SambaSpy, un nuovo trojan che prende di mira gli utenti italiani

Il Global Research and Analysis Team (GReAT) di Kaspersky ha scoperto una sofisticata campagna di distribuzione malware rivolta esclusivamente agli utenti italiani

Il Global Research and Analysis Team (GReAT) di Kaspersky ha scoperto una sofisticata campagna di distribuzione malware rivolta esclusivamente agli utenti italiani. La campagna prevede la distribuzione di un nuovo Remote Access Trojan (RAT), chiamato dai ricercatori SambaSpy, con funzionalità quali il file system management, il controllo della webcam, il furto di password e la gestione del desktop da remoto.

A differenza della maggior parte degli attacchi malware che mirano a più Paesi e utilizzano diverse lingue, la campagna SambaSpy si distingue per la precisione dei suoi obiettivi. Il malware è stato progettato per colpire solo gli utenti i cui sistemi sono impostati in italiano, garantendo la massima probabilità di successo in questa regione. Secondo la telemetria di Kaspersky, questa campagna è iniziata nel maggio 2024 e non mostra segni di rallentamento.

Kaspersky ha identificato due catene di infezione leggermente diverse utilizzate nella campagna. Un metodo di infezione particolarmente elaborato inizia con un’email di phishing, che sembra provenire da una società immobiliare italiana legittima. L’email invita gli utenti a visualizzare una fattura cliccando su un link, che reindirizza gli utenti a un servizio cloud italiano legittimo utilizzato per la gestione delle fatture.

Tuttavia, alcuni utenti vengono invece reindirizzati a un server Web dannoso, in cui il malware convalida le impostazioni del browser e della lingua. Se l’utente utilizza Edge, Firefox o Chrome in lingua italiana, viene indirizzato a un URL OneDrive contenente un PDF dannoso. In questo modo viene avviato il download di un dropper o di un downloader, entrambi in grado di scaricare il RAT SambaSpy.

SambaSpy è un RAT completo scritto in Java e nascosto utilizzando Zelix KlassMaster. Questo malware avanzato può eseguire una serie di attività dannose, tra cui:

· Gestione del file system e dei processi

· Registrazione dei tasti e manipolazione della clipboard

· Gestione del desktop da remoto

· Furto di password dai principali browser come Chrome, Edge e Opera

· Caricamento e download di file

· Possibilità di caricare plugin aggiuntivi in fase di esecuzione

Il meccanismo di caricamento dei plugin di SambaSpy e l’uso di library come JNativeHook dimostrano il livello di sofisticatezza impiegato dagli aggressori.

Sebbene l’obiettivo principale siano gli utenti italiani, i ricercatori di Kaspersky hanno individuati forti collegamenti con il Brasile. I commenti e i messaggi di errore all’interno del codice maligno sono scritti in portoghese brasiliano, suggerendo che l’attore della minaccia dietro gli attacchi potrebbe essere brasiliano. Inoltre, l’infrastruttura utilizzata nella campagna è stata collegata ad altri attacchi in Brasile e Spagna, anche se gli strumenti di infezione in queste regioni differiscono leggermente da quelli utilizzati in Italia.

19 Settembre 2024

Hanno cifrato i vostri dati: e adesso?

 

 
 
Tratto da: Blog Kaspersky
Autore: Chris Connell – 18/02/2021
 
 
Ecco come ridurre al minimo le conseguenze di un attacco ransomware aziendale
 
 

 

A volte, nonostante tutte le precauzioni, un’infezione riesce a insinuarsi nella vostra rete. In questo caso, bisogna avere sangue freddo per portare a termine operazioni rapide e decisive. La vostra risposta contribuirà a determinare se l’incidente diventerà un enorme grattacapo per l’azienda o sarà il suo fiore all’occhiello grazie a un’eccellente gestione della crisi.

Durante il processo di ripristino della situazione normale, non dimenticate di conservare testimonianze di tutte le vostre azioni, che assicurino la trasparenza agli occhi dei dipendenti e del mondo intero. E cercate di preservare ogni traccia possibile del ransomware per i successivi sforzi di localizzare qualsiasi altro strumento dannoso che prende di mira il vostro sistema. Questo significa salvare i log e altre tracce del malware che possono tornare utili durante le indagini successive.

Step 1: individuare e isolare

Il primo passo è quello di determinare la portata dell’intrusione. Il malware si è diffuso in tutta la rete? In più di un ufficio?

Cominciate a cercare i computer e i segmenti di rete infetti nell’infrastruttura aziendale e isolateli immediatamente dal resto della rete, per contenere la contaminazione.

Se l’azienda non ha molti computer, iniziate con un antivirus, una soluzione EDR e dei file log firewall. In alternativa, per implementazioni molto limitate, passate fisicamente da un dispositivo all’altro e controllate.

Se stiamo parlando di molti computer, vorrete analizzare gli eventi e i log nel sistema SIEM. Questo non eliminerà tutto il lavoro successivo di passaggio da un dispositivo all’altro, ma è un buon inizio per delineare il quadro generale.

Dopo aver isolato i dispositivi infetti dalla rete, create delle immagini disco e, se possibile, non toccate questi dispositivi fino alla fine dell’indagine (se l’azienda non può permettersi il tempo di inattività dei computer, create comunque le immagini, e salvate il dump della memoria per l’indagine).

Step 2: analizzare e agire

Avendo controllato il perimetro, ora disponete di una lista dei dispositivi i cui dischi sono pieni di file cifrati, più le immagini di quei dischi. Tutti i sistemi sono stati scollegati dalla rete e non rappresentano più una minaccia. Si potrebbe iniziare subito il processo di recupero, ma prima occupatevi della messa in sicurezza del resto della rete.

Ora è il momento di analizzare il ransomware, capire come è entrato e quali categorie lo usano di solito; va iniziato, quindi, il processo di caccia alle minacce. Il ransomware non compare dal nulla: un dropper, un RAT, un Trojan loader o qualcosa di simile lo ha installato. È necessario sradicare quel qualcosa.

Per farlo, conducete un’indagine interna. Scavate nei log per determinare quale computer è stato colpito per primo e perché quel computer non è riuscito a fermare l’assalto.

Sulla base dei risultati dell’indagine, liberate la rete dal malware avanzato e, se possibile, riavviate le operazioni aziendali. Successivamente, cercate di capite cosa avrebbe potuto fermarlo: cosa mancava in termini di software di sicurezza? Colmate le lacune riscontrate.

Step 3: fare pulizia e ripristinare

A questo punto, avrete già gestito la minaccia alla rete, così come la relativa falla da cui è passata. Ora, rivolgete la vostra attenzione ai computer che sono fuori servizio. Se non sono più necessari per l’indagine, formattate le unità e poi ripristinate i dati con il backup pulito più recente.

Se non disponete di una copia di backup adeguata, allora dovrete cercare di decifrare ciò che si trova sulle unità. Iniziate dal sito No Ransom di Kaspersky, dove potrebbe già esistere un decryptor per il ransomware in cui vi siete imbattuti e, se non esiste, contattate il vostro fornitore di servizi di sicurezza informatica per verificare l’esistenza di un aiuto. In ogni caso, non eliminate i file cifrati: di tanto in tanto appaiono nuovi decryptor, e domani potrebbe essercene uno che fa al caso vostro (non sarebbe la prima volta).

Indipendentemente dai particolari, non pagate il riscatto. Sponsorizzereste un’attività criminale, e comunque, le possibilità di ottenere indietro i vostri dati non sono alte. Oltre a bloccare i vostri dati, gli autori del ransomware potrebbero averli rubati proprio a scopo di ricatto. Infine, pagare gli avidi criminali informatici li incoraggia a chiedere più soldi. In alcuni casi, solo pochi mesi dopo essere stati pagati, gli intrusi sono tornati per chiedere un’ulteriore somma di denaro, minacciando di pubblicare tutto se non l’avessero ottenuta.

In generale, considerate qualsiasi dato rubato di dominio pubblico e siate pronti ad affrontare una fuga di informazioni. Prima o poi dovrete parlare dell’incidente: con i dipendenti, gli azionisti, le agenzie governative e, molto probabilmente, anche con i giornalisti. Apertura e onestà sono importanti e saranno sempre qualità apprezzate.

Step 4: prendere misure preventive

Un grande incidente informatico equivale sempre a grossi problemi; perciò, la prevenzione è la miglior cura. Preparatevi in anticipo a ciò che potrebbe andare storto:

  • Installate una protezione affidabile su tutti gli endpoint della rete (compresi gli smartphone);
  • Segmentate la rete e dotatela di firewall ben configurati; meglio ancora, utilizzate un firewall di nuova generazione (NGFW) o un prodotto simile che riceva automaticamente i dati sulle nuove minacce;
  • Guardate oltre l’antivirus e fate uso di potenti strumenti di caccia alle minacce;
  • Impiegate un sistema SIEM (per le grandi aziende) per ricevere notifiche immediate;
  • Informate i dipendenti sull’importanza della cybersecurity mediante sessioni regolari e interattive di formazione.

22 Febbraio 2021