Due utility di Windows molto diffuse, Putty e WinSCP, sono nel mirino di un’operazione ransomware.

Secondo un recente rapporto di Rapid7, il bersaglio della campagna malvertising sono gli amministratori di sistema di Windows attraverso annunci sui motori di ricerca per promuovere falsi siti di download per Putty e WinSCP.

“L’utilizzo di pagine web che si fingono software legittimi e la creazione di campagne pubblicitarie ingannevoli è diventata una pratica in rapido aumento tra i criminali informatici”, commenta Luigi Martire, Technical Leader Yoroi Cert di Tinexta Cyber.

“Il potenziale coinvolgimento di amministratori IT in questo scenario di attacco è preoccupante soprattutto per gli elevati privilegi sui sistemi, propri del ruolo ricoperto da chi tipicamente usa questi tool”, aggiunge Vincenzo Sgaramella, Project Manager di Tinexta Cyber.

Ecco come proteggersi.

Un ransomware in falsi siti di Putty e WinSCP

Nel mirino della gang ransomware sono WinSCP, un client SFTP e FTP, e Putty, un client SSH. La campagna sui motori di ricerca ha mostrato annunci di siti Putty e WinSCP falsi quando si cercava di scaricare i due client. Non è chiaro se questa campagna abbia avuto luogo su Google o Bing. Ma gli annunci utilizzavano nomi di domini con typosquatting come puutty.org, puutty[.]org, wnscp[.]net e vvinscp[.]net.

Mentre questi siti si spacciavano per il sito legittimo di WinSCP, gli attori della minaccia hanno imitato un sito non affiliato di Putty (putty.org), che molti ritengono essere il sito vero. In realtà, il sito ufficiale di Putty è un altro.

“La nuova metodologia di infezione utilizzata da una ransomware gang infatti prende di mira gli amministratori di sistema Windows tramite campagne di malvertising”, spiega Riccardo Michetti, Senior Security & Threat Intelligence Analyst – Swascan di Tinexta Cyber: campagne che “reindirizzano gli utenti a siti falsi che imitano quelli legittimi di PuTTY e WinSCP utilizzando domini di typosquatting per trarre in inganno la vittima”.

Questi siti includono link di download che, una volta cliccati, reindirizzano l’utente a siti legittimi o scaricano un archivio ZIP dai server dell’attore della minaccia, a seconda che l’utente sia stato indirizzato da un motore di ricerca o da un altro sito della campagna.

Il bersaglio sono gli amministratori di sistema

“Recentemente, queste campagne hanno preso di mira persino gli amministratori di sistema, inducendoli a scaricare software utili alle loro attività quotidiane tramite annunci pubblicitari malevoli”, conferma Luigi Martire: “Questo fenomeno è allarmante poiché dimostra che anche i professionisti in ambito IT, teoricamente più sensibili alle problematiche relative alla cyber security, possono cadere vittime di queste tattiche”.

Il bersaglio sono infatti gli amministratori di sistema che hanno solitamente privilegi più elevati su Windows, dunque preziosi per i cyber criminali che puntano a diffondere minacce rapidamente attraverso una rete, rubando dati e ottenendo l’accesso al controller di dominio di una rete per distribuire ransomware.

“Gli attaccanti mirano a questi professionisti perché detengono privilegi elevati all’interno delle reti aziendali”, sottolinea Luigi Martire, “facilitando intrusioni e attacchi ransomware, specialmente secondo la pratica ormai comune della Double Extortion”.

Sebbene Rapid7 abbia condiviso pochi dettagli sul ransomware, i ricercatori affermano che la campagna è simile a quelle viste da Malwarebytes e Trend Micro, che hanno distribuito il ransomware BlackCat/ALPHV, ora chiuso.

Campagna ransomware contro Putty e WinSCP: i dettagli

Gli archivi ZIP scaricati contengono Setup.exe, un eseguibile rinominato e legittimo per Python per Windows (pythonw.exe), e un file python311.dll malevolo.

Al lancio dell’eseguibile pythonw.exe, si tenta l’avvio di un file python311.dll legittimo. Tuttavia, gli attori della minaccia hanno sostituito questa DLL con una versione malevola caricata sfruttando il Sideloading DLL.

Quando un utente esegue il file Setup.exe, pensando di installare Putty o WinSCP, carica la DLL dannosa, che estrae ed esegue uno script Python crittografato.

“Gli archivi ZIP scaricati contengono un eseguibile lecito e una DLL malevola che eseguono uno script Python volto a scaricare ed installare il framework di Post-Exploitation ‘Sliver’”, mette in guardia Riccardo Michetti: “Una volta infettati, l’attaccante può procedere al download ed esecuzione di ulteriori payload malevoli come, ad esempio, beacon Cobalt Strike e Ransomware”.

Il toolkit Sliver post-exploitation

Lo script installerà infatti il toolkit Sliver post-exploitation, uno strumento popolare utilizzato per l’accesso iniziale alle reti aziendali.

Rapid7 afferma che l’attore della minaccia abbia utilizzato Sliver per rilasciare da remoto ulteriori payload, tra cui i beacon Cobalt Strike. Gli attori malevoli hanno utilizzato questo accesso per esfiltrare i dati e tentare di distribuire un ransomware per crittografare i dati e chiedere il riscatto.

“Gli amministratori di sistema, avendo privilegi di rete elevati, sono bersagli preziosi per i threat actor, in quanto, se colpiti, permettono all’attaccanti di muoversi velocemente nella rete ed arrivare al deploy di un ransomware con tempistiche estremamente ridotte”, avverte Michetti.

La campagna ricalca quella di BlackCat

“In un recente incidente, Rapid7 ha osservato l’attore della minaccia tentare di esfiltrare i dati utilizzando l’utility di backup Restic, per poi distribuire il ransomware, un tentativo che alla fine è stato bloccato durante l’esecuzione”, spiega Tyler McGraw di Rapid7.

“Le relative tecniche, tattiche e procedure (TTP) osservate da Rapid7 ricordano le passate campagne BlackCat/ALPHV segnalate da Trend Micro lo scorso anno”.

Come proteggersi

Aumenta la complessità delle cyber minacce in perenne evoluzione. Per difendersi occorre rafforzare la consapevolezza anche degli amministratori di sistema. Il download di software o app deve sempre avvenire da siti o marketplace ufficiali.

“L’implementazione di processi di software distribution sicura, non solo per l’utente finale ma anche per il comparto IT”, continua , “consente di ridurre il rischio di diffusione di agenti malevoli nell’infrastruttura che possono dar vita, tra gli altri, ad attacchi ransomware o al furto di credenziali amministrative”.

“Per proteggersi da queste minacce, è fondamentale adottare rigorose pratiche di cyber security”, mette in guardia Luigi Martire: “È essenziale scaricare software solo da fonti ufficiali e verificare l’integrità dei file attraverso checksum, come gli SHAsum forniti sui siti web. Attivare gli aggiornamenti automatici dei sistemi operativi è cruciale per garantire che tutte le vulnerabilità siano corrette tempestivamente”.

“La pubblicazione di tali risorse sul web, inoltre, è spesso riconoscibile a fronte dell’uso di domini ‘typo’ da parte dei criminali. Con un buon livello di formazione in ambito social engineering questi tentativi di attacco possono essere agevolmente riconosciuti“, osserva Sgaramella.

La valutazione dei rischi e l’analisi delle minacce sono priorità per un efficace sistema di sicurezza informatica.

Le soluzioni per mitigare il rischio

Inoltre “utilizzare software antimalware e dispositivi di difesa perimetrale può rilevare e bloccare potenziali minacce. Implementare piani di formazione di security awareness per i dipendenti, educandoli sulle tecniche di inganno e su come riconoscere gli annunci malevoli, può fare la differenza nella prevenzione di queste insidie.
Seguendo queste pratiche, è possibile ridurre significativamente il rischio di cadere vittima delle sofisticate campagne di malvertising che stanno proliferando nel panorama della sicurezza informatica.”

Rimane quindi fondamentale “sensibilizzare i SysAdmin sui rischi derivanti dal download di software da fonti non verificate. Inoltre è necessario implementare delle protezioni robuste volte ad identificare e mitigare prontamente queste potenziali minacce come per esempio una soluzione XDR monitorata da un Security Operation Center e attività di Cyber Threat Intelligence per valutare lo ‘Human Risk’ aziendale”, conclude Riccardo Michetti.