Introduzione alla Sicurezza Informatica: Malware, Ransomware ed Errori Umani

Malware

lunedì 30 settembre 2024 13:04

• Malware Malware: terminologia
• virus
  • provoca danni e si replica
  • propagato dagli umani (involontariamente)
• worm
  • provoca danni perché si replica (satura risorse)
  • propagazione automatica
• trojan (horse) = vettore di malware
• backdoor = punto di accesso non autorizzato
• rootkit
  • strumenti per accesso privilegiato, nascosti ed invisibili
  • modifica di un programma, libreria, driver, modulo kernel, hypervisor, ...

Include tutta la famiglia di programmi che vengono usati come vettori di attacco o per facilitare ulteriori attacchi. Il primo malware era un virus. Un pezzo di codice che si univa agli eseguibili, tutte le volte che viene fatto partire quel programma viene eseguito anche il pezzo malevolo che ha l'obiettivo di cercare altri binari vulnerabili e fare dei danni. Il virus è un tipo di malware che fa danni in maniera attiva: cancella, formatta, etc ... C'è poi il worm, che è un pezzo di codice che si replica in modo da eliminare tutte le risorse disponibili. Un'altra categoria di malware è il trojan, che deriva dal cavallo di troia. Questo sembrava innocuo, l'hanno fatto entrare in città, a quel punto sono usciti i greci che hanno distrutto ogni cosa. Quindi è apparentemente innocuo, per poi far danni al sistema. È comodo avere un trojan installato perché se mi serve una macchina per analizzare la rete, mando al trojan l'istruzione per farlo. Un altro termine sono le backdoor, ovvero porta sul retro. l'idea è basata sul fatto che molti programmatori pensano di essere più furbi degli attaccanti. L'asciano una porta aperta che non è quella principale: chi vuoi che si accorga di questa? La backdoor viene usata sia dagli attaccanti che così poi possono usare nei nostri sistemi come punto di approdo. Vengono anche usate dai produttori di software, poiché così questi possono aggiornare le macchine senza che l'utente se ne accorga, così da non fare brutte figure. Il problema è che è molto facile accorgersi di una porta aperta. Un altro strumento è il rootkit, un insieme di strumenti che servono a guadagnare privilegi nel sistema in cui sono arrivato. Per esempio privilegi di root: entro come utente normale, ma così non posso fare molti danni, per cui ottengo il root.

MATE/MITB

Uno dei metodi di attacco è il man in the middle. Questo genere di attacchi si risolve con la crittografia. Però si sono inventati altre tipologie di scenari:

MATE / MITB

• canali di rete sempre più protetti ...
• ... ma i terminali utente lo sono sempre meno
• Smartphone, smart-TV, ...
• loT (Internet-of-Things)
• utenti "ignoranti"
• strumenti classici les keylogger come parte di un videogiocole Sicurezza dei sistemi informativi Pagina 1MATE / MITB
• canali di rete sempre più protetti ...
• ... ma i terminali utente lo sono sempre meno
• Smartphone, smart-TV, ...
• loT (Internet-of-Things)
• utenti "ignoranti"
• strumenti classici (es. keylogger come parte di un videogioco) e moderni (es. browser extension)
• da MITM a ...
• MITB = Man-In-The-Browser
• MATE = Man-At-The-End

MITB riesce ad arrivare fino al browser, dove vengono installati plugin che permettono all'attaccante di arrivare fino all'end point.

Ransomware

Ci concentriamo adesso sul ransomware. Questo è uno strumento che è cresciuto tantissimo. Questo è un tipo di malware che riesce ad entrare all'interno del sistema, sfruttando un errore umano (un click, un aggiornamento non effettuato) ed inizia a cifrare tutti i dati che riesce a toccare e cerca altre macchine con le stesse vulnerabilità. Al primo riavvio, manda la chiave di cifratura a qualche server. Poi chiedono un riscatto. Se si paga dovreste ricevere la chiave per decifrare.

Ransomware

• malware che usa crittografia «forte» per cifrare i dati di un utente
• ... quasi impossibile riottenere i dati senza pagare
• operano su desktop e laptop (disco reso inaccessibile) ...
• ... ma anche tablet e smartphone (resi inutilizzabili)
• attaccanti chiedono un riscatto per decifrare i dati
• dati riottenuti (non sempre) dopo il pagamento
• sempre più usato
• molti pagano (e non lo dicono)
• la minaccia più cresciuta negli ultimi anni! YOUR COMPUTER HAS BEEN LOCKED After scanning your computer, we detected that your IP address was being used to viut Regal websites cercairing child poesaryaphry HIMENT OF JUSTE After scanning your Sles and your IP, we detected the following violations 1) Downloading child port (2) Ogerboading clerserts of Zoophile | Sending spons messages containing terrorist medices (4) Ewing children (S) Promoting violence BUREAU O OF INVES (d) Torturing children (7) Bestality Key #2 Unlock You will have to pay a tre of $159 in Becer Create e wallet of BioctiCheis rto Purchase $150 in Bitcoin Key 83 Since you have paid, email us af onmal com and give us your 12mgkrevAW AckQ 1HIJDahl ByWkausayPych computer. Every ID hes different keys bitcoin Your D: 97443-91076-07736 Ransomwire Attacka by Vores 2021 40 30 206 La gente tende a pagare pur di recuperare i dati. Tuttavia non è detto che si riceva la chiave. Il ransomware può essere gestito. Se cominciamo ad educare la gente e mettere le patch al posto giusto, posso prevenire i ransomware. Una contromisura è tenere un backup serio, senza metterlo online poiché il ransomware trova in rete il disco di backup e lo cifra. Gestire correttamente il backup non è così facile. Prima di tutto, alcuni ransomware, rimangono latenti per giorni/settimane. Il problema è che se faccio il backup ed elimino il ransomware, se poi metto il backup che era già stato infettato, allora poi questo torna. Sicurezza dei sistemi informativi Pagina 2 Fet Key #1 (10) Selling drugs

Ransomware: esempi famosi

• Wannacry
• basato su una vulnerabilità di Windows
• usata per Stuxnet e poi resa pubblica quando hanno capito come funzionava
• ... per cui c'era una patch da diversi mesi o anni ...
• ... ma non tutti l'avevano applicata
• 2021 DarkSide, Revil, Evil Corp, Avaddon, BlackMatter, Hive, ...
• Colonial Pipeline, Brenntag
• Accer, Kia, Quanta, NBA, ...
• 2023 Clop, Zeus, https://www.blackfog.com/the-state-of-ransomware-in-2021/

Wannacry ha fatto stragi in Gran Bretagna nel sistema sanitario. Sfruttava una vulnerabilità usata da altri malware anni prima, ma che nessuno aveva patchato. La tendenza però è di trasformare tutto in una serie di servizi:

Ransomware-as-a-Service (RaaS)

• TOX malware (server su rete anonima TOR)
• chiede il riscatto e gestisce il pagamento (20% service fee)
• il "cliente" deve solo distribuirlo alle sue vittime
• crescita rapida (1000 clienti/settimana, 100 infezioni/ora)
• nel 2023
• LockBit
• REvil
• Dharma
• GrandCrab
• dal 2018 uno dei RaaS più diffusi
• un esempio di Malware-as-a-Service Gandcrab : Ransomware-as-a-Service (RaaS) Model B Percentage of the rirsom Ransomware Developers Victims Affiliates B Rersen https://www.acronis.com/en-eu/articles/gandcrab/ Sicurezza dei sistemi informativi Pagina 3Gandcrab : Ransomware-as-a-Service (RaaS) Model ₿ Percentage of the ransom ₿ Ransomware Developers Victims Affiliates ₿ Ransom

Esiste anche il malware as a service:

Malware as-a-service: Zeus

• anche detto Zbot
• uno dei maggiori malware + botnet
• scoperto (nato?) nel 2007, venduto (?) nel 2010
• può essere usato:
• direttamente (es. MITB per keylogging o form grabbing)
• per caricare altro malware (es. CryptoLocker ransomware)
• molto difficile da scoprire e rimuovere
• usa tecniche stealth
• stima di 3.6 M di copie attive solo negli USA nel 2009

Sviluppo un sistema per entrare nelle macchine delle vittime e poi lo vendo ad altri che decidono cosa farne. In generale, possiamo parlare di crime as a service:

Industria del Cybercrime

• Crime-as-a-Service (CaaS)
• attività criminali ben strutturate
• strumenti sofisticati sviluppati in tanti anni (viruses/worms/ransomware/trojan)
• enormi DB con username+password
• enorme numero di server (compromessi + ad hoc)
• sistemi di logistica: money mule, impiegati corrotti, uffici, call center, ...
• ... well, it's just business!
• abbassa la soglia per rendere cybercrime vantaggioso
• non servono più competenze di nicchia o un'intera linea di produzione
• ... guadagni anche meno alti ma numerosi (PMI/SME)
• anche i costi sono ragionevoli
• ransomware = 100€ / targeted data >=1k€ 23/09/2024 - Intro2Security - (O)BasileC. (2024) Hecking storti Hacking emall
• $40 Hacking wetraits 5 $150 Targeted aflock $4,500 DARK MARKET $50 Infecting with TABLDET Nare Trojan 1,000 nodesl from ATM $750
• $1,500 Managing thaden Infecting with Trojan Sow (1,000 nodes) Stealing payment data 35 year $300 $270 10 m.

Cybercrime: cosa si può comprare?

• phishing
• server email, indirizzi email, dati relative a vittime
• exploit e zero days
• vulnerabilità, talvolta non note
• malware
• virus, worm, ransomware, Command & Control sites ZERO DAY
• call center
• qualcuno che risponda al telefono
• 2-factor authentication usato negli USA
• DDOS
• sovraccarico di siti web, competitor, compagni di gioco
• e.g., abbonamenti per lanciare qualche DDOS di qualche minuto al giorno contro amici/avversari
• money mule
• es. prelevano da ATM

Errori umani

Quali sono le altre categoria di minacce da cui difendersi? Gli errori umani, che non riusciamo a diminuire:

Errori umani

• gli esseri umani sono ritenuti l'elemento più debole nella catena della cybersecurity
• errori di configurazione
• invii errati
• errori di pubblicazione 60% Misconfiguration 40% Misdelivery 20% Publishing error 0% 2017 2019 2021 2023 Figure 41 Action varieties over time in Miscellaneous Errore hreaches

Vediamo qualche esempio di errori umani:

Il caso Wind-Infostrada (Error)

Bonny F. un'ora fa Hi guys .. Sorry for not speaking Italian. The Wind modems had telnetd running on port 8023 and a default password admin/admin which gave anyone root access to them. Unfortunately the modems got bricked by malware known as 'BrickerBot' which wrote random data over the partitions. When Wind eventually asks customers to return the devices for a replacement you'll want to be first in line ..

• ottobre 2017
• modem non funzionanti -> tutti da sostituire
• è stato fatto a fin di bene per aggiornarlo al posto degli utenti?
• simile (ma peggiore) il caso di Deutsche Telekom nel 2016

Il caso Wind-Infostrada: lezioni da imparare

• usare password forti e obbligare a cambiare quelle di default
• permettere gli accessi come amministratore solo da specifiche reti «fidate»
• concedere solo i privilegi strettamente necessari
• applicare tempestivamente le patch di sicurezza per limitare al massimo la esposizione agli attacchi
• gestire bene procedure di update management
• analizzare i componenti che si acquistano e si «piazzano» ai propri clienti

Un altro problema nella cybersecurity è che gli attaccanti non vogliono perdere tempo per entrare in un posto. Preferiscono rubare il pc che contiene i dati necessari per fare una determinata cosa: Sicurezza dei sistemi informativi Pagina 6