Alcuni anniversari sono destinati a far venire i brividi, e il mondo dell’Information Technology non fa eccezione. Maggio 2022 segna cinque anni da quando il cryptoworm ransomware WannaCry, diffuso in tutto il mondo, ha preso di mira i sistemi operativi Microsoft.

Il codice maligno ha agito criptando i dati e chiedendo il pagamento di un riscatto in Bitcoin. È molto probabile che l’origine dell’attacco provenga dalla Corea del Nord. WannaCry è stato infine annullato da un ricercatore di sicurezza autodidatta che ha individuato un singolo “trucco rapido” per disabilitare le caratteristiche più distruttive di WannaCry. Da allora, tuttavia, il ransomware è diventato più sofisticato.

Poiché gli attacchi di ransomware continuano a essere un problema di sicurezza di primaria importanza, le best practice per evitare attacchi simili sono ancora in primo piano per le organizzazioni.

A valutare le strategie appropriate per Digital Journal è Ariel Parnes, fondatore e COO di Mitiga, una società di risposta agli incidenti nel cloud.

Partendo dalla storia recente, Parnes afferma: “Nel maggio 2017, l’attacco cryptoworm WannaCry ransomware ha preso di mira i computer con Microsoft Windows, criptando i dati e chiedendo il pagamento di un riscatto in Bitcoin. Sfruttando l’exploit EternalBlue sviluppato dalla National Security Agency per i vecchi sistemi Windows, è stato efficace contro le organizzazioni che non avevano implementato le patch per gli exploit o che utilizzavano ancora vecchi sistemi Windows non più supportati da Microsoft“.

Ciò comporta l’importanza di garantire che i sistemi legacy siano mantenuti aggiornati o sostituiti se necessario.

Parnes continua parlando della portata dell’attacco: “Secondo alcune stime, l’attacco ha colpito più di 200.000 computer in almeno 150 Paesi, con costi di danni che vanno da centinaia di milioni a miliardi di dollari“.

Parnes riassume: “Cinque anni dopo, come risponderebbe il mondo a un attacco massiccio come WannaCry? Siamo più pronti ora a rispondere a un incidente simile? Come sappiamo, la patch delle vulnerabilità può essere un processo lungo e complesso anche al giorno d’oggi, basti pensare al numero di organizzazioni che non hanno ancora patchato Log4Shell quattro mesi dopo il suo annuncio“.

Tuttavia, come sottolinea Parnes, è necessario fare di più: La sola patch non è sufficiente a fermare gli aggressori. Potrebbero aver già utilizzato una vulnerabilità per accedere a un ambiente, e sono troppo poche le organizzazioni che conducono regolarmente una caccia proattiva alle minacce”.

Per quanto riguarda gli approcci nuovi e innovativi per il mondo tecnologico odierno, Parnes afferma che: “Per garantire che le organizzazioni siano preparate ad affrontare un cryptoworm globale come WannaCry, devono pensare oltre le soluzioni di prevenzione“.

E aggiunge: “Sebbene queste soluzioni siano oggi una parte preziosa e necessaria della cybersecurity, è necessario adottare un approccio che dia priorità alla prontezza e includa l’automazione per accelerare le indagini e la risoluzione degli incidenti. Senza un cambiamento di approccio per affrontare l’evoluzione delle capacità e dei vettori di attacco degli attori delle minacce, siamo ancora vulnerabili come cinque anni fa“.

Microsoft ha osservato un aumento del 254% dell’attività negli ultimi sei mesi da parte di XorDDos, un Trojan Linux che può essere utilizzato per effettuare attacchi denial-of-service distribuiti ed è noto per l’utilizzo di attacchi Secure Shell brute force per ottenere il controllo remoto dei dispositivi di destinazione.

Scoperto per la prima volta dal gruppo di ricerca MalwareMustDie nel 2014, XorDDos prende il nome dalle sue attività di denial-of-service su endpoint e server Linux e dall’uso della crittografia basata su XOR per le sue comunicazioni.

“XorDDos rappresenta la tendenza del malware a prendere sempre più di mira i sistemi operativi basati su Linux, che sono comunemente distribuiti su infrastrutture cloud e dispositivi Internet of Things. Compromettendo i dispositivi IoT e altri dispositivi connessi a Internet, XorDDos accumula botnet che possono essere utilizzate per effettuare attacchi DDoS (distributed denial-of-service)“, secondo il team di ricerca di Microsoft 365 Defender.

Microsoft afferma di aver mitigato un attacco DDoS da 2,4 Tbps nell’agosto 2021. Il traffico dell’attacco proveniva da circa 70.000 fonti in paesi come Malesia, Vietnam, Taiwan, Giappone, Cina e Stati Uniti.

Tuttavia, il traffico dell’attacco non ha raggiunto la sede del cliente preso di mira ed è stato mitigato nei Paesi di origine.

“Gli attacchi DDoS di per sé possono essere molto problematici per numerosi motivi, ma possono anche essere utilizzati come copertura per nascondere ulteriori attività dannose, come l’implementazione di malware e l’infiltrazione nei sistemi target“, afferma Microsoft.

Dettagli di XorDDos

Secondo Microsoft, XorDDos è noto per l’utilizzo di attacchi Secure Shell brute force per ottenere il controllo remoto dei dispositivi di destinazione.

SSH è un protocollo di rete presente nelle infrastrutture IT che consente comunicazioni crittografate su reti insicure per l’amministrazione remota dei sistemi, il che lo rende un vettore interessante per gli aggressori.

Una volta trovate credenziali SSH valide, XorDDos utilizza i privilegi di root per eseguire uno script che scarica e installa XorDDos sul dispositivo di destinazione e utilizza meccanismi di evasione e persistenza che consentono alle sue operazioni di rimanere solide e furtive.

“Le sue capacità di evasione comprendono l’offuscamento delle attività del malware, l’elusione dei meccanismi di rilevamento basati su regole e la ricerca di file dannosi basata su hash, nonché l’utilizzo di tecniche anti-forensi per infrangere l’analisi basata sull’albero dei processi“, affermano Ratnesh Pandey, Yevgeny Kulakov e Jonathan Bar del team di ricerca di Microsoft 365 Defender.

I ricercatori hanno anche osservato nelle recenti campagne che XorDDos può nascondere le attività dannose dall’analisi sovrascrivendo i file sensibili e include vari meccanismi di persistenza per supportare diverse distribuzioni Linux.

Vettore di attacco iniziale

I ricercatori hanno scoperto che i dispositivi infettati per la prima volta da XorDdos sono stati successivamente infettati da malware aggiuntivi come la backdoor Tsunami, che implementa ulteriormente il coin miner XMRig.

“Sebbene non abbiamo osservato XorDDos installare e distribuire direttamente payload secondari come Tsunami, è possibile che il trojan venga sfruttato come vettore per attività successive“, afferma Microsoft.

Microsoft ha analizzato un file ELF a 32 bit (programmato in C/C++) contenente simboli di debug che descrivevano in dettaglio il codice dedicato del malware per ciascuna delle sue attività ed ha scoperto che XorDDos contiene moduli con funzionalità specifiche per eludere il rilevamento.

“Utilizzano processi daemon che vengono eseguiti in background piuttosto che sotto il controllo degli utenti e si distaccano dal terminale di controllo, terminando solo quando il sistema viene spento“, afferma Microsoft.

Derivato dal malware XOR

XOR è apparso per la prima volta nel 2014, come documentato dai ricercatori del progetto Malware Must Die, che lo hanno soprannominato XOR.DDoS e hanno affermato che sembra essere stato sviluppato in Cina.

“Xor.DDoS è un malware multipiattaforma e polimorfico per il sistema operativo Linux e il suo obiettivo finale è quello di effettuare DDoS su altre macchine“, ha dichiarato il ricercatore Bart Blaze in un’analisi tecnica del malware pubblicata nel 2015. “Il nome Xor.DDoS deriva dall’uso massiccio della crittografia XOR sia nel malware che nelle comunicazioni di rete con i [C2]“, ovvero i server di comando e controllo. Questi server impartiscono istruzioni ai sistemi infetti, che fungono da bot nella botnet.

Attacchi DDoS più letali

In un post sul blog del febbraio 2021 che evidenzia le tendenze osservate nel 2020, Microsoft afferma che gli attacchi DDoS sono cresciuti di oltre il 50%, con una crescente complessità e un aumento significativo del volume del traffico DDoS. Nel 2020, Microsoft afferma di aver mitigato una media di 500 attacchi multivettore alle risorse Azure in un dato giorno.

Secondo il blog, l’epidemia di COVID-19 e il conseguente passaggio al lavoro in remoto hanno provocato un aumento del traffico Internet che ha reso più facile per gli aggressori lanciare attacchi DDoS, poiché non dovevano più generare molto traffico per far crollare i servizi.

Nel periodo marzo-aprile 2020, Microsoft ha dichiarato di aver mitigato tra gli 800 e i 1.000 attacchi multivettore al giorno.

I clienti Tesla potrebbero amare l’elegante sistema di accesso senza chiave della casa automobilistica, ma un ricercatore di cybersicurezza ha dimostrato come la stessa tecnologia potrebbe consentire ai ladri di fuggire con alcuni modelli di veicoli elettrici.

Secondo Sultan Qasim Khan, consulente principale per la sicurezza presso l’azienda di sicurezza NCC Group con sede a Manchester, nel Regno Unito, un hacking efficace sulle auto Tesla Model 3 e Y consentirebbe a un ladro di sbloccare un veicolo, avviarlo e scappare via. Reindirizzando le comunicazioni tra il telefono cellulare del proprietario dell’auto, o il portachiavi, e l’auto, gli estranei possono ingannare il sistema di accesso pensando che il proprietario si trovi fisicamente vicino al veicolo.

L’hack, ha detto Khan, non è specifico di Tesla, anche se ha dimostrato la tecnica a Bloomberg News su uno dei suoi modelli di auto. È piuttosto il risultato del suo intervento sul sistema di accesso senza chiave di Tesla, che si basa su un protocollo noto come Bluetooth Low Energy.

Non ci sono prove che i ladri abbiano usato l’hack per accedere impropriamente ai veicoli Tesla. La casa automobilistica non ha risposto a una richiesta di commento. NCC ha fornito i dettagli delle sue scoperte ai suoi clienti in una nota di domenica, ha dichiarato un funzionario.

Khan ha dichiarato di aver comunicato il potenziale attacco a Tesla e che i funzionari dell’azienda non ritengono il problema un rischio significativo. Per risolverlo, la casa automobilistica dovrebbe modificare l’hardware e cambiare il sistema di accesso senza chiave, ha detto Khan. La rivelazione arriva dopo che un altro ricercatore di sicurezza, David Colombo, ha rivelato un modo per dirottare alcune funzioni dei veicoli Tesla, come l’apertura e la chiusura delle porte e il controllo del volume della musica.

Il protocollo BLE è stato progettato per collegare comodamente tra loro i dispositivi via Internet, ma è emerso anche come metodo sfruttato dagli hacker per sbloccare tecnologie intelligenti, tra cui serrature di casa, automobili, telefoni e computer portatili, ha dichiarato Khan. NCC Group ha dichiarato di essere in grado di condurre l’attacco su diversi dispositivi di altre case automobilistiche e aziende tecnologiche.

L’adolescente che ha violato la Tesla di Elon Musk dice che le aziende dovrebbero avere molta paura. Le serrature intelligenti Kwikset Kevo che utilizzano sistemi keyless con telefoni iPhone o Android sono affette dallo stesso problema, ha dichiarato Khan. Kwikset ha dichiarato che i clienti che utilizzano un iPhone per accedere alla serratura possono attivare l’autenticazione a due fattori nell’app della serratura. Un funzionario ha anche aggiunto che le serrature azionate dall’iPhone hanno un timeout di 30 secondi, che aiuta a proteggersi dalle intrusioni.

Kwikset aggiornerà la sua app per Android “in estate”, ha dichiarato l’azienda.

“La sicurezza dei prodotti Kwikset è di estrema importanza e collaboriamo con note società di sicurezza per valutare i nostri prodotti e continuare a lavorare con loro per garantire la massima sicurezza possibile ai nostri consumatori“, ha dichiarato un funzionario.

Un rappresentante del Bluetooth SIG, il gruppo di aziende che gestisce la tecnologia, ha dichiarato: “Il Bluetooth Special Interest Group dà priorità alla sicurezza e le specifiche includono una serie di funzioni che forniscono agli sviluppatori di prodotti gli strumenti necessari per proteggere le comunicazioni tra dispositivi Bluetooth.

“Il SIG fornisce anche risorse educative alla comunità degli sviluppatori per aiutarli a implementare il livello di sicurezza appropriato nei loro prodotti Bluetooth, oltre a un programma di risposta alle vulnerabilità che collabora con la comunità di ricerca sulla sicurezza per risolvere in modo responsabile le vulnerabilità identificate nelle specifiche Bluetooth“.

Khan ha identificato numerose vulnerabilità nei prodotti client del Gruppo NCC ed è anche il creatore di Sniffle, il primo sniffer Bluetooth 5 open-source. Gli sniffer possono essere utilizzati per tracciare i segnali Bluetooth, aiutando a identificare i dispositivi. Sono spesso utilizzati dalle agenzie governative che gestiscono le strade per monitorare anonimamente i conducenti che attraversano le aree urbane.

Uno studio del 2019 condotto da un gruppo di consumatori britannico, Which, ha rilevato che più di 200 modelli di auto sono suscettibili di furto senza chiave, utilizzando metodi di attacco simili ma leggermente diversi, come lo spoofing dei segnali wireless o radio.

In una dimostrazione a Bloomberg News, il signor Khan ha condotto un cosiddetto attacco relay, in cui un hacker utilizza due piccoli dispositivi hardware che inoltrano le comunicazioni. Per sbloccare l’auto, ha posizionato un dispositivo a relè a circa 15 metri dallo smartphone o dal portachiavi del proprietario della Tesla e un secondo, collegato al suo computer portatile, vicino all’auto.

La tecnologia utilizzava un codice informatico personalizzato che il signor Khan aveva progettato per i kit di sviluppo Bluetooth, venduti online a meno di 50 dollari.

L’hardware necessario, oltre al software personalizzato di Khan, costa complessivamente circa 100 dollari e può essere facilmente acquistato online. Una volta configurati i relè, l’hacking richiede solo “10 secondi”, ha dichiarato Khan.

“Un aggressore potrebbe avvicinarsi a una qualsiasi casa di notte – se il telefono del proprietario è in casa – con un’auto Bluetooth ad accesso passivo parcheggiata fuori e usare questo attacco per sbloccare e avviare l’auto“, ha detto.

“Una volta che il dispositivo è in posizione vicino al telecomando o al telefono, l’aggressore può inviare comandi da qualsiasi parte del mondo“.