Da almeno otto mesi girano versioni trojan del falso password manager KeePass con cui gli attori delle minacce puntano ad installare i beacon Cobalt Strike, rubare le credenziali e, infine, distribuire il ransomware ESXi sulla rete violata. Lo ha scoperto il team di Threat Intelligence di WithSecure.
“Chi cerca KeePass e scarica il primo link sponsorizzato su Google, si merita il ransomware. Lo dico da anni: non basta ‘scaricare solo da fonti ufficiali’ se non sa riconoscerle. Se non sa distinguere un sito vero da un fake, non dovrebbe nemmeno avvicinarsi a un server ESXi”, commenta Sandro Sana, Ethical Hacker e membro del comitato scientifico Cyber 4.0.
“La notizia è preoccupante e sottolinea l’importanza di prestare attenzione alla sicurezza informatica”, aggiunge Ciro Faella, Cyber Sales Specialist di Maticmind.
“Oggi la fiducia è il nuovo perimetro. I criminali non cercano più di forzare la porta: si travestono da chi ha le chiavi. E quando la minaccia si presenta sotto forma di uno strumento che ‘dovrebbe’ proteggerci, diventa ancora più difficile da individuare”, sottolinea Raul Arisi, Cybersecurity Marketing Director di Maticmind.
Indice degli argomenti
L’attacco del ransomware ESXi
Secondo i ricercatori di WithSecure, la campagna scoperta dopo essere stati chiamati a indagare su un attacco ransomware, l’attacco è iniziato con un programma di installazione di KeePass malevolo, promosso attraverso annunci pubblicitari di Bing che sponsorizzavano siti di software fasulli.
“L’attacco tramite KeeLoader dimostra quanto anche software affidabili come KeePass possano diventare veicolo di compromissioni gravi se scaricati da fonti non verificate. L’uso di pubblicità sponsorizzate e domini molto simili a quelli originali è una tecnica semplice ma ancora estremamente efficace”, sottolinea spiega Luca Mantini, Maticmind Solution Engineer Coordinator BU Cybersecurity.
In particolare, “i cybercriminali hanno creato siti web cloni di KeePass ed alcuni siti falsi di KeePass sono stati sponsorizzati tramite Google Ads, sfruttando tecniche di malvertising“, avverte Ciro Faella.
Poiché KeePass è open source, gli attori della minaccia hanno alterato il codice sorgente per creare una versione trojan, denominata KeeLoader, che contiene tutte le normali funzionalità di gestione delle password. Tuttavia, include modifiche che installano un beacon Cobalt Strike ed esportano il database delle password di KeePass in chiaro, che viene poi rubato attraverso il beacon.
“Il fatto che il malware riesca a esportare in chiaro il contenuto del database e installare Cobalt Strike senza destare sospetti evidenzia il livello di sofisticazione raggiunto”, spiega Luca Mantini.
WithSecure afferma che i watermark Cobalt Strike utilizzati in questa campagna si collegano a un broker di accesso iniziale (IAB) che si ritiene sia legato agli attacchi ransomware Black Basta del passato.
Il beacon Cobalt Strike
Un watermark Cobalt Strike è un identificatore unico incorporato in un beacon che è associato alla licenza utilizzata per generare il payload.
“Questo watermark è comunemente notato nel contesto dei beacon e dei domini legati al ransomware Black Basta. È probabile che sia utilizzato da attori delle minacce che operano come Initial Access Brokers e che lavorano a stretto contatto con Black Basta”, spiega WithSecure: “Non siamo a conoscenza di altri incidenti (ransomware o altro) che utilizzino questo watermark del beacon Cobalt Strike – questo non significa che non si siano verificati”.
Uso di domini di typo-squatting
I ricercatori hanno scoperto molteplici varianti di KeeLoader, firmate con certificati legittimi e diffuse attraverso domini di typo-squatting come keeppaswrd[.]com, keegass[.]com e KeePass[.]me.
“Per chi si occupa di cybersecurity a livello strategico, questo non è solo un campanello d’allarme, è una conferma: la sicurezza non può più essere solo reattiva. Serve un approccio che integri tecnologia, processi e cultura del rischio”, afferma Raul Arisi.
Il furto di credenziali
Oltre a rilasciare i beacon Cobalt Strike, il falso KeePass con trojan includeva una funzionalità di furto di password che consentiva agli attori della minaccia di rubare qualsiasi credenziale inserita nel programma.
“KeeLoader non è stato modificato solo nella misura in cui poteva agire come caricatore di malware. La sua funzionalità è stata estesa per facilitare l’esfiltrazione dei dati del database di KeePass”, si legge nel report di WithSecure.
“Quando i dati del database di KeePass sono stati aperti, le informazioni relative all’account, al nome di accesso, alla password, al sito web e ai commenti sono state esportate in formato CSV sotto %localappdata% come .kp. Questo valore intero casuale è compreso tra 100 e 999”.
“La compromissione di credenziali e l’accesso non autorizzato a infrastrutture critiche possono portare a interruzioni operative e perdite finanziarie che vanno accuratamente valutate all’interno del ciclo continuo di valutazione dei rischi”, mette in guardia Massimo Biagiotti GRC, Advisory e Red Team Services Manager.
Alla fine, l’attacco investigato da WithSecure ha portato alla crittografia dei server VMware ESXi dell’azienda con il ransomware.
Ulteriori indagini sulla campagna hanno rilevato un’ampia infrastruttura creata per distribuire programmi dannosi mascherati da strumenti legittimi e pagine di phishing progettate per rubare le credenziali.
Ma “qui arriva la seconda tirata d’orecchie”, conclude Sandro Sana, “quanti hanno ESXi esposto, senza MFA, senza segmentazione, senza nemmeno un backup offline decente? Il ransomware non è sfortuna. È il conto che arriva dopo anni di superficialità“.
Come proteggersi
Per proteggersi da tali minacce, “è fondamentale scaricare software solo da fonti ufficiali, verificare attentamente gli URL e utilizzare soluzioni di sicurezza affidabili”, avvisa Ciro Faella: “Inoltre, è consigliabile mantenere aggiornati i sistemi e i software per ridurre il rischio di vulnerabilità sfruttabili da attacchi come quelli descritti”.
Si consiglia infatti sempre agli utenti di scaricare software, soprattutto quelli altamente sensibili come i gestori di password, da siti legittimi e di evitare qualsiasi sito collegato a pubblicità.
“Oltre a adottare soluzioni che consentano di rilevare comportamenti anomali e esfiltrazione di dati (per esempio, EDR, filtri DNS, controlli di integrità del software) è fondamentale promuovere una cultura aziendale attenta alla provenienza degli strumenti utilizzati”, evidenzia Luca Mantini.
Anche se un annuncio pubblicitario mostra l’URL corretto per un servizio software, dovrebbe essere evitato, in quanto gli attori delle minacce hanno ripetutamente dimostrato di poter aggirare le politiche pubblicitarie per visualizzare l’URL legittimo mentre si collegano a siti fasulli.
“La sofisticata campagna di attacco informatico che sfrutta versioni trojanizzate del gestore di password KeePass per compromettere infrastrutture virtualizzate, evidenzia l’importanza di un approccio integrato alla sicurezza informatica, che consideri aspetti di governance, gestione del rischio e conformità per proteggere efficacemente le infrastrutture critiche”, avverte Massimo Biagiotti: “Quindi è necessario formare il personale a verificare sempre le fonti da cui si approvvigionano. Allo stesso tempo le organizzazioni devono implementare sistemi di monitoraggio per rilevare attività sospette, come l’installazione non autorizzata di software o il traffico di rete anomalo, oltre che sviluppare e testare regolarmente piani di risposta per affrontare rapidamente eventuali compromissioni”.
L’autenticazione a due fattori e Mfa
“Proprio perché contiene tutte le nostre chiavi digitali, è importantissimo che il password manager non venga mai compromesso. Se qualcuno ci accede, può potenzialmente entrare in tutti i nostri account. Per questo è fondamentale scegliere un servizio o un prodotto affidabile, proteggere l’accesso con una password forte e, se possibile, usare anche l’autenticazione a due fattori“, mette in evidenza Angelo Gazineo, Cyber Sales Specialist di Maticmind.
Il ruolo delle strategie multilivello
“È fondamentale capire che non basta più proteggere il perimetro. Oggi è essenziale adottare strategie multilivello che comprendano soluzioni EDR, utili a intercettare comportamenti anomali lato endpoint, architetture SASE per controllare e proteggere il traffico di rete ovunque si trovi l’utente, e servizi SOC evoluti, capaci di correlare log e rilevare pattern sospetti che potrebbero indicare compromissioni silenti come l’attivazione di beacon Cobalt Strike”, spiega Andrea Mariucci, Head of Cyber Defence Center di Maticmind.
“Il mondo dei private user richiede l’accesso strumenti gratuiti, disponibili su piattaforme ed endpoint eterogenei, per questo deve affidarsi a strumenti che espongono by design delle superfici di attacco invitanti. L’utilizzo dei plug-in come nel caso specifico può mitigare alcune debolezze (legare per esempio la private key a meccanismi di OTP), ma dei rischi permangono. La credibilità delle fonti in questo caso è un aspetto determinante e su questo vale la cultura dell’utente. Si gioca in questo caso tutta lle differenza tra un PAM e un Seplice Password Manager… e l’importanza di promuovere in contesti aziendali strumenti che by design gestiscono il processo di accesso con politiche più solide: vaulting delle credenziali privilegiate, rotazione automatica delle password, session recording e auditing delle attività, Just-In-Time access (accesso temporaneo con privilegi elevati), approvals e workflow di autorizzazione affiancati alla diffusione delle MFA”, conclude Giovanni Del Panta, Cyber Architect Manager di Maticmind.
