Grazie a Bill Kearney di Sophos Rapid Response per il suo lavoro su questo articolo.
Se avete letto il recente Sophos 2021 Threat Report, saprete che abbiamo deliberatamente incluso una sezione su tutto il malware là fuori che non è ransomware.
Certo, il ransomware monopolizza comprensibilmente i titoli dei media in questi giorni, ma la criminalità informatica va ben oltre gli attacchi ransomware.
Infatti, come abbiamo notato prima, molti incidenti ransomware avvengono a causa di altri malware che si sono infiltrati prima nella vostra rete e hanno portato il ransomware successivamente.
In effetti, molte intrusioni nella rete non coinvolgono affatto il malware, perché i criminali informatici hanno molti altri modi per spillare soldi ai vostri utenti, alla vostra azienda o a entrambi.
Ecco un esempio in cui il team Sophos Rapid Response si è imbattuto di recente: un’intrusione di rete opportunistica, molto meno sofisticata di un tipico attacco ransomware o di furto di dati, ma comunque pericolosa e sconcertante.
Peggio ancora per i dipendenti dell’azienda, questi criminali non erano specificamente interessati all’azienda nel suo complesso, ma sembravano attaccare la rete semplicemente perché rappresentava un modo conveniente per colpire molti individui allo stesso tempo.
In parole povere, i truffatori erano alla ricerca di quanti più account potessero accedere per comprare quante più gift card possibile nel più breve tempo possibile.
Come probabilmente sapete, le gift card che si acquistano online sono in genere consegnate via e-mail a un destinatario di vostra scelta come un codice segreto e un link di registrazione.
Quindi, ricevere il codice di una carta regalo è un po’ come entrare in possesso del numero, della data di scadenza e del codice di sicurezza di una carta di credito prepagata – in parole povere, chiunque abbia il codice può spenderlo.
Anche se le carte regalo sono destinate ad essere usate solo dal destinatario – non dovrebbero essere trasferibili – non c’è molto che impedisca al destinatario di permettere a qualcun altro di usarle, se lo desidera, e questo significa che possono essere vendute nel sottoweb del crimine informatico.
E per tutto ciò che un buono regalo di 200 dollari, venduto illegalmente online per, diciamo, la metà del suo valore nominale, non sembra molto…
…i truffatori con accesso a un intero valore di utenti di una società – in questa storia, la VPN della società supportava circa 200 persone – possono cercare di acquisire non solo uno ma potenzialmente centinaia di carte regalo prepagate in breve tempo.
I criminali in questo caso non si sono preoccupati se le vittime rimaste senza soldi erano i singoli dipendenti, la società stessa, o entrambi.
Rimosso e respinto
La buona notizia qui è che i truffatori sono arrivati a spendere solo 800 dollari di denaro di altre persone prima che la squadra di risposta rapida fosse in grado di cacciarli dalla rete, e per quanto ne sappiamo, gli acquisti fraudolenti sono stati rilevati e invertiti in tempo in modo che nessuno sia finito fuori di tasca.
Come vedrete, il motivo principale per cui i truffatori sono stati individuati e respinti in anticipo è stato perché un amministratore di sistema dell’azienda colpita ha agito non appena si è accorto che qualcosa non andava.
Se avete visto il video di Naked Security Live della scorsa settimana, intitolato “Beat the Threat”, saprete che nei nostri consigli alla fine del video, abbiamo detto:
Ogni soffiata che potete ottenere che suggerisce che un truffatore potrebbe essere nella vostra rete è un suggerimento che vale la pena guardare. perché state guardando qualcosa che non potete giustificare del tutto, ma che avete visto prima ed era ok la volta scorsa – non presumete che sia ok questa volta. È un po’ come sentire l’allarme antincendio che scatta in cucina e pensare: “Sai una cosa, l’ultima volta è stato il vapore del bollitore che l’ha fatto scattare per errore, quindi presumo che sia quello che sta succedendo”. Questa volta, potrebbe essere qualcosa sul piano cottura che ha già preso fuoco.
Per quanto siamo orgogliosi che il team di risposta rapida di Sophos sia stato in grado di reagire rapidamente e affrontare l’attacco, la parte vitale è stata che la vittima ha innescato rapidamente una risposta adeguata in primo luogo.
Come è successo
Questi truffatori non hanno avuto il tempo di ripulirsi – o forse non avevano comunque intenzione di farlo – ma per quanto possiamo dire, l’attacco si è svolto in modo semplice e veloce.
Non possiamo essere sicuri di come i truffatori siano entrati per cominciare, ma quello che sappiamo è:
- Il server VPN della vittima non era stato patchato per diversi mesi. Questo da solo potrebbe essere stato sufficiente per permettere ai truffatori di entrare – esisteva un exploit per la vecchia versione che avrebbe potuto, in teoria, permettere ai truffatori di intrufolarsi nella rete.
- Il server VPN non era stato impostato per richiedere 2FA. Questo significa che una password di successo rubata da un singolo utente avrebbe potuto essere sufficiente per dare loro la loro testa di ponte. (Nonostante la vulnerabilità senza patch, sospettiamo che questo sia il modo in cui gli attaccanti sono entrati questa volta.)
- Una volta “dentro” la VPN, i truffatori sono stati in grado di utilizzare RDP internamente per saltare da un computer all’altro. Questo significava che potevano aprire i browser web sui computer degli utenti e vedere da quali account online non si erano disconnessi, compresi i loro account di posta elettronica personali (ad esempio Gmail e Outlook.com). Assicuratevi di proteggere l’RDP sia dall’interno della vostra rete che dall’esterno.
- I truffatori hanno usato account di posta elettronica individuali per fare una serie di reset delle password. Sui computer in cui i truffatori potevano accedere agli account di posta elettronica grazie alle credenziali memorizzate nella cache, ma non potevano entrare in altri account interessanti perché l’utente era disconnesso da quelli, facevano il reset delle password attraverso l’account di posta elettronica. Gli account che i truffatori hanno cercato includevano Best Buy, Facebook, Google Pay, PayPal, Venmo e Walmart.
Purtroppo, sembra che solo alcuni degli utenti attaccati in questo modo abbiano salvato i dettagli della loro carta di credito per il riutilizzo automatico quando si fanno acquisti, che è probabilmente il motivo per cui i truffatori sono riusciti solo a poche centinaia di dollari di acquisti di carte regalo prima di essere individuati.
A quanto pare, numerosi utenti che avevano bisogno di reimpostare le loro password alterate per rientrare nei loro conti hanno notato che c’erano carte regalo in coda per l’acquisto nei loro carrelli della spesa online, ma che i truffatori non erano stati in grado di finalizzare tali acquisti.
(Non possiamo dire se i truffatori hanno lasciato gli acquisti non riusciti perché sono stati catturati prima che potessero ripulire, perché speravano che sarebbero stati trascurati e acquistati per errore dal legittimo titolare dell’account più tardi, o perché erano concentrati sulla velocità e non si preoccupavano di ciò che è successo dopo.)
Ma c’è di più
Come molti attacchi, questo non aveva un solo scopo, anche se entrare in possesso di “denaro in vendita” sembra essere stato il motivo principale.
I truffatori hanno anche scaricato e installato un popolare strumento gratuito di ricerca di file per aiutarli a cercare file interessanti attraverso la rete.
Questo strumento ha lasciato un file di log che rivela che i criminali erano attivamente a caccia di dati personali e riservati relativi sia alla società che al suo personale.
Non sappiamo quanto i criminali sono stati in grado di acquisire dai file che stavano cercando, se c’è qualcosa, ma sappiamo a cosa erano interessati, che includeva:
- Estratti conto bancari relativi a persone e aziende.
- Accordi con i commercianti per accettare pagamenti con carta di credito.
- Richieste di carte di credito.
- Dettagli del registro per gli autisti della compagnia.
Per quanto possiamo dire, la ricerca dei file sembra essere stata un interesse secondario per questi criminali, che erano però determinati e persistenti nei loro tentativi di fare acquisti fraudolenti contro quanti più utenti della rete potevano.
Nondimeno, interesse secondario o no, i truffatori non cercavano solo carte regalo.
Dopo tutto, i dati personali e aziendali che dovrebbero essere privati hanno anche un valore nel sottosuolo del crimine informatico – non solo per la rivendita ad altri criminali, ma come veicolo per aiutare ulteriori attività criminali.
La reazione rapida paga
Fortunatamente, questi truffatori sembrano essersi impantanati all’inizio del loro attacco.
Presumibilmente frustrati perché non potevano entrare negli account e-mail di tutti gli utenti che volevano, hanno resettato le password di vari account aziendali per estendere il loro accesso.
Questo ha avuto l’effetto collaterale di bloccare gli utenti, compreso uno dei sysadmin, fuori da vari sistemi aziendali…
…e il sysadmin non ha solo rimediato al problema immediato per risolvere il cosa, ma ha anche innescato una reazione per scoprire il perché.
Questa reazione ha portato molto rapidamente i truffatori ad essere cacciati dalla rete.
Come abbiamo detto sopra, ogni soffiata è una buona soffiata!
Cosa fare?
La velocità e la determinazione di questi truffatori, entrando speculativamente in account di posta elettronica dopo account di posta elettronica, è un eccellente promemoria del perché la difesa in profondità è importante.
Tutti questi consigli sarebbero stati utili in questo caso:
- Patch presto, patch spesso. La VPN vulnerabile menzionata in questo articolo probabilmente non era il modo in cui i truffatori hanno avuto accesso in questo caso, ma era comunque un possibile percorso verso l’interno. Perché stare dietro ai truffatori quando invece potresti essere davanti?
- Usa 2FA ogni volta che puoi. Un secondo fattore di autenticazione sia per la VPN esterna che per i server RDP interni avrebbe potuto essere sufficiente da solo a tenere fuori questi truffatori.
- Esci dagli account quando non li usi. Sì, è una seccatura rientrare negli account ogni volta che hai bisogno di usarli, ma combinato con 2FA rende molto più difficile per i truffatori approfittare di te se hanno accesso al tuo browser.
- Ripensa a quali siti web permetti di tenere i dati della carta di pagamento online per la prossima volta. Le aziende che conservano i dati della carta di pagamento solo per acquisti specifici, come il pagamento di una bolletta, sono un rischio molto più basso rispetto ai servizi online attraverso i quali la tua carta può essere usata per pagare quasi tutto, specialmente per oggetti che vengono “consegnati” immediatamente via e-mail.
- Non bloccare il malware da solo con il tuo prodotto di protezione dalle minacce. Blocca anche le applicazioni potenzialmente indesiderate (PUA) e gli strumenti di hacking. I criminali informatici si stanno sempre più rivolgendo a software legittimi di cybersicurezza e di gestione della rete che avete già sul vostro sistema, invece di usare malware – una tecnica che si chiama “vivere sul campo” – nella speranza di sembrare loro stessi dei sysadmin. Catturateli se potete.
- Abbiate un posto dove gli utenti possano segnalare problemi di sicurezza. Se siete bloccati dal vostro account inaspettatamente, assicuratevi che la vostra reazione non sia semplicemente “ho bisogno di tornare online” ma anche “ho bisogno di trovare la causa sottostante”. Un indirizzo e-mail o un numero di telefono aziendale facilmente ricordabile per i rapporti sulla cybersicurezza può aiutarvi a trasformare tutta la vostra azienda in occhi e orecchie per il team di sicurezza IT.
- Tenete i vostri utenti attenti alle ultime tendenze del phishing. Considerate un prodotto di formazione anti-phish come Sophos Phish Threat. Non possiamo ancora esserne sicuri, ma sembra che una singola password rubata possa essere il modo in cui i truffatori hanno iniziato questo attacco.
- Non fatevi distrarre da minacce specifiche come il ransomware. Gli strumenti specifici per il ransomware sono utili come parte di un approccio di difesa in profondità, ma non avrebbero fermato questo attacco da soli. Tuttavia, un approccio olistico che avrebbe bloccato questi truffatori avrebbe molto probabilmente fermato anche la maggior parte degli attacchi ransomware.