Nell’agosto del 2023, il team di Incident Response di Sophos X-Ops è stato impegnato a supportare un’organizzazione australiana infettata dal ransomware Money Message. Questo vettore di attacco, noto per la sua furtività, non aggiunge alcuna estensione ai dati criptati, rendendo più difficile per le vittime identificare i file cifrati semplicemente individuando tali estensioni.
In questo post analizzeremo il flusso di attacco dell’incidente, illustrando come gli aggressori stanno distribuendo il ransomware Money Message e quali misure possono contrastare gli sforzi degli attaccanti in vari punti della catena MITRE ATT&CK.
Appuntatevi questa nota
Come parte della sua routine, il ransomware rilascia una nota di riscatto denominata “money_message.log” direttamente nella directory principale dell’unità C:.
La nota di riscatto sul sistema dell’obiettivo recitava come segue:
Your files was encrypted by “Money message” profitable organization and can’t be accessed anymore.
If you pay ransom, you will get a decryptor to decrypt them. Don’t try to decrypt files yourself – in that case they will be damaged and unrecoverable.
For further negotiations open this <redacted>.onion/<redacted>
using tor browser https://www.torproject.org/download/
In case you refuse to pay, we will post the files we stole from your internal network, in our blog:
<redacted>.onion
Encrypted files can’t be decrypted without our decryption software.
<redacted>.onion/<redacted>
Dettagli del flusso di attacco
Accesso iniziale
Le nostre indagini indicano che l’aggressore ha ottenuto l’accesso iniziale tramite la VPN dell’obiettivo, che utilizzava l’autenticazione a fattore singolo. Si tratta di un esempio della tecnica T1078 – Valid Accounts del MITRE.
Guida
L’implementazione dell’autenticazione a più fattori (MFA) per le connessioni VPN è fondamentale per migliorare la sicurezza e contrastare potenziali accessi non autorizzati. Inoltre, è necessario un monitoraggio continuo dei log VPN e dell’attività degli utenti per rilevare tempestivamente eventuali tentativi di accesso sospetti o anomalie. Il passaggio a un approccio di autenticazione più robusto e stratificato, come l’MFA, è essenziale per rafforzare la prima linea di difesa contro potenziali aggressori che cercano di sfruttare le vulnerabilità a fattore singolo e ottenere un accesso VPN non autorizzato.
Violazione della difesa
L’aggressore ha utilizzato la policy GPO per disabilitare la protezione in tempo reale di Windows Defender. Questo è un esempio della tecnica T1562.001: Impairment Defenses: Disabilitare o modificare gli strumenti.
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender] DisableAntiSpyware: [REG_DWORD_LE] 1 [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Real-time Protection] DisableRealtimeMonitoring: [REG_DWORD_LE] 1
Guida
La prima linea di difesa a disposizione delle organizzazioni è l’utilizzo di un agente di sicurezza dotato di una solida protezione contro le manomissioni. In termini di monitoraggio di questa attività, si tratta di fonti di informazioni pronte per il rilevamento. Sebbene sia possibile che un amministratore di sistema disattivi queste protezioni (almeno temporaneamente) durante la risoluzione dei problemi, dato il rischio di questa attività, è necessario indagare tempestivamente se non si trova un ticket di assistenza corrispondente.
Movimento laterale
L’aggressore ha sfruttato psexec per eseguire uno script batch con l’intenzione di abilitare la porta RDP e successivamente utilizzare il Remote Desktop Protocol (RDP) per spostarsi sulla rete. Questo è un esempio di T1021.001: Remote Services: Remote Desktop Protocol. RDP è un elemento comune nei casi gestiti dall’Incident Response, come dimostrano i risultati dei casi IR gestiti nella prima metà del 2023.
Figura 1: Rilevamenti di abuso di PSR nei casi di IR per la prima metà del 2023
Il contenuto dello script batch è il seguente:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f Enable-NetFirewallRule -DisplayGroup 'Remote Desktop' netsh advfirewall firewall add rule name="Open Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
Guida
La protezione dell’accesso RDP può essere difficile per molte aziende, ma è un progetto che merita di essere realizzato. La prima cosa da fare è limitare, in base al ruolo, gli account che possono accedere ad altri sistemi utilizzando RDP. La stragrande maggioranza degli utenti non ha bisogno di questo accesso. In secondo luogo, l’adozione di un jump server centralizzato, a cui solo gli amministratori possono accedere con l’MFA e il blocco a livello di rete di altri RDP da sistema a sistema è un solido controllo preventivo. Infine, è necessario un rilevamento che consenta di esaminare tempestivamente le connessioni RDP anomale per decontestualizzarle dalle attività di amministrazione del sistema già approvate.
Accesso alle credenziali
L’aggressore, utilizzando Secretsdump.py (parte del toolkit Impacket), ha recuperato l’hive del registro SAM. Questo è un esempio di una modalità di esecuzione della sotto tecnica T1003.002 del MITRE: OS Credential Dumping: Security Account Manager.
C:\WINDOWS\system32\svchost.exe -k localService -p -s RemoteRegistry
Guida
È fondamentale che le organizzazioni diano priorità alla salvaguardia delle credenziali sensibili. L’implementazione di solidi controlli degli accessi, l’impiego di robuste soluzioni di rilevamento e risposta degli endpoint e il monitoraggio di qualsiasi attività sospetta relativa all’accesso all’hive SAM sono passi essenziali. Qualsiasi tentativo non autorizzato di accesso o di manipolazione di questo componente critico del sistema deve essere indagato tempestivamente, poiché potrebbe indicare una violazione o un’attività dannosa che potrebbe compromettere la sicurezza delle credenziali sensibili.
Collection
Un account che è stato confermato come compromesso è stato utilizzato per accedere a cartelle sensibili come Finance, Payroll, SalesReport e HR in FileServer. Il MITRE elenca 37 sotto-tecniche sotto TA0009: Collection.
Istruzioni
Spesso, quando un aggressore sta mettendo le mani sui dati, è troppo tardi per ottenere un buon risultato in termini di sicurezza. Un buon approccio per prevenire il furto di dati consiste nell’adottare l’accesso con il minimo privilegio, il che significa garantire l’accesso solo alle persone necessarie, seguito da controlli granulari sull’esportazione, la condivisione o lo spostamento dei file. Le soluzioni DLP, pur essendo storicamente difficili da implementare e mantenere, meritano di essere valutate per i dati ad alto rischio.
Esfiltrazione
L’aggressore ha sfruttato MEGAsync per esfiltrare i dati. Questo è un esempio di T1567.002 del MITRE: Esfiltrazione tramite servizio Web: Esfiltrazione verso l’archiviazione nel cloud.
UserAssist entry: 87 Value name: C:\Users\<redacted>\AppData\Local\Temp\6\MEGAsyncSetup32.exe Count: 1 User ”<redacted> registered Task Scheduler task “\MEGA\MEGAsync Update Task S-1-5-21-<redacted>"
Istruzioni
Le organizzazioni devono concentrarsi sul rafforzamento delle misure di prevenzione della perdita di dati e sul monitoraggio della rete. L’implementazione di una solida analisi del traffico in uscita e l’ispezione dei contenuti possono aiutare a identificare e bloccare i trasferimenti di dati sospetti. Inoltre, l’attento monitoraggio delle attività MEGAsync e il rilevamento di eventuali trasferimenti di dati insoliti o non autorizzati possono essere fondamentali per mitigare le violazioni. Indagate e rispondete rapidamente a qualsiasi segnale di esfiltrazione non autorizzata per prevenire una potenziale compromissione dei dati e ridurre al minimo l’impatto sulla loro riservatezza.
Impatto
L’aggressore ha utilizzato due binari del ransomware, uno per l’ambiente Windows e uno per l’ambiente Linux. La versione per Windows è denominata windows.exe e viene rilevata da Sophos come Troj/Ransom-GWD. Si tratta di un esempio di T1486 del MITRE: Data Encrypted for Impact.
- L’encryptor Money Message è scritto in C++ e include un file di configurazione JSON incorporato che contiene alcuni dettagli chiave come le cartelle da bloccare per la crittografia, l’estensione da aggiungere, i servizi e i processi da terminare e i nomi di login e password di dominio probabilmente utilizzati per cifrare altri dispositivi.
- L’encryptor utilizza l’algoritmo ChaCha Quarter Round e la crittografia ECDH.
- Al termine, il ransomware crea la nota di riscatto C:\money_message.log
- Sugli endpoint protetti da Sophos, viene attivato il seguente rilevamento:
Malware rilevato: ‘Troj/Ransom-GWD’ in ‘C:\Users\<redacted>AppData\Local\Temp\6\windows.exe’.
La variante per Linux è denominata “esxi” e, una volta eseguita, eliminerà tutti i dischi rigidi virtuali. Questo è un esempio di T1561 del MITRE: Disk Wipe.
Comandi eseguiti sull’host ESXi:
cd /tmp/ chmod 777 esxi dir ls ./esxi
Istruzioni
Come accennato in precedenza, in questa fase avanzata dell’attacco, la copertura completa di tutti i sistemi con una soluzione XDR correttamente configurata è fondamentale per proteggere le organizzazioni dal ransomware. Nel caso di Sophos, è fondamentale che i clienti abbiano attivato la loro policy CryptoGuard, cosa su cui il servizio di assistenza può guidarli.
Conclusioni
Il percorso degli aggressori di Money Message verso l’esfiltrazione è conforme a una catena di MITRE ATT&CK abbastanza tipica, come abbiamo mostrato sopra. Sebbene questo particolare attaccante cerchi di confondere i difensori, una buona difesa, soprattutto nelle fasi iniziali, può fornire un efficace kit di strumenti contro i risultati negativi.