Sono tante le notizie di attacchi Nuclear che causano danni economici e di immagine ad aziende e responsabili di infrastrutture critiche, ma per fortuna i ricercatori forniscono le indicazioni sul comportamento del “lupo cattivo” e mettendolo a nudo, consentono la difesa
Utilizzabile in modo multiplo – sia in termini di scopi, sia di cybercriminali – ha la capacità di integrare e attuare nuovi exploit mantenendosi in una sorta di continuo aggiornamento e quindi efficacia. Check Point ha analizzato il processo dietro questo tipo di attacco, i suoi metodi di diffusione e le conseguenze sulle vittime, valutandone i danni. Ne abbiamo parlato con Omri Herscovici, security researcher della società.
L’infrastruttura di “malware as a service” con cui viene distribuito, rappresenta una piattaforma logistica di distribuzione assimilabile a quelle “commerciali” ed è perfettamente funzionale agli scopi del “black market”. Il gruppo criminale creatore non usa infrastrutture proprietarie ma acquista spazio server affittandolo da fornitori come Hetzner (servizi di hosting) a un prezzo di circa 10 dollari al mese. Installa le consolle di gestione e si fa pubblicità sui forum del black market per attirare hacker che vogliano fare soldi. Operazioni di attacco in un solo mese attraverso Nuclear, con campagne di malware basate sul Ransomware Locky, hanno permesso di accumulare oltre 12 milioni di dollari.
I creatori sono organizzati tecnologicamente, professionalmente molto preparati e probabilmente risiedono in Russia perché nessuno dei paesi filorussi ha subito attacchi basati su questo exploit kit; il motivo non dovrebbe essere geopolitico ma solo opportunistico e legato ad aspetti giuridici per cui creatori e attaccanti non sono perseguiti o estradati. Ogni altra motivazione è legata alla alta redditività delle campagne di attacco su scala mondiale.
I ricercatori Check Point, durante il periodo di analisi di “Nuclear”, hanno notato una concentrazione di attacchi nell’area europea anche se, poiché il vettore principale è il denaro, si sono rilevate evidenze un po’ in tutto il globo tranne Russia e paesi amici.
Le tecniche di infezione sono diverse e possono rendere l’utente incapace di rendersi conto dell’infezione, agendo sull’inganno (siti legali o piattaforme di adv infettate che redirigono l’utente su pagine fake) e tecniche di spear phishing (tipicamente via mail n.d.r.).
Per proteggersi non si deve contare su difese basate su firma, ma ricorrere a soluzioni con appliance dotate di sandbox di ultima generazione capaci di analizzare, intercettare, emulare e bloccare sia comandi sia operazioni non autorizzate, oltre naturalmente alle capacità di bonifica dei virus intercettati e alle funzionalità di analisi forense debitamente commentata in report appositi.
Le applianche blade Next Generation Threat Prevention, muniti della tecnologia di SandBlast, effettuano questo tipo di rilevamento fino al livello della CPU. Sul Blog Check point sono disponibili report specifici di analisi del codice e del suo funzionamento.
