Potrebbe sembrare un controsenso rileggere il giornale della settimana scorsa per trovare informazioni preziose, ma di dice spesso che "chi non ricorda il passato è condannato a ripeterlo". E questo è particolarmente vero nel mondo della cybersecurity: fare un passo indietro per ricordare gli eventi di sicurezza recenti è importante, poiché il rischio di ripetere gli errori del passato è molto elevato.
Gli attori delle minacce amano riciclare e riutilizzare le vecchie tecniche, purché queste continuino ad avere un tasso di rendimento elevato: questi trucchi possono essere utili per anni, se non si applicano patch e mitigazioni adeguate.
Anche per questo Unit 42, il Threat Intelligence Team di Palo Alto Networks, ha stilato la Top 3 dei malware più rilevanti del 2022, ecco quali:
Ransomware BlackCat
BlackCat (alias ALPHV) è una famiglia di ransomware emersa a metà novembre 2021 che ha rapidamente guadagnato notorietà per la sua sofisticatezza e innovazione. Operando con un modello di business ransomware-as-a-service (RaaS), BlackCat incitava gli affiliati nei popolari forum di criminalità informatica, offrendo loro di trattenere l'80%-90% del pagamento del riscatto, mentre il resto sarebbe stato destinato all'autore. BlackCat ha adottato un approccio aggressivo nel nominare e umiliare le vittime, elencandone, in un’occasione, oltre una dozzina sul proprio sito di leak, in poco più di un mese.
GALLIUM prende di mira telecomunicazioni, pubblica amministrazione e finanza con il nuovo trojan PingPull
A giugno 2022, Unit 42 ha identificato un Trojan di accesso remoto difficile da rilevare, denominato PingPull, utilizzato da GALLIUM, un noto gruppo APT.
GALLIUM (alias Softcell) si è fatto conoscere prendendo di mira società di telecomunicazioni operanti nel Sud-Est asiatico, in Europa e Africa. Le valutazioni del settore hanno stabilito che GALLIUM è probabilmente un gruppo sponsorizzato dallo Stato cinese, sulla base dell'orientamento geografico del gruppo, della sua focalizzazione settoriale e della sua competenza tecnica, combinata con l'uso di malware e tattiche, tecniche e procedure (TTP) note soprattutto agli attori di minacce cinesi.
PingPull è in grado di sfruttare tre protocolli (ICMP, HTTP(S) e raw TCP) per il comando e il controllo (C2) e utilizza ICMP per rendere più difficile il rilevamento delle sue comunicazioni C2, poiché poche organizzazioni implementano l'ispezione del traffico ICMP sulle loro reti.
Quando gli strumenti di Pentest diventano brutali: il tool di Red Teaming sfruttato da attori malintenzionati
A maggio 2022, un campione contenente un payload pericoloso associato a Brute Ratel C4 (BRc4) è stato caricato su VirusTotal, dove ha ricevuto un verdetto positivo da tutti i 56 fornitori che lo hanno valutato. Brute Ratel C4 è il più recente strumento di simulazione di red teaming e di attacco avversario, particolarmente pericoloso. È stato progettato specificamente per evitare il rilevamento da parte delle funzionalità di detection e response di endpoint e antivirus e la sua efficacia è stata chiaramente testimoniata dall'assenza di rilevamento da parte di tutti i fornitori su VirusTotal.
Il campione iniziale è stato inoltre confezionato in modo coerente con le tecniche note dell'APT29, il che significa che questa nuova capacità di red team (con una base di utenti in crescita) viene sfruttata con tecniche di distribuzione di stato nazionale.
Unit 42 ha identificato un totale di 41 indirizzi IP pericolosi, nove campioni BRc4 e tre ulteriori organizzazioni in Nord e Sud America colpite da questo strumento.
Quale lezione trarre dagli eventi di sicurezza del 2022?
Con nuove minacce informatiche che continuano a emergere a ritmo serrato, è possibile evidenziare due direttrici ricorrenti, degne di nota e particolarmente preoccupanti:
- Un numero sempre maggiore di autori di malware offre i propri prodotti come servizi in abbonamento, poiché le loro offerte continuano a diventare più complesse e potenzialmente dannose.
- Attori delle minacce con ogni livello di competenza possono ora accedere a strumenti pericolosi che competono con i software aziendali.
I ricercatori di Unit 42 continueranno a monitorare l'intero panorama della sicurezza e a segnalare le minacce a più alto impatto, ovunque e comunque si verifichino, per contribuire a migliorare il livello di protezione degli utenti da minacce più recenti.