per propagarsi, oppure si apre un elemento malevolo sul proprio pc (un allegato di una mail, in genere), che innesca a sua volta la catena.

nicovon ha detto:
Non è possibile risalire al vettore iniziale?
Clicca per espandere...
Sì è possibile, ed è la parte fondamentale per prevenire eventuali future compromissioni
 
  • Mi piace
Reazioni: nicovon
Ultima modifica:
nicovon ha detto:
Sembra la strada più corta anche se quella meno "affascinante".
Esiste un database in rete dove prelevare questo campione?
Clicca per espandere...
Vorresti vedere un esempio di ransomware? Questo è un sample/POC di ransomware per Windows:
github.com

GitHub - mauri870/ransomware: A POC Windows crypto-ransomware (Academic). Now Ransom:Win32/MauriCrypt.MK!MTB

A POC Windows crypto-ransomware (Academic). Now Ransom:Win32/MauriCrypt.MK!MTB - mauri870/ransomware
github.com github.com

Attenzione quando lo maneggi perché potresti fare danni (anche se è facilmente rilevabile da molti antivirus), ti consiglio di farlo in VM. ;)
Se poi sei curioso di sapere come si fa ad associare un malware ad un file...beh...esistono molti modi. Per esempio, molti malware-developer, tempo fa, utilizzavano gli ADS (Alternate-Data-Streams) di windows per scrivere codice malevolo in un file.
 
  • Love
Reazioni: nicovon
Ultima modifica:
nicovon ha detto:
Grazie mille!

La cosa che più mi incuriosisce è capire l'elemento che innesca la catena del contagio
Clicca per espandere...
Non sempre si verifica una catena di contagi: questo dipende da come è stato scritto il malware e dallo stato del computer. Un calcolatore, collegato ad una rete locale senza altri dispositivi presenti e scollegato da Internet, non scatenerà alcuna catena di contagio. Ti faccio un altro esempio. Il malware WannaCry, citato dal mitico 0xBro, sfruttava una vulnerabilità presente nei sistemi Windows legata al protocollo SMB, tramite l'exploit EternalBlue. Quest'ultimo consente di eseguire codice arbitrario su una macchina Windows poco aggiornata. Facciamo finta, a questo punto, di inoltrare WannaCry ad un dipendente dell'INPS (nascondendo opportunamente il malware in un allegato, ad esempio un report sulle pensioni 2023), attraverso una mail truffaldina e spacciandoci per dei colleghi interessati ad aggiornarlo sugli ultimi dati della previdenza sociale. Se il dipendente dovesse cadere nella nostra trappola e se nella sua rete aziendale fossero presenti computer Windows poco aggiornati (cosa molto probabile 😂), allora il nostro piano andrebbe a buon fine e il worm comincerebbe a replicarsi autonomamente sulla rete aziendale dell'INPS, infettando tutti i dispositivi non patchati dall'exploit EternalBlue e tutti gli altri dispositivi esterni collegati alla rete INPS, innescando un meccanismo a catena. Ma ci sono tante altre possibilità per scatenare la catena di contagi. Per esempio, potrei recarmi di nascosto in un ufficio INPS e, tramite una pendrive, installare "manualmente" il malware su uno dei tanti computer presenti. Oppure, tramite un attacco Stored XSS , potrei modificare il link di download di un file aziendale con quello del mio malware, portando così i dipendenti a scaricare il file malevolo. Insomma...il fattore che scatena la diffusione del malware dipende da molte variabili, tra le quali troviamo: lo stato del computer (come ho detto precedentemente) e come è stato scritto il malware. WannaCry, per esempio, è un worm (si replica autonomamente), ma nulla mi vieta di scrivere un ransomware che non sia un worm (in questo caso la catena di contagi non avviene, ma anche le mie possibilità di successo, in qualità di cyber-criminale, si riducono moltissimo). Se hai altri dubbi non esitare a chiedere. 😉
 
  • Mi piace
  • Love
Reazioni: 0xbro e nicovon
@CrazyMonk grazie per la risposta.
Mi faresti un esempio?
L'ultimo ransomware, che non so quale sia, è stato diffuso tramite e-mail con allegato?
Sarebbe possibile avere una copia di tale e-mail? È disponibile pubblicamente?
il malware funzionerebbe ancora? immagino che le risorse online da dove dovrebbe caricare il payload siano state già opportunamente chiuse..
 
nicovon ha detto:
@CrazyMonk grazie per la risposta.
Mi faresti un esempio?
L'ultimo ransomware, che non so quale sia, è stato diffuso tramite e-mail con allegato?
Sarebbe possibile avere una copia di tale e-mail? È disponibile pubblicamente?
il malware funzionerebbe ancora? immagino che le risorse online da dove dovrebbe caricare il payload siano state già opportunamente chiuse..
Clicca per espandere...
E' difficile stabilire con precisione quale sia l'ultima versione di ransomware attualmente in circolazione: vengono sviluppate tantissime varianti ogni anno. Una delle ultime è "Play" e il suo impatto su un' azienda farmaceutica Americana, la "PharMerica", ha avuto effetti disastrosi, si parla di 5,8 milioni di dati trafugati dei pazienti.
Link:
www.securityweek.com

PharMerica Discloses Data Breach Impacting 5.8 Million Individuals

The personal information of more than 5.8 million was compromised in a data breach at national pharmacy network PharMerica.
www.securityweek.com www.securityweek.com

Purtroppo non sempre vengono pubblicate le informazioni su come si è diffuso il ransomware, in questo caso non sono riuscito a reperirle.

Un esempio, invece, è ILOVEYOU: venne diffuso, all'epoca, tramite email con allegato. Puoi trovare una discussione dedicata proprio sul nostro forum:
Link:

Si, tanti malware funzionano ancora su molti computer e le risorse online ci sono. Uno dei tanti è Play oppure WannaCry. Quello che è necessario è un sistema vulnerabile: un computer poco aggiornato, un dipendente che si fa fregare e, in generale, scarse misure di sicurezza.
 
  • Mi piace
Reazioni: nicovon
I primi ransomware colpivano un po' chiunque capitasse a tiro, chiedendo un riscatto basso (200-500$). In seguito per diversi fattori (miglioramento della situazione sicurezza, questioni logistiche, economiche...) si è passato dal singolo cybercriminale a gruppi che assomigliano avere e proprie aziende del crimine (e APT state-sponsored) che ovviamente mirano a bersagli più grossi a cui possono chiedere un ingente riscatto.

Cifrare i dati di un azienda è ben diverso perché se mandassero subito il ransomware cifrerebbero solo il PC su cui è stato avviato, mentre a loro interessa cifrare quanti più dispositivi possibile all'interno della rete aziendale, cercando soprattutto server e backup importanti. Questo richiede fare una "ricognizione" manuale e passare del tempo nella rete prima di lanciare il ransomware. Può essere il ransomware stesso ad avere capacità di scansione e lateral movement ma solitamente solo i più sofisticati agiscono così per via dell'enorme lavoro richiesto per svilupparlo (vedi Conti nel link sotto), gli altri usano altre backdoor reperite online e modificate come primo anello della catena di infezione e solo una volta compromessi quanti più host possibile "sganciano" il ransomware contemporaneamente. Poi ci sono eccezioni come WannaCry che per via di una grave vulnerabilità RCE rubata alla NSA poteva diffondersi in intere reti senza intervento manuale in pochi secondi.

Ecco a te la collection dei ransomware veri (non giochi o PoC) di cui si è riuscito ad ottenere il source:

github.com

MalwareSourceCode/Win32/Ransomware at main · vxunderground/MalwareSourceCode

Collection of malware source code for a variety of platforms in an array of different programming languages. - vxunderground/MalwareSourceCode
github.com github.com

ATTENZIONE: fai molta attenzione con questi e WannaCry, oltre ad aprirli solo in VM faresti meglio a rimuovere l'adattatore di rete virtuale perché alcuni sono capaci di scansionare e propagarsi nella tua rete locale se trovano un dispositivo vulnerabile.
 
  • Mi piace
Reazioni: --- Ra ---, 0xbro e nicovon
nicovon ha detto:
Occorre compilare oppure c'è l'eseguibile?
Clicca per espandere...

In quella collection ci sono sia sorgenti che binari (di solito li trovi in cartelle chiamate Release, bin, x64...) la password di qualsiasi archivio è infected

nicovon ha detto:
Quale della collection è capace di ciò?
Clicca per espandere...

Win32.Conti.c ha un network scanner per la "ricognizione" manuale di cui parlavo, ma visto che non puoi più raggiungere il loro command & control non farà exploitation automatizzata, credo che l'unico a farlo sempre è WannaCry (senza internet esterno, ormai il killswitch è operativo), puoi trovare i binari cercando su google "WannaCry sample download", i sorgenti non sono disponibili. Comunque togliere internet è sempre buona regola della malware analysis, anche malware come Mirai che non sono ransomware cercano dispositivi vulnerabili in LAN.

NB: per killswitch si intende un meccanismo nascosto dallo sviluppatore per poter bloccare nuove infezioni, è stato scoperto da un ricercatore che lo ha attivato sventando l'infezione di migliaia di altri sistemi (fun fact: il ricercatore è stato arrestato poco dopo con l'accusa di aver creato un altro tipo di malware bancario)
 
  • Mi piace
Reazioni: nicovon
JunkCoder ha detto:
(fun fact: il ricercatore è stato arrestato poco dopo con l'accusa di aver creato un altro tipo di malware bancario)
Clicca per espandere...
Stai parlando di Marcus Hutchins, vero? 😁
È stato lui a scoprire il meccanismo della killswitch nel worm WannaCry. Che poi si trattava di una richiesta ad un dominio web segreto (un sito) appartenente allo sviluppatore del malware, che non risultava dichiarato ufficialmente. Insomma una bella trovata ahaha. Si è capito, poi, se c'erano di mezzo i coreani? Forse non si scoprirà mai...
 
Ultima modifica:
Sarebbe interessante una discussione dove si evidenzino le caratteristiche di ciascun ransomware ma anche le particolarità.
Per esempio di quel malware che iniziava a criptare i files dopo 90 riavii della macchina.
Messaggio unito automaticamente:

La peculiarità di alcuni malware di rimanere silenti per un certo tempo o di attivarsi allo scattare di determinate condizioni mi incuriosisce non poco.
Esistono ransomware che adottano questo tipo di comportamento?
 
CrazyMonk ha detto:
Stai parlando di Marcus Hutchins, vero? 😁
È stato lui a scoprire il meccanismo della killswitch nel worm WannaCry. Che poi si trattava di una richiesta ad un dominio web segreto (un sito) appartenente allo sviluppatore del malware, che non risultava dichiarato ufficialmente. Insomma una bella trovata ahaha. Si è capito, poi, se c'erano di mezzo i coreani? Forse non si scoprirà mai...
Clicca per espandere...

Si, proprio lui. Beh US e UK hanno fatto presto a puntare il dito contro i nord koreani, però l'attribution non è mai facile e quando si mischia con la politica è ancora meno affidabile. Non escludo che dietro a WannaCry ci siano gli stessi Shadow Brokers (tutt'ora sconosciuti) che hanno trafugato le vulnerabilità dall'NSA perché l'attacco è stato lanciato a distanza di due settimane dal leak, abbastanza poco per preparare il malware, integrarlo così bene con l'exploit, testarlo e lanciarlo. Comunque non è abbastanza per esserne certi, alla fine diverse persone lavorando 24h potrebbero riuscirci.

nicovon ha detto:
Sarebbe interessante una discussione dove si evidenzino le caratteristiche di ciascun ransomware ma anche le particolarità.
Per esempio di quel malware che iniziava a criptare i files dopo 90 riavii della macchina.
Messaggio unito automaticamente:

La peculiarità di alcuni malware di rimanere silenti per un certo tempo o di attivarsi allo scattare di determinate condizioni mi incuriosisce non poco.
Esistono ransomware che adottano questo tipo di comportamento?
Clicca per espandere...

Non ho mai sentito del numero di riavvii, però molti ransomware hanno delle "regole di ingaggio", specie quelli made in Russia o presunti tali che controllano la presenza della tastiera in cirillico (se presente si auto-termina senza cifrare). Altri sono configurabili per iniziare a cifrare a una certa data/ora, altri aspettano un comando diretto o indiretto.

Comunque mi correggo: se configurati per farlo, sia Conti che Babuk tentano di cifrare qualsiasi share SMB nella rete locale a cui si ha accesso, quindi se hai un NAS SMB collegato in LAN assicurati che non sia raggiungibile dalla VM.
 
  • Mi piace
Reazioni: nicovon e --- Ra ---
Stato
Discussione chiusa ad ulteriori risposte.

DISCUSSIONI SIMILI

M
Discussione Articolo Attacco ransomware a NorthWave noto marchio di abbigliamento sportivo made in italy
  • Chiuso
  • 5
  • 446
5
446
Sicurezza Informatica
--- Ra ---
M
Discussione Articolo Attacco ransomware a Postel società controllata da Poste Italiane del 15 Agosto 2023
  • Chiuso
  • 11
  • 1K
11
1K
Sicurezza Informatica
MRPants
N
Discussione Kinsing malware - Stato della ricerca, stato della caccia all'uomo (è in Svezia?) e guida alla rimozione (CVE-2023-32315)
  • Chiuso
  • 0
  • 368
0
368
Sicurezza Informatica
Netcat
N
Discussione La categoria di utente Internet più esposto al rischio di attacco informatico
  • Chiuso
  • 0
  • 285
0
285
Sicurezza Informatica
Netcat
0
Guida I migliori libri per studiare l'Ethical Hacking e Penetration Testing nel 2024
  • Release
  • In evidenza
  • 29
  • 8K
29
8K
Pentesting e Ethical Hacking Guide e Tools
0xbro
Top Bottom
Indietro