Insights della ricerca sulle minacce del quarto trimestre 2021 e risultati recenti di Trellix Threat Labs
Il quarto trimestre del 2021 ha visto il declino di una pandemia durata due anni, durante i quali i criminali informatici hanno sfruttato le opportunità create dal telelavoro e l'emergere di Log4Shell, la brutta sorpresa di fine anno. Nel primo trimestre del 2022, l'attenzione si è rivolta alle campagne che sfruttano le minacce informatiche contro le infrastrutture ucraine nel contesto del conflitto eurasiatico. L'ultimo report di Trellix Threat Labs include le nostre osservazioni per il quarto trimestre del 2021, l'identificazione di una campagna di spionaggio informatico in più fasi mirata a funzionari governativi di alto livello, nonché la nostra recente analisi degli attacchi informatici lanciati contro l'Ucraina e il più recente HermeticWiper durante il primo trimestre del 2022 .
Lettera del nostro capo analista
Benvenuti nel nostro nuovo report sul panorama delle minacce.
Mentre usciamo lentamente dalla pandemia, le incertezze sui recenti conflitti in Eurasia dominano la nostra vita quotidiana e le nostre conversazioni. Innanzitutto, Trellix è un sostenitore della pace. Indipendentemente dalle parti coinvolte in qualsiasi controversia, la nostra missione è proteggere i nostri clienti e rispettare il diritto internazionale.
ContinuaAttacchi informatici contro l'Ucraina
Il team di Trellix Threat Labs ha studiato l'attività dei wiper in Ucraina e la loro analisi suggerisce che esiste probabilmente una relazione tra Whispergate e il nuovo HermeticWiper.
ContinuaRansomware
Durante l'ultimo trimestre del 2021, il panorama dei ransomware si è evoluto. Invece degli attacchi su larga scala descritti nel report precedente, i gruppi di ransomware hanno dovuto trovare una nuova base sotterranea e le forze dell'ordine hanno iniziato a smantellare diversi gruppi noti.
ContinuaBenvenuti nel nostro nuovo report sul panorama delle minacce.
Alla luce di questi primi mesi, il minimo che possiamo dire è che l'anno è iniziato alla grande. Mentre usciamo lentamente dalla pandemia, le incertezze sui recenti conflitti in Eurasia dominano la nostra vita quotidiana e le nostre conversazioni.
Innanzitutto, Trellix è un sostenitore della pace. Indipendentemente dalle parti coinvolte in qualsiasi controversia, la nostra missione è proteggere i nostri clienti e rispettare il diritto internazionale. Al momento della preparazione di questo report, stiamo continuando la nostra ricerca e mantenendo la nostra vigilanza. Ad esempio, il gruppo Lapsus$ ha attaccato grandi multinazionali, inizialmente prendendo di mira in particolare le vittime sudamericane e divulgando dati sensibili, inclusi codice sorgente e certificati.
Abbiamo osservato diversi casi di sfruttamento di questi certificati. Questi ultimi vengono, ad esempio, utilizzati per firmare file binari dannosi con l'intento di aggirare i meccanismi di protezione dei sistemi operativi e dei prodotti di sicurezza. Ulteriori informazioni su questo gruppo, le loro ultime violazioni e possibili contromisure sono disponibili qui.
L'attuale report, il secondo dal lancio della nostra nuova società, esamina anche gli eventi (cyber) che hanno fatto notizia. Dagli attacchi all'infrastruttura ucraina al malware HermeticWiper, progettato per distruggere il settore di avvio di qualsiasi macchina infetta, la sicurezza informatica è al centro delle preoccupazioni di tutti all'inizio dell'anno. Questo report ripercorre anche il quarto trimestre del 2021, segnato dalla vulnerabilità di Log4shell e dal suo impatto su centinaia di milioni di dispositivi, e molti si chiedono cosa ci riserverà l'anno in corso.
Il team di Trellix Threat Labs è da anni in prima linea nella ricerca sui ransomware. A seguito della nostra collaborazione con il settore pubblico, siamo lieti di annunciare l'arresto di diversi membri di un gruppo specializzato di ransomware e lo smantellamento delle sue attività nel dicembre 2021. I recenti post del gruppo ransomware Conti e del gruppo dietro il malware Trickbot hanno rivelato quanto siano professionali questi criminali informatici nel condurre le loro campagne. Ciò dimostra quanto abbiamo bisogno di una risposta unificata del settore pubblico e privato per contrastare questi attacchi.
Inoltre, consulta il nostro articolo del blog di Trellix Threat Labs che offre informazioni aggiornate sulle minacce, video e link al bollettino sulla sicurezza.
Questo report evidenzia anche altre minacce e attacchi prevalenti osservati.
—Christiaan Beek
Capo analista
Il team di Trellix Threat Labs ha studiato l'attività dei wiper in Ucraina e la loro analisi suggerisce che esiste probabilmente una relazione tra Whispergate e il nuovo HermeticWiper.
Leggi di più sulle nostre analisi e informazioni raccolte sulle attività di queste minacce in Ucraina.
Le organizzazioni dovrebbero cercare di rivedere le tattiche, le tecniche e le procedure di accesso iniziale (TTP) associate all'attività della Russia per proteggere in modo proattivo il loro ambiente dalle infiltrazioni.
Anche altri gruppi e campagne dannosi prendono di mira l'Ucraina:
ACTINIUM APT
Agent Tesla
CaddyWiper
CERT-AU 4109
Attacchi DDoS
Gamaredon APT
GlowSpark
IsaacWiper
NOBELIUM APT
OutSteel
RURansom Wiper
SaintBot
Shuckworm APT
UAC-0056
ACTINIUM APT
Agent Tesla
CaddyWiper
CERT-AU 4109
Attacchi DDoS
Gamaredon APT
GlowSpark
IsaacWiper
NOBEpUM APT
OutSteel
RURansom Wiper
SaintBot
Shuckworm APT
UAC-0056
Visita il Centro minacce di Trellix per scoprire e prevenire le minacce emergenti, tra cui HermeticWiper.
A marzo, Trellix ha scoperto la prima fase di una campagna dannosa che ha preso di mira gli hotel di lusso di Macao, in Cina, a partire dalla seconda metà di novembre 2021. L'attacco è iniziato con un'email di spearphishing a vari membri del team di gestione dell'hotel, ad esempio il responsabile delle risorse umane, il vice direttore e il responsabile della reception. In base alle posizioni mirate, si può dedurre che le persone interessate hanno un accesso sufficiente alla rete dell'hotel, compresi i sistemi di prenotazione. L'attacco procede come segue:
Leggi l’articolo del blog per ulteriori informazioni sul gruppo APT DarkHotel, sull'attribuzione della minaccia, sulla campagna e sull'analisi tecnica dell'attacco.
A gennaio, il nostro team ha annunciato di aver individuato una campagna di spionaggio informatico in più fasi che ha preso di mira alti funzionari responsabili della politica di sicurezza nazionale e operatori dell'industria della difesa in Asia occidentale. Trellix si è preoccupata di informare preventivamente le vittime e ha fornito loro tutte le informazioni necessarie per eliminare tutti i componenti dannosi noti dai loro ambienti.
L'analisi del flusso complessivo dell'attacco ha rivelato che l'attacco è iniziato con l'esecuzione di un file Excel contenente un exploit per la vulnerabilità dell'esecuzione di codice in modalità remota in MSHTML (CVE-2021-40444). Viene impiegato per eseguire un file DLL dannoso utilizzato come downloader per il malware di attacco della terza fase, che chiamiamo Graphite. Graphite è un esempio di malware scoperto di recente. Basato su uno stager di OneDrive Empire, utilizza gli account OneDrive come server di comando e controllo (C&C) tramite l'API Microsoft Graph.
Le fasi finali di questo attacco multi-fase (associato a nostro avviso con un'operazione APT) includono l'esecuzione di diversi stager Empire. La loro missione è scaricare un agente Empire sui computer delle vittime e fare in modo che il server C&C prenda il controllo remoto dei sistemi.
Il diagramma seguente mostra l'andamento generale di questo attacco.
Leggi l’articolo del blog per un'analisi più approfondita, comprese le diverse fasi, l'infrastruttura e l'attribuzione.
I sistemi di back-end Trellix forniscono i dati di telemetria che utilizziamo per preparare i nostri report trimestrali sul panorama delle minacce. Combiniamo i nostri dati di telemetria con quelli di varie fonti di dati pubbliche, nonché le nostre indagini sulle minacce prevalenti come ransomware, campagne di gruppi statali, ecc.
Per telemetria intendiamo i dati relativi ai rilevamenti, non alle infezioni. Si tratta di rilevamenti di file, URL, indirizzi IP o altri indicatori da parte di uno dei nostri prodotti che ci vengono poi segnalati.
La riservatezza delle informazioni dei nostri clienti è essenziale. È anche importante quando si tratta di dati di telemetria e mappatura dei settori e dei paesi dei nostri clienti. Poiché la nostra base di clienti varia in base al paese, le cifre possono indicare aumenti che possono essere spiegati da altri fattori, che richiedono un'ulteriore analisi. Il settore delle telecomunicazioni, ad esempio, mostra ancora punteggi elevati. Ciò non significa necessariamente che questo settore sia altamente mirato. Il settore delle telecomunicazioni include anche ISP che possiedono uno spazio di indirizzi IP che viene venduto alle aziende. Cosa significa? Gli invii provenienti dallo spazio degli indirizzi IP dell'ISP sono attribuiti al settore delle telecomunicazioni, ma in realtà possono provenire dai suoi clienti, che operano in un altro settore.
Durante l'ultimo trimestre 2021, il panorama dei ransomware si è evoluto. Invece degli attacchi descritti nel nostro report precedente, i gruppi di ransomware hanno dovuto trovare una nuova base sotterranea e le forze dell'ordine hanno iniziato a smantellare diversi gruppi noti. Uno di questi, REvil/Sodinokibi, era ancora tra le migliori famiglie di ransomware nel terzo trimestre. Ma REvil alla fine è scomparso dopo una rimozione coordinata delle sue infrastrutture, dissensi interni e l'arresto di diversi membri. Trellix è orgogliosa di aver partecipato alle indagini di REvil eseguendo l'analisi del malware, individuando l'infrastruttura principale e identificando diversi sospetti.
Lockbit, Cuba e Conti ransomware hanno occupato i primi tre posti nel quarto trimestre del 2021. Riteniamo che i restanti membri del gruppo REvil abbiano trovato un nuovo rifugio con queste famiglie di ransomware.
Nel momento in cui abbiamo appena finito di preparare questo report, il panorama è cambiato di nuovo. Conti, che è diventata una delle più grandi famiglie di ransomware, ha visto migliaia di conversazioni interne pubblicate su Internet, mettendo a nudo il loro funzionamento interno. Abbiamo soprannominato queste fughe di notizie "Panama Papers of Ransomware" e le tratteremo in modo più dettagliato nel nostro prossimo report trimestrale.
Per aiutare le aziende a comprendere e proteggersi meglio dagli attacchi ransomware nel panorama delle minacce odierno, il nostro team Threat Labs presenta le proprie osservazioni e i risultati delle ricerche sulla prevalenza di un'ampia gamma di ransomware, comprese le famiglie, le tecniche, i paesi, i settori e i vettori interessati dal quarto trimestre del 2021.
289%
Aumento della categoria Media e Comunicazioni tra il terzo e il quarto trimestre 2021.
61
I rilevamenti di ransomware tra i clienti con sede negli Stati Uniti sono diminuiti tra il terzo e il quarto trimestre 2021.
Tecniche di ransomware MITRE ATT&CK più comunemente riportate
1.
Crittografia dei dati per l’impatto
2.
Rilevamento di file e directory
3.
Offuscamento di file o informazioni
4.
Rilevamento del processo
5.
Iniezione del processo
Rilevamenti per famiglia di ransomware
Lockbit
Cuba
Conti
Ryuk
BlackMatter
Q3
4%
8%
6.7%
7%
N/D
Q4
23%
19%
17%
11%
7%
Q3
Q4
Lockbit
4%
23%
Cuba
8%
19%
Conti
6,7%
17%
Ryuk
7%
11%
BlackMatter
N/D
7%
Il team tiene traccia e monitora le campagne avviate dallo Stato, nonché gli indicatori e le tecniche associate. La nostra ricerca si concentra sui criminali informatici, sui loro strumenti, sui paesi e sui settori dei clienti presi di mira e sulle tecniche MITRE ATT&CK dal quarto trimestre 2021. Tutti i dati relativi a questi eventi, inclusi gli indicatori, le regole YARA e la logica di rilevamento sono disponibili in Insights.
Tecniche MITRE ATT&CK più comunemente riportate utilizzate dagli Stati
1.
PowerShell
2.
Attività pianificata
3.
Offuscamento di file o informazioni
4.
Windows
5.
Protocolli web
95
Cobalt Strike è lo strumento più utilizzato dai gruppi sponsorizzati dallo Stato nel quarto trimestre 2021.
30
L'APT 29 è stato il primo gruppo al soldo dello Stato nel quarto trimestre 2021, con un aumento del 35% rispetto al trimestre precedente.
26
Le attività degli Stati nazionali in Turchia hanno rappresentato quasi il 26% del numero totale di rilevamenti nel quarto trimestre 2021.
Il nostro team ha monitorato diverse categorie di minacce nel quarto trimestre 2021. I risultati della ricerca mostrano le percentuali di rilevamento per il tipo di famiglie di malware prevalenti osservate, i paesi e i settori di clienti presi di mira e le tecniche MITRE ATT&CK utilizzate.
75
RedLine Stealer (20%), Raccoon Stealer (17%), Remcos RAT (12%), LokiBot (12%) e Formbook (12%) rappresentano quasi il 75% degli strumenti della famiglia di malware osservati nel quarto trimestre 2021.
62
I clienti dei trasporti sono stati i più bersagliati (62%) nel quarto trimestre 2021, più degli altri 10 settori principali messi insieme.
80
Aumento delle osservazioni sui clienti statunitensi tra il terzo e il quarto trimestre 2021.
Tecniche MITRE ATT&CK più comunemente riportate
1.
Offuscamento di file o informazioni
2.
Accesso da browser web
3.
Rilevamento di file e directory
4.
Chiavi di esecuzione nel registro / Cartella di avvio
5.
Rilevamento delle informazioni di sistema
Rilevamenti per famiglia di ransomware
RedLine Stealer
Raccoon Stealer
Remcos RAT
LokiBot
Formbook
Q3
1,2%
N/D
24%
19%
36%
Q4
20%
17%
12%
12%
12%
Q3
Q4
RedLine Stealer
1,2%
20%
Raccoon Stealer
N/D
17%
Remcos RAT
6,7%
12%
LokiBot
19%
12%
Formbook
36%
12%
Nel quarto trimestre 2021 sono stati osservati aumenti significativi del numero di incidenti segnalati per paese e continente:
150
La Germania ha registrato l'aumento più elevato (150%) del numero di incidenti segnalati nel quarto trimestre 2021.
38
Gli Stati Uniti hanno registrato il maggior numero di incidenti segnalati nel quarto trimestre 2021, rappresentando il 38% del numero totale di incidenti segnalati.
I criminali informatici continuano a sviluppare strumenti personalizzati, ma spesso si rivolgono a tecniche di sfruttamento delle risorse locali (Living off the Land) per dirottare binari legittimi e utilità di amministrazione dall'uso previsto e utilizzarli per distribuire i carichi utili dannosi su un sistema bersaglio. Sulla base degli eventi del quarto trimestre 2021, Trellix ha identificato un leggero cambiamento nelle tendenze negli strumenti utilizzati dai criminali informatici che tentano di eludere il rilevamento.
Le tattiche, le tecniche e le procedure si evolvono man mano che le difese si rafforzano e la comunità della sicurezza condivide gli indicatori di compromissione tra i suoi membri. Il report del terzo trimestre ha richiamato l'attenzione su alcuni file binari di Windows presenti in un sistema di produzione o utilizzati dal personale amministrativo per svolgere attività quotidiane. Ha inoltre raccomandato di implementare il software necessario sulle macchine, monitorare le anomalie e mantenere l'efficienza dei sistemi. I criminali informatici stanno abusando dell'intento originario di questi strumenti per scopi dannosi. Tra il terzo e il quarto trimestre abbiamo notato una leggera differenza nelle utility sfruttate dai criminali informatici. Una cosa che rimane la stessa, tuttavia, è che i criminali informatici cercano ancora di eludere il rilevamento e utilizzano gli strumenti già presenti in un sistema per distribuire i carichi utili, inclusi ransomware, beacon, esfiltrazione di informazioni e strumenti di ricognizione.
Per identificare questi file binari o software di amministrazione durante la fase di ricognizione, i criminali informatici possono raccogliere informazioni sulle tecnologie utilizzate da annunci di lavoro o testimonianze di clienti pubblicate dai fornitori, o tramite un complice interno.
Windows Command Shell (CMD) (53.44%)
T1059.003
Windows Command Shell è l'interfaccia principale della riga di comando di Windows e viene spesso utilizzata per eseguire file e comandi in un altro flusso di dati.
PowerShell (43.92%)
T1059.001
PowerShell viene spesso utilizzato per eseguire script e comandi di PowerShell
WMI/WMIC (33.86%)
T1218 T1564.004
WMIC è un'interfaccia a riga di comando per il servizio WMI che può essere utilizzata dai criminali informatici per eseguire comandi o carichi utili virtuali in locale, in altri flussi di dati o su un sistema remoto.
Rundll32 (24.34%)
T1218.011 T1564.004
Rundll32 può essere utilizzato per eseguire DLL locali, DLL da una condivisione, DLL ottenute da Internet e altri flussi di dati.
Regsvr32 (14.29%)
T1218.010
Regsvr32 può essere utilizzato dai criminali informatici per registrare file DLL, eseguire codice dannoso e bypassare le whitelist delle applicazioni.
Schtasks (12.70%)
T1053.005
Un criminale informatico può pianificare attività per garantire la persistenza, eseguire altro malware o attività automatizzate.
MSHTA (10.05%)
T1218.005
MSHTA può essere utilizzato dai criminali informatici per eseguire file JavaScript, JScript e VBScript che possono essere nascosti nei file HTA del sistema locale e in altri flussi di dati o recuperati da un sito remoto.
Excel (8.99%)
T1105
Anche senza un'installazione nativa, molti sistemi dispongono di un'applicazione per fogli di calcolo. I criminali informatici possono quindi inviare agli utenti allegati che contengono codice dannoso o script che, una volta eseguiti, possono recuperare i carichi utili da un sito remoto.
Net.exe (7.94%)
T1087 e sotto tecniche
L'utilità della riga di comando di Windows consente ai criminali informatici di eseguire operazioni di ricognizione, come l'identificazione di utenti, reti e servizi sul computer di una vittima.
Certutil (4.23%)
T1105, 1564.004 T1027
L'utilità dei comandi di Windows viene utilizzata per ottenere informazioni sulle autorità di certificazione e configurare i servizi di certificazione. Inoltre, i criminali informatici possono utilizzare certutil per ottenere strumenti e contenuti remoti, codificare e decodificare file e accedere ad altri flussi di dati.
Reg.exe (3.70%)
1003.002 1564.004
Reg.exe consente ai criminali informatici di aggiungere, modificare, eliminare ed esportare valori di registro che possono essere salvati in altri flussi di dati. Inoltre, reg.exe può essere utilizzato per esfiltrare gli identificatori da un file SAM.
Servizi remoti (35,98%)
T1021.001 T1021.004 T1021.005
AnyDesk, ConnectWise Control, RDP, UltraVNC, PuTTY
I criminali informatici di WinSCP possono sfruttare servizi remoti, sia nativi di Windows che software di terze parti, con account validi per accedere in remoto a un computer o a un'infrastruttura, introdurre strumenti e malware o persino esfiltrare dati.
Utilità di archiviazione (6,35%)
T1560.001
7-Zip, WinRAR
I criminali informatici di WinZip possono sfruttare le utilità di archiviazione per comprimere i dati raccolti per l'esfiltrazione, nonché per decomprimere file ed eseguibili.
BITSAdmin (3.70%)
T1105 T1218 T1564.004
BITSAdmin viene in genere utilizzato per la persistenza, la pulizia degli artefatti e la chiamata di azioni aggiuntive quando viene soddisfatto un determinato criterio.
ADFind (2.65%)
T1016, T1018 T1069 e sotto tecniche, T1087 e sotto tecniche T1482
Questa utilità della riga di comando può essere utilizzata dai criminali informatici per rilevare informazioni da Active Directory, come i trust di dominio, i gruppi di autorizzazioni, i sistemi remoti e le configurazioni di rete.
PsExec (2.12%)
T1569.002
PsExec è uno strumento utilizzato per eseguire comandi e programmi su un sistema remoto.
fodhelper.exe (0.05%)
T1548.002
Fodhelper.exe è un'utilità di Windows che può essere sfruttata dai criminali informatici per eseguire file dannosi con privilegi elevati sul computer di una vittima.
Alfred Alvarado
Douglas McKee
Christiaan Beek
Tim Polzer
Marc Elias
Steve Povolny
John Fokker
Thibault Seret
Tim Hux
Leandro Velasco
Max Kersten
Alfred Alvarado
Christiaan Beek
Marc Elias
John Fokker
Tim Hux
Max Kersten
Douglas McKee
Tim Polzer
Steve Povolny
Thibault Seret
Leandro Velasco
Per stare al passo con l'evoluzione delle minacce e della ricerca, dai un'occhiata alle seguenti risorse del nostro team:
Centro minacce — Le attuali minacce ad alto impatto identificate dal nostro team.