Want to make creations as awesome as this one?

Transcript

Virus Informatici

Realizzato da: Samuele Palumbo 5C 2023/2024

3 Malware tra i più pericolosi del 2024

Clop Ransomware

Zeus Gameover

Cyborg

Clop Ransomware

Quando nasce?

Nasce nel 2019.

Chi lo ha creato?

Un gruppo criminale russo.

Come Funziona?

Clop Ransomware cripta i file importanti e chiede un riscatto in cambio della decryption key.

Zeus Gameover

Quando nasce?

Chi lo ha creato?

Come Funziona?

Nasce nel 2007.

Un gruppo criminale di nazionalità sconosciuta.

Sottrae dati finanziari.

Cyborg Ransomware

Quando nasce?

Chi lo ha creato?

Come funziona?

Nasce nel 2020.

Un gruppo criminale russo.

Cyborg cripta i file importanti e chiede un riscatto in cambio della decryption key.

Di seguito, le fonti utilizzate:

  • https://it.safetydetectives.com/blog/le-minacce-virus-malware-pericolose-piu-recenti/#:~:text=I%2010%20Virus%20e%20Malware%20%28PERICOLOSI%29%20pi%C3%B9%20recenti,...%208%208.%20Ingegneria%20sociale%20...%20Altri%20elementi
  • https://it.safetydetectives.com/blog/le-minacce-virus-malware-pericolose-piu-recenti/#:~:text=I%2010%20Virus%20e%20Malware%20%28PERICOLOSI%29%20pi%C3%B9%20recenti,...%208%208.%20Ingegneria%20sociale%20...%20Altri%20elementi
  • https://www.pcrisk.com/removal-guides/16253-cyborg-ransomware
  • https://www.axitea.com/it/blog/cosa-sono-i-fleeceware-i-malware-che-ti-derubano-legalmente/
  • https://www.kaspersky.it/resource-center/threats/zeus-trojan-malware
  • https://helpransomware.com/it/clop-ransomware/
  • https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-clop
  • https://www.crn.com/slide-shows/security/300073010/8-victims-of-the-gameover-zeus-cryptolocker-attacks
  • https://www.shadowserver.org/news/gameover-zeus-cryptolocker/
  • https://www.fbi.gov/news/press-releases/u.s.-leads-multi-national-action-against-gameover-zeus-botnet-and-cryptolocker-ransomware-charges-botnet-administrator
  • https://securityaffairs.com/25442/cyber-crime/gameover-zeus-botnet-disrupted-multinational-effort.html
  • https://blog.checkpoint.com/securing-user-and-access/new-research-mobile-malware-hits-every-business/
  • https://www.xcitium.com/blog/ransomware/what-is-cyborg-ransomware/

Altre fonti non linkabili, "Relazione annuale 2023"(Dsi), "Annual threat assesment"(Dni).

Il ransomware Clop aggiunge il simbolo ". ClOP" ("Clop" scritto con una piccola "L") ai file che crittografa. I ricercatori hanno anche scoperto che Clop prende di mira l'intera rete di una vittima invece che solo i singoli computer. Ciò è reso possibile dall'hacking del server Active Directory (AD) prima dell'infezione da ransomware per determinare i Criteri di gruppo del sistema. Ciò consente al ransomware di persistere negli endpoint anche dopo che i soccorritori li hanno già ripuliti. I precedenti attacchi del gruppo TA505 hanno visto il consegna del malware Clop come fase finale del suo payload in massicce campagne di phishing. I malintenzionati inviavano e-mail di spam con allegati HTML che reindirizzavano i destinatari a un documento abilitato per le macro, ad esempio un file XLS utilizzato per rilasciare un caricatore denominato Get2. Questo caricatore facilita il download di vari strumenti come SDBOT (Robot SDBOT), ImperfettoAmmyye Colpo di cobalto. Una volta che i malintenzionati si sono intromessi nel sistema, procedono alla ricognizione, al movimento laterale e all'esfiltrazione per preparare il terreno per la distribuzione del ransomware Clop. Gli operatori dietro Clop costringono le loro vittime inviando e-mail nel tentativo di negoziare. Ricorrono anche a minacce più gravi come pubblicizzare e mettere all'asta le informazioni rubate sul loro sito di fuga di dati "Cl0p^_-Leaks" se i loro messaggi vengono ignorati. Sono anche arrivati al punto di utilizzare Tecniche di estorsione quadrupla, che hanno comportato l'inseguimento Alti dirigenti e clientela per fare pressione sulle aziende affinché salgano il riscatto. Essendosi affermata bene nel mondo del crimine informatico, la gang di ransomware Clop è considerata un trendsetter per le sue tattiche, tecniche e procedure (TTP) in continua evoluzione. In effetti, gli exploit Kiteworks FTA del gruppo hanno stabilito una nuova tendenza in quanto questi ha aumentato i pagamenti medi dei riscatti per il primo trimestre del 2021. Un rapporto I risultati di Coveware hanno rivelato che i pagamenti medi di ransomware sono aumentati significativamente fino a 220.298 dollari, con un aumento del 43%. Ha anche affermato che il pagamento medio del riscatto è aumentato bruscamente a 78.398 dollari da 49.459 dollari, il che si traduce in un aumento del 60%.

La banda di ransomware Clop ha anche affermato di aver preso di mira 130 organizzazioni che sono state vittime del Vulnerabilità di Fortra GoAnywhere MFT per un periodo di un mese nel marzo 2023. Sebbene gli attori del ransomware Clop non abbiano condiviso dettagli specifici su come hanno sfruttato la vulnerabilità, il ricercatore di sicurezza Florian Hauser ha pubblicato Codice di prova su di esso, mentre Fortra ha rilasciato una patch di emergenza poco dopo. Nel frattempo, nell'aprile 2023, Microsoft attribuito lo sfruttamento delle Codice CVE-2023-27350 alle bande di ransomware Clop e LockBit. CVE-2023-27350 è una vulnerabilità nella soluzione software di gestione della stampa PaperCut, ampiamente utilizzata, che è stata divulgata tramite Zero Day Initiative (ZDI) di Trend Micro,™ come descritto in ZDI-23-233. Secondo Microsoft, l'autore della minaccia ha abusato della vulnerabilità per distribuire il malware Truebot e, in ultima analisi, le famiglie di ransomware Clop e LockBit per rubare informazioni aziendali critiche. Nel maggio di quest'anno, è stato riferito che FIN7 (aka Sangria Tempest) ha utilizzato il malware POWERTRASH per lanciare il toolkit Lizar in una serie iniziata nell'aprile 2023. Il gruppo di criminali informatici ha utilizzato la backdoor per entrare in possesso e spostarsi lateralmente all'interno della rete della vittima e, infine, distribuire il ransomware Clop sulle macchine compromesse. Da maggio 2023 il gruppo continuamente sfruttato vulnerabilità zero-day critiche nel software di trasferimento file MOVEit Transfer e MOVEit Cloud tramite Codice CVE-2023-24362 e Codice CVE-2023-35036, per compromettere una serie di privato e Enti pubblici da vari settori. Mentre l'azienda è stata in grado di schierare soluzioni alternative, Clop ha sfruttato queste aperture per entrare in sistemi e reti vulnerabili per esfiltrare dati sensibili. Ricercatori e analisti hanno rinomato che non sono stati osservati payload ransomware da questi attacchi, ma che il gruppo si è concentrato maggiormente sull'estorsione e ha minacciato questi obiettivi di alto valore con la pubblicazione di informazioni sensibili e proprietarie. Un'ulteriore iniezione SQL Gap di sicurezza ancora in attesa di un'assegnazione CVE e di una patch è emerso nel mese di giugno, che il gruppo ha sfruttato. Il numero di attacchi documentati per tenere in ostaggio sistemi e informazioni come routine sta diminuendo, il che è comune tra altri gruppi di ransomware negli ultimi mesi. Tuttavia, le stesse tecniche e competenze vengono utilizzate per compromettere i sistemi e le reti vulnerabili per rubare dati o estorcere alle aziende in cambio della riservatezza delle informazioni di queste aziende.

Clop si è evoluto come una variante del CryptoMix famiglia di ransomware. Nel febbraio 2019, i ricercatori di sicurezza hanno scoperto l'uso di Clop da parte del gruppo di minacce noto come TA505 quando ha lanciato un Spear-phishing campagna e-mail. Clop è un esempio di ransomware come servizio (RaaS) che è gestito da un gruppo di lingua russa. Inoltre, questo ransomware utilizzava un file binario verificato e firmato digitalmente, che lo faceva sembrare un file eseguibile legittimo in grado di eludere il rilevamento di sicurezza. Nel 2020, è stato riferito che FIN11, un gruppo di hacker motivato finanziariamente, ha distribuito il ransomware Clop e ha minacciato le proprie vittime di pubblicare i dati esfiltrati. FIN11 sfruttato Vulnerabilità zero-day nell'appliance di trasferimento file (FTA) legacy di Kiteworks (precedentemente nota come Accellion) per infiltrarsi nella rete delle vittime. L'obiettivo era quindi quello di fornire il ransomware Clop come payload e rubare anche i dati. I ricercatori hanno anche scoperto che il gruppo ha utilizzato uno specifico Shell Web che è stato indicato come "DEWMODE" per esfiltrare le informazioni rubate dalle sue vittime. I ricercatori hanno trovato due gruppi di attori malintenzionati che avevano connessioni note con FIN11 e li hanno identificati come UNCA2546 e UNCA2582. Questi sono stati anche i gruppi responsabili della massiccia attacchi a Kiteworks Gli utenti. Gli operatori dietro Clop hanno fatto il loro primo tentativo di utilizzare il Doppia estorsione nell'aprile 2020, quando hanno pubblicato i dati di un azienda farmaceutica sul loro sito di perdita. Il sito dedicato alle fughe di notizie di Clop ospita la sua lista di vittime, che è notevolmente cresciuta dal suo lancio. Nel corso del tempo, le tattiche di estorsione della banda sono diventate più sofisticate e quindi più distruttive. Nel novembre 2021, i ricercatori di sicurezza hanno rilevato attività dannose da parte degli operatori Clop che hanno sfruttato un SolarWinds Vulnerabilità Serv-U per violare le reti aziendali e fornire il ransomware Clop come payload. La vulnerabilità legata all'esecuzione di codice remoto (RCE) Serv-U Managed File Transfer e Serv-U Secure FTP, rilevata come Codice CVE-2021-35211, ha consentito RCE sul server vulnerabile con privilegi elevati. Anche un gigante dei servizi marittimi con sede a Singapore è caduto preda di Clop. Nel novembre 2021 è stato riferito che Clop ha violato i suoi sistemi informatici per rubare informazioni commerciali proprietarie classificate e dati dei dipendenti che includevano, tra gli altri, dettagli del conto bancario, informazioni sulle buste paga, passaporti, indirizzi e-mail e corrispondenza interna. Nell'ottobre 2022, Microsoft Security segnalato DEV-0950, un gruppo di ransomware che sembra essere associato al gruppo di criminali informatici FIN11(aliasTA505), ha distribuito Clop in una campagna che ha preso di mira una delle vittime del worm Raspberry Robin.

La versione originale del 2005 di Zeus è stata creata da Evgeniy Bogachev, comunemente chiamato "Slavic". Sebbene Slavic abbia creato la versione originale di Zeus, in seguito ha collaborato con oltre 50 persone che si facevano chiamare "business club" per eseguire attacchi di ingegneria sociale e malware sui conti bancari delle vittime. Insieme, il gruppo di frodi ha aggiunto funzionalità al codice Zeus originale consentendo la pirateria, l'attività botnet, l'implementazione di CryptoLocker e l'iniezione di JavaScript dannoso ed elementi web nel browser di una vittima. Nel 2010, Slavic ha annunciato che non avrebbe più supportato Zeus, cedendo la base di codice ad altri che hanno rapidamente creato varianti. Il gruppo, noto ai ricercatori come "JabberZeus", ha creato varianti chiamate Murofet/Licat Zeus. Questo gruppo ha reso pubblico il codice Zeus, il che ha portato al rilascio di un numero ancora maggiore di varianti in natura. La variante Murofet/Licat includeva la base per GameOver Zeus, la comunicazione peer-to-peer e la funzionalità ransomware CryptoLocker per il codice sorgente. Gli aggressori sono passati dal furto di credenziali bancarie all'utilizzo di ransomware per estorcere denaro alle vittime. Nel 2014, i ricercatori hanno eseguito un'efficace acquisizione dell'infrastruttura GameOver Zeus sequestrando i domini utilizzati da Zeus per comunicare e distribuire il malware all'interno della sua rete. Un'altra variante è stata rapidamente rilasciata, chiamata "newGOZ", ma non è stata attiva a lungo e potrebbe essere stata una distrazione per i ricercatori mentre gli autori di malware rilasciavano il codice al pubblico.

Poiché Zeus e GameOver Zeus sono in circolazione da oltre un decennio, il danno per le aziende e i consumatori è nell'ordine dei milioni. Il picco più alto di attività per Zeus è stato tra il 2011 e il 2014. GameOver Zeus è stato sviluppato come variante successiva e ha fatto la maggior parte dei suoi danni nel 2014. Tuttavia, si tratta di malware sofisticato che le organizzazioni aziendali dovrebbero prevenire attivamente. Secondo l'FBI, GameOver Zeus ha infettato oltre 250.000 computer ed è stato responsabile di oltre 100 milioni di dollari di perdite monetarie. Il componente ransomware CryptoLocker di Zeus è responsabile di circa 27 milioni di dollari di pagamenti di riscatti da parte di consumatori e aziende. Una ricerca dell'Università del Kent stima che il 40% delle vittime di CryptoLocker abbia pagato il riscatto. L'FBI ha emesso un atto d'accusa per Slavic e per tutti i cospiratori coinvolti nel giro di frode e ha offerto milioni di dollari per informazioni relative alla rete Zeus. Tuttavia, le varianti continuano ad affliggere le aziende e i consumatori. La componente botnet di Zeus colpisce sia i consumatori che le aziende ed è difficile rilevare Zeus su una macchina interessata. Diverse persone negli Stati Uniti, nel Regno Unito e in Ucraina sono oggetto di mandati di perquisizione e sono state accusate di frode. Si stima che 390 casi dell'FBI coinvolgano il malware Zeus. Sono stati registrati oltre 220 milioni di dollari di tentate perdite, con 100 milioni di dollari di perdite effettive.

Poiché Zeus è una famiglia di malware su larga scala, ogni variante differisce nella modalità di attacco e nel payload, ma GameOver Zeus è una variante creata esplicitamente per il suo ransomware. Dopo che un dispositivo preso di mira è stato infettato da GameOver Zeus, cerca opportunità per scaricare e installare malware aggiuntivo, di solito il ransomware CryptoLocker. GameOver Zeus si diffonde utilizzando messaggi e-mail dannosi. I messaggi potrebbero contenere un allegato dannoso o un collegamento a un server controllato da un utente malintenzionato. Gli utenti sono costretti a scaricare il malware, che aggiunge il computer infetto alla botnet. Ogni computer della botnet si connette al centro di comando e controllo della rete Zeus, dove gli aggressori impartiscono "ordini" alle macchine infette e aggiornano il malware. Dopo che un utente preso di mira installa GameOver Zeus, attende che l'utente acceda al proprio conto bancario nel browser. Il malware inietta script ed elementi per indurre gli utenti a divulgare le proprie informazioni bancarie come domande di sicurezza, in modo che gli aggressori possano accedere al conto bancario della vittima per effettuare transazioni fraudolente. GameOver Zeus ruba anche gli ID di sessione, che i server utilizzano per identificare un utente connesso a un'applicazione web. L'obiettivo principale di GameOver Zeus è quello di estrarre denaro dalle vittime utilizzando una grande botnet che lavora insieme per rubare informazioni bancarie o trasferire automaticamente fondi dal conto bancario online della vittima al conto bancario dell'aggressore. Come malware, l'elemento di differenziazione di Zeus è il fattore umano. I money mules prelevano denaro dai conti bancari locali delle vittime e inviano questi fondi ai conti bancari offshore degli aggressori. GameOver Zeus viene eseguito in background su un computer Windows, controllando continuamente la presenza di informazioni personali o aziendali, comprese le informazioni memorizzate nei browser o nell'archivio protetto. La comunicazione peer-to-peer è crittografata per evitare il rilevamento della comunicazione del server con il comando e il controllo e la botnet. Tutte le informazioni trovate da Zeus vengono inviate a un altro peer all'interno della botnet. Le attività botnet servono principalmente alla comunicazione tra macchine infette, quindi gli aggressori possono affittare la rete Zeus per eseguire la propria infezione. Slavic ha accesso esclusivo alla rete di backend Zeus utilizzando chiavi private per connettersi ai peer e aggiornarli con l'ultima versione di Zeus. Il ransomware CryptoLocker è una protezione nel caso in cui il malware non riesca a rubare le credenziali bancarie. Il componente ransomware in GameOver Zeus generalmente funziona come la maggior parte dei ransomware. Crittografa i file con RSA-2048, che è un cifrario crittograficamente sicuro. I file non possono essere decrittografati senza la chiave privata, fornita solo quando la vittima paga il riscatto.

Ransomware e altri malware vengono spesso diffusi tramite trojan, campagne di spam, falsi programmi di aggiornamento software e strumenti di attivazione illegali ("crack") e fonti di download inaffidabili. I trojan sono programmi dannosi progettati per causare infezioni a catena (ad esempio, scaricare/installare malware aggiuntivo). Le campagne di spam su larga scala vengono utilizzate per inviare e-mail ingannevoli contenenti allegati infetti (o collegamenti Web che portano ad essi). Questa e-mail è solitamente evidenziata come "prioritaria", "ufficiale", "importante" o simili. Gli allegati possono essere in vari formati di file (ad es. file di archivio ed eseguibili, documenti PDF e Microsoft Office, JavaScript, ecc.). L'apertura innesca l'infezione del sistema. I falsi programmi di aggiornamento software sfruttano i punti deboli di programmi obsoleti e/o installano malware, piuttosto che gli aggiornamenti promessi. Gli strumenti di "cracking" infettano i sistemi scaricando/installando software dannoso, piuttosto che attivare i prodotti concessi in licenza. I canali di download non affidabili includono siti Web di hosting di file non ufficiali e gratuiti, reti di condivisione peer-to-peer (BitTorrent, eMule, Gnutella, ecc.) e altri downloader di terze parti. È più probabile che queste fonti offrano contenuti ingannevoli e/o normali in bundle con programmi dannosi.

Il ransomware Cyborg è una delle molteplici varianti di malware. Il malware, o software dannoso, è un software che danneggia i sistemi operativi o altri software previsti. La maggior parte dei malware viene utilizzata per estorcere valute digitali, come BitCoin o LiteCoin, ma il ransomware, in particolare, lo dimostra in modo specifico. Il ransomware Cyborg, come altri ceppi di ransomware, inizia con la crittografia. I creatori di codice con l'intento di eseguire un attacco ransomware creano un codice che, una volta abilitato, crittograferà tutti i dati che riesce a trovare, impedendo ai proprietari dei dati di accedervi. Nel ransomware Cyborg, i nomi dei file vengono modificati aggiungendo .petra. Questo ti farà sapere che i file sono compromessi. Le attuali minacce di virus hanno procedure simili, il che significa che se noti lettere o parole aggiuntive sui tuoi file, sono stati compromessi in un modo o nell'altro. Chiedere "cos'è il ransomware Cyborg?" risponde anche alla domanda "cos'è il ransomware?" perché, per la maggior parte, funzionano tutti allo stesso modo perché la maggior parte degli attacchi ransomware che circolano provengono dalla stessa fonte con piccole modifiche ai dettagli.

Ora che conosci la risposta alla domanda "cos'è il ransomware Cyborg?", il passo successivo è capire come funziona. Come tutti i ransomware, affinché il codice funzioni, deve essere scaricato nel sistema operativo, o nel sistema operativo, del suo obiettivo. Le attuali minacce di virus si presentano in molte forme e forme poiché si sono evolute nel tempo per stare al passo con le tendenze su Internet, ma la maggior parte di esse proviene dalle e-mail. La vittima riceve un'e-mail fraudolenta che contiene il link o il file effettivamente scaricabile al software che avvia la crittografia. Il contenuto dell'e-mail varia a seconda dell'ambito di destinazione dell'hacker. Ad esempio, gli hacker che designano gli imprenditori probabilmente affermano di essere banche con promozioni o servizi che potrebbero essere utili come la contabilità e le consegne e simili. Una volta che la crittografia è stata abilitata, verrebbe eseguita attraverso l'intero sistema impedendo al proprietario di accedere ai propri file. Una volta completato, mostrerà alla vittima un messaggio che la informa di quanto e come trasferire il riscatto al programmatore malintenzionato che lo richiede, affermando che una volta effettuato il pagamento decrittograferanno i file che sbloccheranno i file e li restituiranno al proprietario.