Ransomware, collettivi hacker, virus, truffe e vittime improbabili

30 Luglio 2021 4

Vi raccontiamo qui di seguito quattro storie brevi dal pazzesco mondo della sicurezza informatica - un settore che si trova in uno strano crocevia tra tecnologia, spionaggio, criminalità e genialità. Se ci vedete ogni tanto qualche similarità con le trame di film come Ocean's Eleven o Mr. Robot, non vi preoccupate: è proprio così.

LOCKBIT 2.0: RANSOMWARE-AS-A-SERVICE

Lockbit 2.0 rappresenta uno dei più recenti tentativi di trasformare gli attacchi ransomware in un modello di business strutturato, stabile e mainstream. È stato scovato negli scorsi giorni da MHT: si può definire in un certo senso ransomware-as-a-service - il cliente assolda gli hacker per colpire un determinato bersaglio, con l'obiettivo di criptare i computer nella rete e offrire un riscatto per lo sblocco. Le parti si dividono poi i profitti: il 70-80% al cliente, il resto allo sviluppatore dell'attacco.


Come potete vedere nell'immagine qui sopra, gli hacker elencano con dovizia di particolari le funzionalità e i servizi che si possono acquistare. Colpisce in particolare la dichiarazione di aver automatizzato la distribuzione del ransomware attraverso un dominio Windows senza bisogno di script. Basta riuscire ad accedere al domain controller: il malware si occupa poi di creare criteri di gruppo ad hoc che causano la sua distribuzione su ogni sistema della rete.

Le policy compromettono tra l'altro la stragrande maggioranza delle misure di sicurezza aggiuntive messe in piedi da Microsoft: per esempio disabilitando varie funzioni di Microsoft Defender, tra cui l'invio di notifiche, la protezione in tempo reale, l'invio di sample a Microsoft stessa, e le azioni predefinite quando viene rilevato un virus.

BLACKMATTER: DALLE CENERI DI REVIL E DARKSIDE

Negli ultimi tempi si è parlato molto di due gruppi molto attivi nella scena dei ransomware: REvil e DarkSide. Tra i loro bersagli si indicano l'assemblatore Quanta Computer e di riflesso Apple, il colosso della carne JBS, la società di supporto informatico Kaseya, il produttore di elettronica Toshiba, una rete di oleodotti statunitense e altri ancora. Da qualche giorno, entrambi i gruppi sono spariti dalla faccia del web: siti spariti, account chiusi, silenzio assoluto.

È possibile che i gruppi abbiano iniziato a sentire il peso della notorietà, o chissà che altro; fatto sta che negli ultimi giorni sui forum specializzati del Dark Web ci sono chiare tracce di movimenti di un nuovo gruppo, chiamato BlackMatter, che ha alcuni legami sia con REvil sia con DarkSide. Gli obiettivi sono sempre quelli: colpire per estorcere denaro. Niente attacchi a no-profit ed enti governativi.

Insomma, non è perfettamente chiaro se le persone coinvolte, almeno parzialmente, siano le stesse, ma è chiaro che almeno dal punto di vista filosofico una certa qual tipologia di eredità i due gruppi l'hanno lasciata.

VULTUR, DAL PLAY STORE... AL TUO CONTO IN BANCA

I ricercatori dell'olandese ThreatFabric hanno individuato un nuovo trojan che punta diretto al bersaglio succoso dei dispositivi degli utenti: le app finanziarie, tra cui quelle di banche, wallet digitali e così via. L'implementazione è piuttosto interessante: in sostanza il malware lancia una sessione di condivisione schermo con il popolare software open-source VNC non appena si accorge che l'utente ha lanciato una delle oltre 100 app finanziarie che è in grado di riconoscere. Secondo la fonte, sono app prevalentemente italiane, australiane e spagnole.

La schermata viene condivisa con un server esterno controllato dall'hacker, che può così individuare con facilità i dati di login, come nome utente e password. Una volta che entra in possesso di queste informazioni, l'hacker può procedere a rubare denaro e altri asset dal "suo computer" (che è naturalmente un eufemismo per "sistema di computer, proxy e altre misure per evitare di farsi beccare").

Come spesso accade, un ruolo fondamentale nella riuscita dell'attacco lo ricopre l'abuso dei servizi di accessibilità intrinsechi al sistema operativo. Fortunatamente, finora non sono state scoperte molte app infettate con il dropper custom, chiamato Brunhilda, che si occupa di scaricare e installare il malware: in effetti sono solo due, con una conta di installazioni complessiva di appena 5.000 circa.

LA TRUFFA ONLINE CHE TRUFFA I CACCIATORI DI TRUFFE ONLINE

Jim Browning è uno YouTuber che pratica il cosiddetto scam-baiting: crea in sostanza delle esche per smascherare i truffatori online, in particolare quelli che si fingono il supporto tecnico di aziende famose e conosciute, per ispirare fiducia; solo che invece di aiutarti a risolvere il tuo problema o a cancellare un virus, il virus te lo installano. Ebbene, a ulteriore dimostrazione del fatto che nessuno è invulnerabile a questo tipo di truffe, e che basta un momento di disattenzione per causare dei guai seri, è capitato che Browning è rimasto vittima proprio di una delle truffe che di solito contribuisce a portare alla luce.

Browning pensava di parlare con il supporto ufficiale di YouTube, e invece si è ritrovato con il canale chiuso. Fortunatamente il truffatore non è riuscito a convincere Browning a cedere il controllo del canale. Nell'arco di qualche giorno, parlando con il vero supporto di YouTube, Browning è riuscito a ripristinare quasi completamente il proprio canale - manca giusto l'URL personalizzato, ma dovrebbe essere solo questione di tempo.


4

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
salvatore esposito

purtroppo lo so benissimo

Jonnie

ti stupiresti di quante azienda hanno un IT topolino che usa software craccati per far girare aziende da decine di milioni di euro di fatturato...

efremis

Pazzesco Lockbit 2.0.

salvatore esposito
Colpisce in particolare la dichiarazione di aver automatizzato la distribuzione del ransomware attraverso un dominio Windows senza bisogno di script. Basta riuscire ad accedere al domain controller

certo, se prendi il controllo del domain controller puoi praticamente fare un po' quel che ti pare ma non è poi così facile... se il dominio non l'ha messo su topolino per poi usarlo per vedere p0rnazzi e provare crack di tutto il software che capita a tiro.
sul domain controller non si configura nemmeno RDC preferendo modificare eventuali policy direttamente on site

Samsung One UI 4 con Android 12: vi mostriamo la beta per i Galaxy S21 | VIDEO

La street photography con lo smartphone: 5 consigli utili | Video

Xiaomi 11T ufficiale con Pro, 11 Lite NE e Pad 5. PREZZI e disponibilità Italia

Recensione Oppo Reno 6 Pro 5G: tanta potenza, piccolo restyling