2. 2
Condividere è un dovere etico… La condivisione è conoscenza.
➢ CEO & Founder Innovamind srls
➢ 25 anni di esperienza nel settore
➢ Ethical Hacker
➢ DPO
➢ Membro del CD di AIPSI (Associazione Italiana Professionisti della Sicurezza Informatica)
➢ Membro dell’americana ISSA (Information Systems Security Association)
➢ Membro Federprivacy
➢ Membro ICTTF International Cyber Threat Task Force
➢ Socio AICA
➢ Microsoft Certified It Professional – MCTS - MCSA
➢ Relatore in seminari e tavole rotonde su tematiche di sicurezza ICT
➢ Docente esterno in vari istituti scolastici
➢ Esperto e coordinatore di progetti ICT nella PA
➢ CTP
➢ Consulente e responsabile ICT in PMI e PA
➢ Security Expert ISO 27001 – ISO 27017 – ISO 27018
Massimo Chirivì - info@massimochirivi.net ------ Twitter: @massimochirivi ------ Faceboook: @massimochirivi ------ www.massimochirivi.net
About me:
3. AIPSI, Associazione Italiana Professionisti Sicurezza Informatica
• Associazione apolitica e senza fini di lucro
• Capitolo Italiano di ISSA, Information Systems Security Association, (www.issa.org)
che conta >>12.000 Soci, la più grande associazione non-profit di professionisti della
Sicurezza ICT nel mondo
• Obiettivo principale: aiutare i propri Soci nella crescita professionale → competenze
→carriera e crescita business
• Offrendo ai propri Soci servizi qualificati per tale crescita, che includono
• Convegni, workshop, webinar sia a livello nazionale che internazionale via
ISSA
• ISSA Journal
• Rapporti annuali e specifici; esempi:
• Rapporto annuale OAD nel nuovo sito https://www.oadweb.it
• ESG ISSA Survey “The Life and Times of Cyber Security Professionals”
• Concreto supporto nell’intero ciclo di vita professionale, con formazione
specializzata e supporto alle certificazioni, in particolare eCF Plus (EN 16234-
1:2016)
• Collaborazione con varie Associazioni ed Enti per eventi ed iniziative
congiunte
• Gruppo Specialistico di Interesse CSWI, Cyber Security Women Italy, aperto a
tutte le donne che in Italia operano a qualsiasi livello nell’ambito della
sicurezza digitale (anche non socie AIPSI)
6. 6
CRIMEWARE-AS-A-SERVICE
• Noto ceppo di ransomware venduto come "servizio" sul cyber-
underground.
• L'idea di CaaS, o crimeware-as-a-service, viene presa in prestito dai modelli di outsourcing e di
cloud computing utilizzati dalle normali aziende
• In questi giorni, ad esempio, se si desidera pubblicare i propri video, non è necessario
conoscere la compressione video, la gamma di colori, i formati dei pixel, la transcodifica, i
bitrate, come eseguire un server di streaming live o qualcuna di queste cose ...
• Basta premere [Registra] sul telefono, catturare le riprese video e quindi fare clic su un
pulsante per condividere il video con chiunque desideri tramite un'intera gamma di reti di
hosting video gratuite come YouTube.
• CaaS funziona in modo simile - se vuoi provare a fare soldi con il ransomware, ad esempio, e
sai quali sono i posti giusti per andare nel cyberunderground, puoi chiedere a qualcun altro di
occuparsi del lato tecnico in cambio di una divisione degli incassi - nessuna spesa anticipata.
7. 7
Modus Operandi:
• I criminali dietro a WannaCry e NotPetya hanno utilizzato un exploit NSA
• Il phishing. Perché preoccuparsi di worm e exploit quando puoi semplicemente iscriverti al crimeware online
e fare clic su un pulsante per estrarre gli allegati di posta elettronica con trappole esplosive?
Il phishing è un gioco di numeri: la maggior parte delle tue e-mail non andrà a buon fine, molte di quelle che
andranno non lette e anche quelle che si apriranno potrebbero trovarsi a colpire un muro di mattoni - un sistema
patchato, per esempio, o un utente che si rende conto che qualcosa di fasullo sta succedendo e si ferma poco
prima di essere infettato.
I truffatori di phishing guadagnano solo se possono trovare ripetutamente nuovi modi per persuadere gli utenti ad
aprire e-mail e fare cose che il loro team IT li ha avvertiti, come salvare allegati su disco e poi lanciarli, o aprire
documenti di Office e abilitare deliberatamente i macro.
Il motto delle organizzazioni criminali?
Se vuoi che qualcosa funzioni correttamente, devi farlo tu stesso.
9. 9
RDP
• I truffatori scaricano e installano software di tweaking del
sistema di basso livello, come il popolare strumento Process
Hacker
• I criminali disattivano o riconfigurano il software anti-malware,
utilizzando gli strumenti di modifica appena installati.
• I criminali seguono le password degli account degli
amministratori in modo che possano godere di tutto il
potere di un amministratore di sistema legittimo. Se non
riescono a ottenere una password di amministratore,
potrebbero provare ad accedere come utente normale e ad
eseguire strumenti di hacking che tentano di sfruttare
vulnerabilità prive di patch per ottenere ciò che viene
chiamato EoP o elevazione dei privilegi
CVE-2017-0213 e CVE-2016-0099
10. 10
RDP
• I criminali disattivano i servizi di database (ad esempio SQL) in modo che i file di database vitali
possano essere attaccati dal malware.
• File come i database SQL sono in genere bloccati mentre il software del server database è attivo,
come precauzione contro la corruzione che potrebbe essere causata dall'accesso simultaneo di un
altro programma. L'effetto collaterale di questo è che il malware non può ottenere l'accesso diretto
ai file di database e, quindi, non può scomporli per tenerli in ostaggio
• I criminali disattivano Volume Shadow Copy (il servizio di backup live di Windows) ed eliminano
eventuali file di backup esistenti.
• Le copie shadow fungono da backup online in tempo reale che possono rendere il recupero da
ransomware un processo semplice e rapido. Ecco perché i criminali cercano spesso le copie
shadow prima di rimuoverle
11. 11
• Se non hai bisogno di RDP, assicurati che sia spento. Ricordarsi di controllare tutti i
computer della rete: RDP può essere utilizzato per connettersi a server, desktop e laptop.
• Considerare l'utilizzo di una rete privata virtuale (VPN) per le connessioni dall'esterno della
rete. Una VPN richiede agli estranei di autenticarsi prima con il firewall e di connettersi da lì
ai servizi interni. Ciò significa che software come RDP non devono mai essere esposti
direttamente a Internet.
• Utilizza l'autenticazione a due fattori (2FA) ovunque tu sia possibile. Se i truffatori rubano o
indovinano la tua password, non basta.
• Patch presto, patch spesso. Ciò impedisce ai truffatori di sfruttare le vulnerabilità contro la
rete, riducendo così l'esposizione al pericolo.
• Dopo un attacco non basta rimuovere il malware o applicare le patch mancanti. Controllate
soprattutto le applicazioni aggiunte, le impostazioni di sicurezza modificate e gli account
utente appena creati.
• Imposta un criterio di blocco per limitare gli attacchi brute force di password. Con tre ipotesi
alla volta seguite da un blocco di cinque minuti, un truffatore può provare solo 12 × 3 = 36
password all'ora, il che rende un attacco di forza bruta poco pratico.
17. 17
RANSOMWARE IS TARGETING NETWORK ATTACHED STORAGE (NAS)
Al momento dell'esecuzione, il ransomware di crittografia dei file si collega innanzitutto al server remoto di
comando e controllo, protetto dietro la rete Tor, utilizzando un proxy Tor SOCKS5 per comunicare agli
aggressori le nuove vittime.
Sulla base di alcune analisi, è chiaro che il proxy è stato impostato dall'autore del malware per fornire l'accesso
alla rete Tor al malware senza includere la funzionalità Tor nel malware
Prima di crittografare i file, il ransomware richiede un indirizzo bitcoin univoco, dove le vittime devono trasferire
l'importo del riscatto, dal server C & C dell'attaccante che contiene un elenco predefinito di indirizzi bitcoin già
creati.
Se il server esaurisce indirizzi bitcoin univoci, il ransomware non procede alla crittografia dei file e attende che gli
autori di attacchi creino e forniscano un nuovo indirizzo.
• È interessante notare che alcuni ricercatori hanno approfittato di questo meccanismo e hanno creato uno script
che permetteva loro di ingannare il server C & C dell'attaccante assegnando tutti gli indirizzi bitcoin disponibili a
centinaia di vittime virtuali, bloccando così il ransomware dalla crittografia dei file per nuove vittime legittime.
20. 20
• Dharma ransomware è una versione di Crysis, che è un altro malware pericoloso.
• Dharma crittografa i file utente utilizzando la crittografia asimmetrica
Dharma Ransomware
21. 21
• Dharma Ransomware utilizza un Anti-Virus reale per l’attacco malware
• Nell'ultimo periodo Dharma Ransomware sta inviando spam agli utenti con una e-mail intitolata "MSC-ALERT-
IMPORTANT!". L'e-mail contiene un avviso di sistema corrotto che richiede all'utente di fare clic e scaricare una
versione precedente di ESET Antivirus.
• L'e-mail richiede all'utente di scaricare e verificare il proprio anti-virus utilizzando una password allegata. Il file di
download è un archivio autoestraente chiamato Defender.exe. Contiene due file e il programma di installazione
del software antivirus.
• I due file dannosi sono taskhost.exe e Defender_nt32_enu.exe. Il primo file attiva il Dharma Ransomware
stesso come RANSOM.WIN32.DHARMA.THDAAAI.
• Il ransomware fa il suo lavoro per mantenere gli utenti occupati con le installazioni anti-virus mentre crittografa i
file in background. L'installer dell'antivirus ESET è assolutamente reale e funziona perfettamente.
• Inoltre, il processo di installazione di ESET antivirus non è in alcun modo correlato a Dharma Ransomware. È
da notare che la crittografia dei file dovuta agli attacchi di ransomware e l’installazione antivirus avvengono
separatamente.