Colloquio Secondo Sergey Lozhkin, il principale ricercatore di sicurezza di Kaspersky, Sergey Lozhkin, il crimeware che prende di mira banche e altre organizzazioni di servizi finanziari oggi offre funzionalità sofisticate e strumenti di evasione.
“L’ora più buia è ora per il settore finanziario, in particolare per le grandi e medie imprese”, ha affermato Lozhkin, durante una tavola rotonda sulle minacce alle organizzazioni di servizi finanziari.
BlackLotus, un rootkit del firmware UEFI (Unified Extensible Firmware Interface) utilizzato per il backdoor di macchine Windows, è uno di questi strumenti recentemente scoperti. Kaspersky non ha ancora pubblicato una ricerca completa sull’impianto dannoso, ma Lozhkin ha affermato che è apparso in vendita con un prezzo di $ 5.000 sulla scena del crimine informatico all’inizio di questo mese.
Questo codice dannoso consente ai malintenzionati di aggirare la funzione di avvio sicuro dei computer, che dovrebbe impedire alla macchina di eseguire software non autorizzato. Invece, prendendo di mira l’UEFI, il malware BlackLotus viene caricato prima di qualsiasi altra cosa nel processo di avvio, incluso il sistema operativo e qualsiasi strumento di sicurezza che potrebbe fermarlo.
“Quindi, in pratica, se un cattivo ottiene l’accesso a una rete o a un computer, può installare questo strumento e sarà completamente invisibile, completamente persistente, a livello UEFI”, ha affermato Lozhkin.
Se un cattivo ottiene l’accesso a una rete o a un computer, può installare questo strumento e sarà completamente invisibile, completamente persistente, a livello UEFI
BlackLotus e altri malware sofisticati sono solitamente, ma non esclusivamente, gestiti da team di livello governativo, che hanno tasche profonde e sviluppatori altamente qualificati sul libro paga. I criminali possono anche mettere le mani sugli strumenti.
“Queste minacce e tecnologie prima erano accessibili solo da persone che stavano sviluppando minacce persistenti avanzate, per lo più governi”, ha affermato Lozhkin. “Ora questi tipi di strumenti sono nelle mani di criminali in tutti i forum”.
Non appena ha visto BlackLotus su uno di questi forum, “L’ho voluto immediatamente perché ho bisogno di decodificarlo e avvisare immediatamente i nostri clienti”, ha aggiunto Lozhkin.
Come catturare un truffatore
Lozhkin trascorre le sue giornate monitorando forum clandestini criminali e decodificando il malware condiviso tramite questi canali nefasti, ed è stato in precedenza vicepresidente delle operazioni di sicurezza informatica per JP Morgan Chase.
Anche se non fa il nome delle bande di criminali informatici che vede in agguato nell’ombra a causa di scopi investigativi in corso, questi criminali informatici motivati dal punto di vista finanziario sono diventati davvero bravi a riproporre strumenti di spionaggio informatico creati dal governo per portare a termine massicce rapine bancarie, come il miliardo di euro rapina che ha infiltrato più di 100 istituzioni finanziarie in 40 paesi.
Lozhkin è stato uno dei ricercatori di sicurezza privata che hanno partecipato alla rimozione, guidato dalla polizia nazionale spagnola con il supporto di Europol, dell’FBI statunitense e delle autorità rumene, moldave, bielorusse e taiwanesi.
“I moderni crimeware sono davvero sofisticati e i ragazzi che codificano questi strumenti sono davvero, davvero intelligenti”, ha detto Lozhkin. “E a volte non hanno nemmeno bisogno di codificare nulla. Perché scrivere il tuo codice quando puoi acquistarlo facilmente online?”
Gli strumenti della squadra rossa sono andati male
Ad esempio: bande di ransomware e Cobalt Strike. Questo è uno strumento di test di penetrazione legittimo che da allora è diventato un metodo preferito dai criminali informatici per spostarsi lateralmente attraverso le reti delle vittime, stabilire la persistenza e scaricare ed eseguire payload dannosi.
“E poi abbiamo Brute Ratel”, ha detto Lozhkin.
Questo, ovviamente, è il toolkit post-sfruttamento sviluppato da un ex teamer rosso Mandiant. Il malware quasi non rilevabile, che può eludere antivirus e software di rilevamento e risposta degli endpoint, veniva venduto per $ 3.000 prima che una versione crackata fosse trapelato gratuitamente nei forum sotterranei.
“Ho visto un enorme aumento nell’ultimo anno utilizzando strumenti legali per attaccare le istituzioni finanziarie”, ha detto Lozhkin. “Cobalt Strike è ovunque. Brute Ratel è ovunque.”
Questo illustra il “problema più grande” con questi tipi di strumenti software che emulano gli avversari in un ambiente IT e sono progettati per non essere rilevati, ha aggiunto.
“Quando crei un’arma – e la considero un’arma informatica, uno strumento davvero pericoloso che potrebbe essere utilizzato per infiltrarsi in ogni organizzazione, in ogni azienda – i criminali informatici ottengono immediatamente questo strumento e lo usano contro le organizzazioni”, ha affermato Lozhkin.
Nel frattempo, l’economia del ransomware è in forte espansione
Inoltre, tutti questi strumenti dannosi in vendita contribuiscono anche al boom economico dei broker di accesso iniziale. Questi sono i criminali che vendono o forniscono un percorso verso un’organizzazione dietro compenso o taglio dei profitti. Questo accesso viene quindi utilizzato dagli estorsionisti per sottrarre dati sensibili, crittografare i file utilizzando ransomware e richiedere il pagamento per tacere sull’intrusione e ripulire il disordine.
“Questi ragazzi sono ovunque: hackerano un’organizzazione e vendono l’accesso”, ha detto Lozhkin, aggiungendo che il prezzo per l’accesso iniziale a società ad alto reddito che i criminali ritengono pagheranno richieste di riscatto può arrivare fino a $ 50.000.
“I clienti finali di questi dati sono gruppi di ransomware”, ha osservato. Le bande di ransomware hanno i loro forum e anche loro stanno diventando più bravi nel settore, utilizzando moderni linguaggi di programmazione per scrivere codice, crittografia non standard per bloccare i file delle organizzazioni e persino modelli di operazioni aziendali professionali.
Anche gli sviluppatori di ransomware stanno diventando più professionali e le recenti flessioni del mercato e i grandi licenziamenti tecnologici non stanno aiutando, secondo Lozhkin. “Molte persone stanno arrivando al lato oscuro perché il lato oscuro sta assumendo.”
In qualche modo, anche se rimango ottimista. “L’ora più buia è appena prima dell’alba. C’è una luce. C’è sempre una luce”, ha detto Lozhkin.
Dopo settimane di attacchi ransomware contro scuole e ospedali e acrobazie pubblicitarie rivolte agli aeroporti statunitensi, è difficile condividere questo ottimismo. Ma qui speriamo che abbia ragione. ®