BleepingComputer ha segnalato attacchi simili a febbraio, con la caduta dei beacon Cobalt Strike, e a luglio, quando gli attori delle minacce hanno dirottato i server MS-SQL vulnerabili per rubare la larghezza di banda per i servizi proxy.

L’ultima ondata è più catastrofica e mira a un profitto facile e veloce ricattando i proprietari di database.

Il ransomware FARGO, alias TargetCompany

I ricercatori di sicurezza dell’AhnLab Security Emergency Response Center (ASEC) affermano che FARGO è uno dei ceppi di ransomware più importanti che si concentrano sui server MS-SQL, insieme a GlobeImposter.

Questa famiglia di malware è stata chiamata “Mallox” in passato perché era solita aggiungere l’estensione “.mallox” ai file che criptava.

Inoltre, questo ceppo è lo stesso che i ricercatori di Avast hanno denominato “TargetCompany” in un rapporto di febbraio, evidenziando che i file da esso crittografati possono essere recuperati gratuitamente in alcuni casi.

Infezione ed esecuzione

I ricercatori rilevano che l’infezione da ransomware inizia con il processo MS-SQL sul computer compromesso che scarica un file .NET utilizzando cmd.exe e powershell.exe.

Il payload recupera ulteriore malware (incluso l’armadietto), genera ed esegue un file BAT che termina processi e servizi specifici.

Successivamente, il payload del ransomware si inietta in AppLaunch.exe, un processo legittimo di Windows, e cerca di eliminare la chiave di registro per il “vaccino” open-source del ransomware chiamato Raccine.

Inoltre, il malware esegue il comando di disattivazione del recupero e termina i processi relativi al database per rendere il loro contenuto disponibile per la crittografia.

Processi eliminati da FARGO

Processi uccisi da FARGO prima dell’avvio della crittografia (ASEC)
Il ceppo di ransomware FARGO esclude alcuni software e directory dalla crittografia per evitare che il sistema attaccato diventi completamente inutilizzabile.

Sono escluse dalla crittografia diverse directory del sistema Microsoft Windows, i file di avvio, Tor Browser, Internet Explorer, le personalizzazioni e le impostazioni dell’utente, il file di registro di debug o il database delle miniature.

Al termine della crittografia, i file bloccati vengono rinominati con l’estensione “.Fargo3” e il malware genera la nota di riscatto (“RECOVERY FILES.txt”).

Le vittime vengono minacciate di diffondere i file rubati sul canale Telegram dell’attore della minaccia, a meno che non paghino il riscatto.

I server di database sono spesso compromessi attraverso attacchi brute-force e a dizionario che hanno successo contro gli account protetti da credenziali deboli. In alternativa, i criminali informatici cercano di sfruttare vulnerabilità note che l’obiettivo non ha patchato.

La raccomandazione per gli amministratori di server MS-SQL è di assicurarsi di utilizzare password sufficientemente forti e uniche. Inoltre, mantenere la macchina aggiornata con le ultime correzioni delle vulnerabilità di sicurezza è un consiglio che non passa mai di moda.

Fonte

Il gruppo di hacker APT è ritenuto responsabile di numerosi attacchi quest’anno, tra cui un attacco alle infrastrutture energetiche ucraine e la diffusione di una botnet persistente chiamata “Cyclops Blink”.

Gli attacchi di phishing di Microsoft 365 impersonano agenzie governative statunitensi
A partire dall’agosto 2022, i ricercatori di Recorded Future hanno osservato un aumento dell’infrastruttura di comando e controllo (C2) Sandworm che utilizza domini DNS dinamici mascherati da fornitori di servizi di telecomunicazione ucraini.

Le recenti campagne mirano a distribuire malware di base come Colibri Loader e Warzone RAT (trojan per l’accesso remoto) sui sistemi critici ucraini.

Nuova infrastruttura Sandworm

Sebbene Sandworm abbia rinnovato la sua infrastruttura C2 in modo significativo, lo ha fatto gradualmente, per cui i dati storici dei rapporti CERT-UA hanno permesso a Recorded Future di collegare le operazioni attuali con grande sicurezza all’attore della minaccia.

Un esempio è il dominio “datagroup[.]ddns[.]net”, individuato dal CERT-UA nel giugno 2022, mascherato da portale online di Datagroup, un vettore di telecomunicazioni ucraino.

Un altro fornitore di servizi di telecomunicazione ucraino che ha subito lo spoofing è Kyivstar, per il quale Sandworm utilizza le facciate “kyiv-star[.]ddns[.]net” e “kievstar[.]online”.

Il caso più recente è quello di “ett[.]ddns[.]net” e “ett[.]hopto[.]org”, molto probabilmente un tentativo di imitare la piattaforma online di EuroTransTelecom LLC, un altro operatore di telecomunicazioni ucraino.

Molti di questi domini si risolvono in nuovi indirizzi IP, ma in alcuni casi vi sono sovrapposizioni con campagne Sandworm precedenti, risalenti al maggio 2022.

Catena di infezione

L’attacco inizia attirando le vittime a visitare i domini, in genere tramite e-mail inviate da questi domini, per far credere che il mittente sia un fornitore di telecomunicazioni ucraino.

La lingua utilizzata in questi siti è l’ucraino e gli argomenti presentati riguardano operazioni militari, avvisi amministrativi, rapporti, ecc.

La pagina web più comune vista da Recorded Future è quella contenente il testo “ОДЕСЬКА ОБЛАСНА ВІЙСЬКОВА АДМІНІСТРАЦІЯ”, che si traduce in “Amministrazione militare regionale di Odesa”.

L’HTML della pagina web contiene un file ISO codificato in base64 che viene scaricato automaticamente quando il sito web viene visitato utilizzando la tecnica del contrabbando HTML.

HTML dannoso contenente ISO offuscato

In particolare, il contrabbando di HTML è utilizzato da diversi gruppi di hacker sponsorizzati dallo Stato russo, un esempio recente è APT29.

Il payload contenuto nel file immagine è Warzone RAT, un malware creato nel 2018 e che ha raggiunto il picco di popolarità nel 2019. Sandworm lo utilizza per sostituire il DarkCrystal RAT distribuito nei mesi precedenti.

È possibile che gli hacker russi vogliano rendere più difficile il tracciamento e l’attribuzione per gli analisti di sicurezza, utilizzando un malware ampiamente disponibile e sperando che le loro tracce si “perdano nel rumore”.

Il malware WarZone RAT sarà anche vecchio, ma offre ancora potenti funzionalità come l’aggiramento di UAC, il desktop remoto nascosto, il furto di cookie e password, il keylogger live, le operazioni sui file, il reverse proxy, la shell remota (CMD) e la gestione dei processi.

Il nuovo accordo consente alle autorità dell’UE di accedere a informazioni cruciali che potrebbero aiutarle a individuare i criminali della malavita con base nello Stato del Golfo, come Daniel Kinahan e suo padre Christy Snr.

In base all’accordo “A Liaison Officer Agreement”, gli agenti di polizia degli Emirati Arabi Uniti avranno ora una base permanente presso la sede di Europol nei Paesi Bassi.

“Gli Emirati Arabi Uniti sono un partner fondamentale per la sicurezza nella lotta contro le minacce criminali più pressanti di oggi”, ha dichiarato il direttore esecutivo di Europol Catherine de Bolle. “Accolgo con favore questo accordo che segnerà un nuovo livello di cooperazione nella polizia internazionale, collegando le forze dell’ordine emiratine con le loro controparti in tutti gli Stati membri dell’Europa e nei Paesi partner. Così facendo, stiamo inviando insieme un chiaro segnale ai criminali”.

L’approfondimento dei legami tra gli Emirati Arabi Uniti e gli Stati membri europei fa parte di una stretta sulle bande criminali come i Kinahan, già colpiti da importanti sanzioni e sequestri di beni da parte degli Stati Uniti. A maggio, il cartello è stato indicato come uno dei principali obiettivi delle leggi dell’UE in materia di criminalità che mirano ad eliminare “organizzazioni criminali grandi e pericolose”.

“È molto difficile condannare queste persone specifiche”, ha dichiarato all’epoca Ylva Johansson, commissario europeo per gli Affari interni. “Ma ora (possiamo) renderlo possibile in casi come il cartello Kinahan, dove abbiamo un cartello enorme, ma i capi (non) siamo stati in grado di perseguire davvero”.

“Agiscono a Dubai, in Spagna, in Irlanda e in molti altri Paesi e sono coinvolti nel traffico di droga, armi da fuoco, traffici e omicidi”. L’accordo di oggi tra Europol e le autorità degli Emirati Arabi Uniti è una pietra miliare nell’applicazione della polizia internazionale che avvicinerà le forze di polizia

La Gardaí ha già ampliato la propria rete negli Emirati Arabi Uniti con un ufficiale di collegamento di alto livello basato nel Paese da luglio. Quest’ultima mossa aggiungerà pressione al già assediato Kinahan Organised Crime Group (KOCG), dopo che i suoi membri principali sono stati sanzionati dal governo statunitense. Ad aprile, le forze dell’ordine statunitensi hanno annunciato importanti sanzioni contro Christy Kinahan, i suoi figli Daniel e Christopher Jnr e altre persone collegate ai Kinahan.

Le autorità statunitensi hanno anche offerto una ricompensa di 5 milioni di dollari per informazioni che portino a condanne. Recentemente abbiamo anche rivelato che, dopo il congelamento dei loro beni a Dubai, i leader del KOCG starebbero cercando disperatamente di spostare i loro beni fuori dallo Stato del Golfo. I funzionari degli Emirati Arabi Uniti hanno recentemente congelato tutti i beni appartenenti ai membri chiave del cartello di Kinahan a seguito di un’ondata di pubblicità negativa dopo le sanzioni del governo statunitense.