Lettera del nostro capo analista

Benvenuti nel nostro nuovo report sul panorama delle minacce.

Quando abbiamo cominciato l’avventura Trellix, sapevamo che l'unione di due importanti nomi della sicurezza informatica ci avrebbe fornito un'incredibile visibilità sulle minacce informatiche diffuse in tutto il mondo. Questa edizione include una nuova categoria che fornisce ai nostri lettori maggiori informazioni sul tipo di minacce osservate a livello delle email.

Ci ha fatto piacere incontrare molti di voi in occasione della conferenza RSA, durante la quale abbiamo presentato i risultati di diverse ricerche: da una panoramica sugli attacchi osservati in Ucraina alle vulnerabilità identificate nei dispositivi medici e nelle tecnologie di controllo degli accessi agli edifici. In questo report mettiamo in evidenza i risultati di queste ricerche, le principali minacce e attacchi osservati in circolazione nonché i nostri dati e risultati relativi al primo trimestre del 2022.

Nel corso delle nostre interazioni in occasione delle conferenze Black Hat, DEFCON, RSA e altre conferenze, apprezziamo le parole di incoraggiamento e i riscontri che riceviamo per il nostro report sulle minacce. Tra una conferenza e l'altra, non esitare a contattarci sui social media se hai un suggerimento o bisogno di informazioni.

In attesa del prossimo incontro, consulta la pagina del blog di Trellix Threat Labs  per informazioni aggiornate sulle minacce, inclusi video e risultati della ricerca. 

—John Fokker
Lead Scientist

John Fokker Twitter

L’evoluzione del crimine informatico russo

Secondo le attribuzioni pubbliche, i gruppi di criminali informatici russi sono sempre stati attivi. Le loro tattiche, tecniche e procedure (TTP) non sono cambiate in modo significativo nel tempo, anche se sono stati osservati alcuni cambiamenti. Ultimamente, il panorama delle minacce è cambiato, poiché diversi domini si sono parzialmente fusi. Questa tendenza era già in atto, ma l'incremento dell'attività digitale l'ha ulteriormente rafforzata.

Trellix vanta da sempre una base di clienti significativa in Ucraina. Quando gli attacchi informatici che hanno preso di mira il Paese si sono intensificati, abbiamo immediatamente collaborato con il governo e i nostri partner del settore per fornire una maggiore visibilità sull'evoluzione del panorama delle minacce. Abbiamo supportato il Paese nella sua lotta contro le attività informatiche dannose. Siamo riusciti ad andare oltre la semplice condivisione delle conoscenze per fornire gratuitamente un'ampia gamma di appliance di sicurezza nella regione colpita. Un ringraziamento speciale va ai nostri partner di Mandiant per l'implementazione di alcune di queste appliance presso le aziende che avevano più bisogno di protezione.

Per supportare la popolazione e i nostri clienti in Ucraina, Trellix Threat Labs ha collaborato con diverse istituzioni governative per fornire loro i necessari dati telemetrici, intelligence sulle minacce e analisi degli strumenti malware utilizzati dai criminali informatici russi. Gran parte degli sforzi di Trellix sono stati compiuti con discrezione, poiché la protezione dei nostri clienti è la nostra massima priorità.

In coordinamento con la conferenza RSA, il nostro team Trellix Threat Labs ha pubblicato i risultati delle nostre ricerche (Growling Bears Make Thunderous Noise) sull'evoluzione dei criminali informatici russi nel tempo, l'impatto della guerra (cibernetica) e le attività osservate.

Il report presenta i risultati delle ricerche approfondite non solo sull’impatto della guerra informatica a seguito dell'invasione russa, ma anche su numerosi gruppi del crimine informatico e campagne associate al conflitto:

• Phishing contro il Ministero della Difesa ucraino
• Gamaredon
• Wipers
• Server di Exchange presi di mira
• UAC-0056
• Apt28
• Double Drop

Per saperne di più sull’evoluzione del crimine informatico russo leggi il report completo.

Metodologia

I sistemi principali di Trellix forniscono i dati di telemetria che utilizziamo per preparare i nostri report trimestrali sul panorama delle minacce. We combine our telemetry with open-source intelligence around threats and our own investigations into prevalent threats like ransomware, nation-state activity, etc.

Per telemetria intendiamo i dati relativi ai rilevamenti, non alle infezioni. Un rilevamento viene registrato quando un file, URL, indirizzo IP o altri indicatori viene rilevato da uno dei nostri prodotti e ci viene poi segnalato.

La riservatezza delle informazioni dei nostri clienti è essenziale. È anche importante quando si tratta di dati di telemetria e mappatura dei settori e dei paesi dei nostri clienti. Client-base per country differs and numbers could be showcasing increases while we have to look deeper into the data to explain. An example: The Telecom sector often scores high in our data. Ciò non significa necessariamente che questo settore sia preso di mira in modo particolare Il settore delle telecomunicazioni include anche ISP che possiedono uno spazio di indirizzi IP che viene venduto alle aziende. Cosa significa? Submissions from the IP-address space of the ISP are showing up as Telecom detections but could be from ISP clients that are operating in a different sector.

Ransomware negli Stati Uniti: primo trimestre 2022

All'inizio del 2022 eravamo ottimisti quando è arrivata la notizia che l'FSB, il servizio di inteligence russo, aveva arrestato diversi membri del gruppo ransomware REvil in Russia. In base alla nostra analisi, questi affiliati svolgevano un ruolo minore all'interno del gruppo criminale, tuttavia speravamo che questo fragile accenno di cooperazione avrebbe portato ad altri arresti in Russia.

With the Russian invasion of Ukraine at the end of February 2022, we now know that this was wishful thinking. La guerra ha spinto i criminali informatici a scegliere da che parte stare. Spesso i criminali informatici si sono rifiutati di schierarsi politicamente, e abbiamo ipotizzato che i criminali che sfruttano il ransomware di Ucraina e Russia lavorassero insieme a scopo di lucro.

La divisione dei criminali informatici in due schieramenti è diventata più evidente quando il gruppo ransomware Conti ha espresso pubblicamente il proprio sostegno al governo russo.

Questa dichiarazione pubblica non è passata inosservata e nel giro di pochi giorni un ricercatore anonimo che utilizza l'account Twitter @contileaks ha iniziato a pubblicare su Internet le comunicazioni interne di Conti. Le conversazioni coprivano diversi anni e consistevano in migliaia di messaggi che abbiamo soprannominato “Panama Papers of Ransomware.”

Trellix ha esaminato a fondo le chat trapelate e ha pubblicato un articolo del blog molto esteso che merita di essere letto. I punti salienti di queste conversazioni includono la loro dichiarazione pubblica a sostegno del governo russo e una possibile stretta relazione tra il direttivo di Conti e i servizi segreti russi. Questi collegamenti supportano i risultati del report; “In the Crosshairs: Organizations and Nation-State Cyber Threats” che abbiamo pubblicato all'inizio di quest'anno in collaborazione con il CSIS (Center for Strategic and International Studies). Uno dei risultati principali del rapporto è che il confine tra criminali informatici al soldo dello stato e non al soldo dello stato si fa sempre più labile.

Initially we expected this communication breach to have a severe impact on the ransomware gang’s operation. Tuttavia, sembra che il gruppo stia raddoppiando e continuando a perpetrare i suoi attacchi, al punto da portare un'intera nazione, il Costa Rica, allo stato di emergenza. Alla fine del secondo trimestre del 2022, l’infrastruttura di Conti è stata smantellata. Ma questo non è un motivo per festeggiare. Poiché nessun membro di spicco di questo gruppo criminale è stato arrestato e dati i suoi collegamenti con le agenzie di intelligence russe, potremmo assistere alla formazione di un gruppo ibrido, in grado di attaccare obiettivi scelti dal governo, sotto la copertura di un gruppo criminale a scopo di lucro. Il ransomware può avere un duplice scopo: da un lato interrompere le attività e dall'altro servire come distrazione per un'operazione di esfiltrazione dei dati.

Pertanto, invitiamo tutte le aziende a prestare attenzione ai TTP utilizzati dagli operatori del ransomware, in particolare se hanno già identificato i gruppi sponsorizzati dalla Russia come la minaccia più probabile.

In termini di innovazione, stiamo osservando il Gruppo Conti colpire gli hypervisor ESXi con la sua variante Linux, apparentemente consapevole che i servizi di virtualizzazione svolgono un ruolo importante nelle aziende. Questa tendenza è in atto da tempo, ma con successi eterogenei che portano al danneggiamento delle macchine virtuali a causa di locker o sistemi di decrittografia

Ma le notizie non sono tutte negative. Le statistiche registrate nel primo trimestre 2022 da Coveware, società di risposta agli incidenti ransomware mostrano un netto calo dei casi in cui le vittime sono state costrette a pagare il riscatto ai criminali informatici. Questo ci fa ben sperare, perché non pagare è ancora il modo migliore per contrastare il modello di business dei criminali.

I ricercatori di Trellix rilevano falle critiche in un sistema di controllo degli accessi agli edifici

Le infrastrutture critiche continuano a essere uno degli obiettivi più interessanti per i criminali informatici di tutto il mondo. Questo settore è afflitto da sistemi di vecchia generazione e pieno di comuni falle hardware e software, problemi di configurazione e cicli di aggiornamento particolarmente lunghi. Eppure, ospita molti dei sistemi più essenziali su cui facciamo affidamento, dagli oleodotti al trattamento delle acque, dalle reti elettriche all'automazione degli edifici, ai sistemi di difesa e molto altro ancora. 

Un aspetto spesso trascurato dei sistemi di controllo industriale è il controllo degli accessi, che è parte integrante dei sistemi di automazione degli edifici. I sistemi di controllo degli accessi sono soluzioni comuni e indispensabili che garantiscono automazione e gestione remota dei lettori di schede e i punti di ingresso/uscita di siti sicuri.

Secondo uno studio condotto da IBM nel 2021, il costo medio di una violazione della sicurezza fisica ammonta a 3,54 milioni di dollari e sono necessari in media 223 giorni per rilevare una violazione. La posta in gioco è alta per le aziende che si affidano ai sistemi di controllo degli accessi per garantire la sicurezza delle strutture.

Trellix Threat Labs ha recentemente presentato i risultati di ricerche illuminanti relativamente a uno di questi sistemi, un popolare pannello di controllo degli accessi di HID Mercury. Numerosi fornitori OEM si affidano alle schede e al firmware Mercury per implementare le loro soluzioni di controllo degli accessi. Il nostro team ha condiviso le sue informazioni durante la conferenza Hardwear.io a Santa Clara il 9 giugno 2022 e farà lo stesso anche a Black Hat quest’estate. Their findings highlighted four zero-day vulnerabilities and four previously patched vulnerabilities, never published as CVEs, with the top two leading to remote code execution and arbitrary reboot, completely unauthenticated. Ciò significa che i criminali informatici presenti su una rete di edifici potrebbero bloccare e sbloccare le porte da remoto ed eludere il rilevamento tramite il software di gestione. I ricercatori hanno preparato un articolo del blog che evidenzia i risultati e pubblicheranno un’analisi tecnica approfondita in più parti in occasione della conferenza Black Hat. Inoltre, hanno girato un video dimostrativo dell’attacco, utilizzando due delle vulnerabilità per violare un sistema di controllo degli accessi clonato nel loro laboratorio.

Guarda il nostro video dimostrativo

Aggiornamenti sulla sicurezza

Carrier ha pubblicato un nuovo avviso sulla sua pagina dedicata alla sicurezza dei prodotti, con le specifiche delle falle e le raccomandazioni per le misure correttive e gli aggiornamenti del firmware. L'applicazione delle patch del fornitore dovrebbe essere la prima azione da intraprendere. 

Invito all’azione per la sicurezza informatica dei dispositivi medici connessi

Il settore medico è particolarmente a rischio a causa dei numerosi dispositivi specializzati utilizzati: macchine per l’anestesia, pompe per le infusioni, sistemi di diagnostica, macchine per la risonanza magnetica e molti altri ancora. Molti di questi dispositivi non sono presenti in altri settori e nelle abitazioni private. La loro specificità crea un falso senso di sicurezza e riduce il controllo da parte del settore della ricerca in termini di sicurezza.

Alcune pratiche di sicurezza fondamentali, come la gestione delle credenziali, non sono applicati ai dispositivi medici e al software medico, che sono anche pieni di vulnerabilità del tipo di esecuzione di codice a distanza (RCE, Remote Code Execution), una manna per i criminali informatici. Bisogna mantenere alta la guardia, poiché questa superficie di attacco finirà per essere sfruttata. Tutte le parti interessate devono rendersi conto che l'ampia gamma di vulnerabilità legate all’autenticazione è un segnale che il settore medico necessita di maggiore attenzione in termini di ricerche, sia interne che esterne, per rafforzare la protezione di questi dispositivi. Non è sufficiente concentrarsi solo sui sistemi di gestione e su altre applicazioni web: tutti i dispositivi medici collegati alla rete devono essere valutati. Currently it doesn’t appear that these devices are being targeted by malicious actors but this doesn’t mean we can relax. LCi sono molte vulnerabilità RCE e codici di exploit pubblico. Sebbene i criminali informatici utilizzino altri metodi per attaccare ospedali e cliniche, quando questi metodi non saranno più efficaci andranno alla ricerca di accessi più semplici. La società nel suo complesso non può permettere che i dispositivi e i software medici continuino a essere un punto debole da sfruttare per i criminali informatici. Deve incoraggiare i test di sicurezza sia interni che esterni da parte di sviluppatori e ricercatori.

Puoi scoprire tutti i dettagli della nostra ricerca nell’articolo del blog Connected Healthcare: A Cybersecurity Battlefield We Must Win. Utilizzando dati pubblici come i database CVE, abbiamo analizzato lo stato attuale della superficie di attacco nel settore medico e valutato le minacce attive e la distribuzione delle vulnerabilità rilevate. We believe that more partnerships between medical device vendors, medical care facilities and security researchers in junction with increased security testing is warranted to prevent a growing attack surface from becoming even more attractive to malicious actors.

Sfruttamento delle risorse locali

Monitoriamo i criminali informatici, le loro tattiche, tecniche e procedure (TTP), nonché il malware utilizzato. Identifichiamo anche i file binari predefiniti non dannosi e spesso necessari che possono essere sfruttati, e spesso lo sono, per condurre le varie fasi di un attacco. I dati vengono comunicati su base trimestrale. Se da un lato è necessario conoscere i malware personalizzati e quelli di base, nonché i TTP da cui difendersi, dall'altro è necessario conoscere il nemico e identificare gli obiettivi. Se ci si addentra un po' di più nei LoLBin (file binari per lo sfruttamento delle risorse locali), la domanda rimane la seguente: chi sta usando i nostri strumenti contro di noi e perché? I criminali informatici non sono in grado di creare malware personalizzato per raggiungere l’obiettivo prefissato? O si tratta semplicemente di uno strumento di convenienza e di un tentativo di passare inosservati? Dopo tutto i criminali informatici sono spesso impiegati come tutti gli altri, hanno riunioni con i loro “capi”, hanno obiettivi giornalieri, trimestrali e annuali e ricevono uno stipendio. 

Se vogliamo onorare la nostra missione di fornire sicurezza dinamica ovunque, dobbiamo dotare degli strumenti necessari noi stessi, i nostri clienti e i nostri colleghi nella lotta quotidiana per proteggere le nostre informazioni, infrastrutture e risorse critiche da tutti i malintenzionati che cercano di trarre profitto dallo sfruttamento delle vulnerabilità e dal furto di dati e capitale intellettuale. 

Quali file binari sono stati violati e da chi nel 1° trimestre 2022? 

Tendenze in materia di sicurezza dell’email: 1° trimestre 2022

L’analisi dei dati telemetrici delle email per il primo trimestre del 2022 ha messo in luce le tendenze di utilizzo degli URL di phishing e dei documenti dannosi nella sicurezza.

La maggior parte delle email dannose rilevate contiene un URL di phishing utilizzato per rubare le credenziali d’accesso o spingere le vittime a scaricare malware. A seguire, abbiamo identificato le email che includono documenti dannosi come file di Microsoft Office o PDF allegati. Questi documenti contengono macro che operano come downloader o exploit che permettono al criminale informatico di acquisire il controllo del sistema della vittima. Infine, abbiamo riscontrato diverse email con eseguibili dannosi come gli infostealer o trojan allegati.

Exploit

La maggior parte degli exploit utilizzati si presenta sotto forma di file RTF dannosi, documenti di Microsoft Office con oggetti OLE dannosi o PDF infettati con exploit Adobe Reader o script JavaScript dannosi. La figura seguente presenta i tre principali formati di file utilizzati: il formato RTF di Windows, il formato Office più recente e infine i formati Office OLE di vecchia generazione.