Conti: un esempio di Malware as a Service

Conti - un esempio di MaaS

In un articolo precedente, che potete consultare qui, abbiamo distinto le categorie principali di malware. Oggi vorremmo parlarvi di una fattispecie piuttosto particolare dei Malware as a Service: il malware “Conti”.

Per parlare correttamente della questione è necessario sottolineare qualcosa di ovvio eppure a volte sottovalutato. Ci vogliono abilità particolari per riuscire a scrivere un malware così potente e che riesca a bypassare le misure di sicurezza e le analisi comportamentali. Per questo motivo spesso il malware viene “acquistato” o per meglio dire “noleggiato”. Si parla dunque di Malware as a Service. 

Kaspersky ne da la seguente definizione:

 

The lease of software and hardware for carrying out cyber attacks. Owners of MaaS servers provide paid access to a botnet that distributes malware. Typically, clients of such services are offered a personal account through which to control the attack, as well as technical support.

In data 22/09/2021 la Cyber & Infrastructure Security Agency (CISA), ha emanato un alert d’urgenza concernente il malware Conti (AA21-265A). Ciò che ha determinato l’agenzia ad esprimersi è stato un notevole incremento, nell’ultimo periodo, del novero degli attacchi (circa 400) con successiva installazione del malware.

Sebbene presenti varie similitudini con altri malware notevolmente conosciuti come Sodinokibi e Ryuk, ci sono alcune caratteristiche peculiari. Infatti, citando l’articolo di CyberSecurity360:

compromette e cripta, tramite riga di comando, il disco rigido locale, le condivisioni di rete SMB ed anche indirizzi IP specifici (similitudine con Sodinokibi). Ciò indicherebbe, sempre secondo i ricercatori, che il ransomware sia stato principalmente implementato per una esecuzione e controllo manuale da parte di un attaccante remoto, includendo tuttavia la possibilità di essere eseguito anche senza alcuna interazione (in modo autonomo)

 

Tuttavia la CISA ha notato che tale Malware as a Service sembra aver utilizzato un modello di business differenziato rispetto al classico modello. Infatti, invece d’offrire una percentuale sul riscatto derivante da un eventuale successo, sembra offrire un pagamento standard agli “installatori”. 

Proprio tale caratteristica, insieme al fatto d’essere tendenzialmente attivato manualmente, lo rende innovativamente minaccioso. Gli attori, infatti, si prendono tutto il tempo necessario all’installazione. A tal riguardo, vi consigliamo l’articolo di Tiziana Carboni, Marketing Manager di Sophos Italia, pubblicato sul dominio di Sophos relativo alle news che potete trovare qui

La propagazione della minaccia, come identificato dalla CISA, tende ad avvenire per i classici canali:

 

  • Spearphishing campaigns using tailored emails that contain malicious attachments [T1566.001] or malicious links [T1566.002];
    • Malicious Word attachments often contain embedded scripts that can be used to download or drop other malware—such as TrickBot and IcedID, and/or Cobalt Strike—to assist with lateral movement and later stages of the attack life cycle with the eventual goal of deploying Conti ransomware. [1],[2],[3]
  • Stolen or weak Remote Desktop Protocol (RDP) credentials [T1078].[4]
  • Phone calls;
  • Fake software promoted via search engine optimization;
  • Other malware distribution networks (e.g., ZLoader); and
  • Common vulnerabilities in external assets-
  • Quindi, come agire per ridurre il rischio di una possibile compromissione?

    1. Formazione degli utenti. Come sempre è un punto fondamentalmente critico dell’intero perimetro di sicurezza: è necessario formare gli utenti al fine di ridurre le possibilità di compromissione da allegati, phishing links, etc.;
    2. Effettuare analisi preventive di sicurezza al fine dell’identificazione delle vulnerabilità presenti in un’infrastruttura – sia dall’esterno che dall’interno.
    Affronta i problemi prima che si presentino:
    guarda come potremmo aiutarti!