Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Talking Cricket Report 2: Le botnet delle Regioni Italiane

Emanuele De Lucia : 10 Maggio 2022 23:40

Talking Cricket è una iniziativa di Red Hot Cyber nata per far conoscere l’importanza dell’intelligence delle minacce all’interno delle attività di sicurezza informatica e al tempo stesso “stimolare” la consapevolezza al rischio degli abusi cibernetici sulle risorse esposte su internet.

Autori:  Pietro DI MariaEmanuele de LuciaMassimiliano Brolli
Data Pubblicazione: 08/05/2022

Come abbiamo compreso nel primo report di Talking Cricket, “le botnet della pubblica amministrazione“, le botnet sono un altro fattore di rischio da tenere sotto controllo e da monitorare con costanza in quella disciplina che si chiama cyber threat intelligence e che consente di anticipare le mosse di un ipotetico aggressore.

FINO AL 31 DICEMBRE, sconti estremi sui corsi Red Hot Cyber

Affrettati!

Fino al 31 dicembre potrai acquistare a prezzi scontati i nostri corsi cliccando sui seguenti coupon:

  • NIS2 : Network and Information system 2 scontato del 25%
  • Dark Web & Cyber Threat Intelligence scontato del 50%

  • Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Abbiamo anche recentemente fatto percepire i benefici di questa branca della cybersecurity con un caso pratico relativo all’incidente ransomware al Fatebenefratelli Sacco di Milano, riportando che già da 2 mesi eravamo al corrente come RHC della rivendita degli accessi alla VPN dell’ospedale.

    Per i criminali informatici quello che viene messo a disposizione dalle botnet, sono informazioni preziose per poter avviare un attacco ad una infrastruttura IT e spesso parliamo di credenziali di accesso alla posta elettronica o alle VPN, le quali consentono di abbreviare drasticamente la catena di attacco.

    In questo articolo, siamo andati ad analizzare le tracce lasciate nel cyberspace da alcune tra le botnet più conosciute di sempre e siamo andati a cercare le credenziali in vendita relative alle 20 le regioni italiane.

    Metodologia di analisi

    Per comprendere la metodologia di redazione del presente report, vi rimandiamo al precedente articolo dove spieghiamo con precisione cosa è una botnet, come funziona l’infezione e quali sono gli strumenti di threat intelligence utilizzati per rilevare le botnet.

    Parallelamente abbiamo analizzato i market underground alla ricerca di botnet in vendita relative alle regioni attraverso il mercato Genesis avviato dal 29 settembre 2021. Il negozio è ancora in funzione e continua ad offrire prodotti sempre più interessanti ai suoi clienti. Il market implementa le seguenti funzionalità:

    • grabber: questo è un modulo che cattura tutti i dati inseriti dall’utente compromesso quando usa la tastiera. Questo permette di recuperare immediatamente nuove password o numeri di carte di credito;
    • fingerprint: la piattaforma raccoglie vere impronte digitali. In precedenza, ha raccolto una serie di dati che potrebbero essere utilizzati per riprodurre semplicemente l’impronta digitale per scopi di spoofing. 

    I clienti possono sfruttare l’impronta digitale reale dell’utente compromesso, il che faciliterà notevolmente il furto dell’identità e l’aggiramento delle misure di sicurezza per identificare ulteriori attività dannose. 

    Entrambe queste caratteristiche sono molto innovative e contribuiranno a fidelizzare i clienti su questa piattaforma, che è l’unica ad offrire questo tipo di prodotto oggi, anche se stiamo assistendo ad altre forme di “imitazione”.

    Il cybercrime e le botnet

    I clienti che acquistano questo tipo di prodotto sono alla ricerca di credenziali affidabili e utilizzabili, così come la capacità di studiare la struttura della rete aziendale per possibili attacchi ransomware o per acquisire informazioni sulle persone, per poter condurre attacchi di ingegneria sociale estremamente mirati.

    Non è raro osservare che questi attori malevoli approfittano di tutti i vantaggi associati agli account compromessi e quindi, non esitano a impersonare le varie identità legate all’account o a cercare di approfittare di tutti gli elementi dell’account stesso. 

    Per evitare che lo sfruttamento di questi account sia troppo facile per l’attore malintenzionato, è essenziale combattere tutti i malintenzionati avendo gli strumenti giusti per ogni situazione. Ad esempio, gli strumenti antifrode impediscono lo sfruttamento di questi attacchi, come buone capacità di threat intelligence che risultano fondamentali per anticipare la minaccia.

    Le botnet in vendita nelle regione italiane

    Ritornando al titolo dell’articolo, effettuando una analisi su diversi sistemi di threat Intelligence, possiamo riportare la seguente situazione relativamente alle 20 regioni italiane.

    HomepageBotNet feedsBotNet in vendita
    Regione Abruzzo9056
    Regione Basilicata5923
    Regione Emilia Romagna526305
    Regione Campania874413
    Regione Calabria248127
    Regione FVG10290
    Regione Lazio724516
    Regione Liguria149132
    Regione Lombardia999128
    Regione Marche270204
    Regione Piemonte48921
    Regione Molise2511
    Regione Puglia48598
    Regione Sardegna215110
    Regione Sicilia211102
    Regione Toscana97571
    Regione TAA250
    Regione Umbria 20085
    Regione VDA5516
    Regione Veneto451163
    Analisi dei feed e delle botnet in vendita nelle underground

    Come avevamo riportato in precedenza, per “BotNet feeds”, si intendono tutti i file contenuti all’interno dei bot che riguardano il dominio corrispondente. Tali dati sono riferiti sia ad utenti interni o esterni. Per Esterni si intendono gli utenti che hanno account su servizi del dominio principale. Ad esempio, nel caso di una regione potrebbe essere un cittadino (non un dipendente) che ha un account, ad esempio, sul sito di prenotazione dei vaccini per il COVID.

    Per “BotNet in vendita”, invece, si intende la rivendita delle informazioni contenute nel Bot, su siti specializzati come ad esempio Genesis, citato in precedenza.

    Ora andremo ad analizzare regione per regione, andando a riportare le evidenze più critiche rilevate nelle botnet.

    Le botnet delle Regioni Italiane

    In questa sezione andremo ad analizzare le tracce analizzate attraverso tecniche OSINT/CLOSINT relative alle botnet presenti sui device degli utenti che hanno una connessione con i sistemi delle varie regioni italiane. Si precisa che si tratta solo di esempi in quanto per una corretta analisi occorrerebbe molto più tempo di quello che abbiamo messo a disposizione per la stesura di questo articolo.

    I dati analizzati, sono recenti presi in un arco temporale massimo di 3 mesi.

    Regione Basilicata

    Dati di accesso alla mail aziendale

    Regione Emilia Romagna:

    Dati di accesso alla mail aziendale

    Regione Campania:

    Dati di accesso alla mail aziendale e altri 2 servizi della regione che contiene la stessa login e la stessa password
    Struttura della botnet da dove sono state prelevarte le login e le password

    Regione Calabria:

    Dati di accesso alla mail aziendale e struttura della botnet

    Regione Friuli:

    Account aziendale utilizzato su altri servizi

    Regione Lazio:

    Dati di accesso alla mail aziendale, a wordpress del sito della regione e ad un altro servizio messo a disposizione dalla regione

    Regione Liguria:

    Dati di accesso ad un servizio aziendale

    Regione Lombardia:

    Account aziendali utilizzati su siti di terze parti

    Regione Marche:

    Accesso alla mail aziendale e account aziendali utilizzati su siti di terze parti
    Utilizzo di un PC per l’accesso agli strumenti aziendali condiviso

    Regione Piemonte:

    Accesso a servizi aziendali

    Regione Puglia:

    Account aziendale utilizzato su siti di terza parte

    Regione Sardegna:

    Accesso ad un servizio aziendale

    Regione Umbria:

    Accesso ad un servizio regionale e ad un servizio del ministero dell’interno

    Regione Val d’Aosta:

    Accesso a 2 servizi aziendali

    Regione Veneto:

    Accesso alla posta elettronica della regione

    Mitigazione del rischio

    In seguito all’osservazione delle diverse minacce che colpiscono le regioni, troverete in quest’ultima parte delle raccomandazioni per rafforzare la sicurezza dei vostri servizi e per limitare le diverse minacce che colpiscono la vostra vita quotidiana. 

    Identificatori aziendali di compromissione

    Le credenziali compromesse sono solitamente utilizzate per condurre campagne di ingegneria sociale. L’obiettivo principale è quello di recuperare o ottenere informazioni dai dipendenti. 

    Per esempio, ci sono attacchi di “phishing mirato” o “spear phishing” che permettono agli aggressori di sfruttare la mancata consapevolezza al rischio manipolando i dipendenti se non ne sono stati formati a questo. 

    Per combattere efficacemente il furto d’identità, limitare le vendite nei negozi criminali e rallentare l’uso malevolo, è consigliabile lavorare sul monitoraggio costante delle attività fraudolente a tutti i livelli aziendali.

    Raccomandazioni

    Di seguito le principali raccomandazioni che possiamo fornire per mitigare il problema delle botnet.

    • Segmentare la rete evitando ambienti promiscui (come quello casalingo);
    • È consigliabile adottare sistemi in grado di isolare il/i dispositivo/i in uso mediante segmentazione della rete locale e di adottare un approccio c.d. Zero Trust;
    • Sensibilizzazione alle buone pratiche nell’uso degli indirizzi e-mail aziendali;
    • Consapevolezza del phishing;
    • Evitare l’utilizzo di una password unica per ogni servizio;
    • Educare i dipendenti agli aggiornamenti di sicurezza e alle misure di sicurezza per limitare la superficie di attacco;
    • Chiedere ai vostri dipendenti interessati di reimpostare le loro password qualora siano coinvolti in data breaches;
    • Chiedere ai vostri dipendenti interessati di formattare i dispositivi interessati dalle botnet;
    • Non permettere l’uso di account aziendali su dispositivi privati senza autorizzazione;
    • Implementare attività di intelligence sui dati sottratti agli utenti.

    Ci sono anche altre azioni che possono essere implementate per limitare l’accesso malevolo e non autorizzato agli account aziendali: 

    • Obbligare l’autenticazione a più fattori. Questa è la misura migliore per fermare questo attacco oggi. Siamo consapevoli che questa misura richiede un dispiegamento su larga scala. Tuttavia, può diventare un’opzione attivata dall’utente nell’area clienti per superare questa difficoltà;
    • Implementazione di un processo di login a più fasi (ad es. Captcha);
    • Implementazione di Black List degli indirizzi IP usati negli attacchi massivi;
    • Proibire l’uso di un indirizzo email come login;

    Troviamo che gli utenti siano l’obiettivo primario degli attori delle minacce perché sono sfruttabili e non sono molto informati sui problemi di sicurezza in generale. La consapevolezza degli utenti è uno dei pilastri della sicurezza. Red Hot Cyber ha sempre riportato che l’utente è l’elemento più debole della catena.

    Le tecniche di ingegneria sociale sono onnipresenti e si rivolgono agli acquirenti. Sono dannosi e permettono l’appropriazione indebita di fondi e lo sfruttamento delle vittime impersonificandole. 

    Per prevenire meglio i tentativi di truffa attraverso questo canale, si consiglia di rendere gli utenti consapevoli di tutte le potenziali minacce che possono incontrare quotidianamente e di organizzare promemoria regolari creando campagne di sensibilizzazione.

    Disclaimer

    La ricerca svolta da Red Hot Cyber si è basata su siti contenenti dati e numeriche e fonti OSINT e CLOSINT tramite sistemi di threat Intelligence e analisi manuali. La pubblicazione non rappresenta necessariamente lo stato dell’arte della minaccia, data la natura transitoria delle fonti, pertanto ci riserviamo la prerogativa di aggiornamento periodico qualora necessario.

    Red Hot Cyber non è responsabile del contenuto delle fonti esterne citate all’interno di questo documento, compresi i siti web esterni a cui si fa riferimento in questa pubblicazione.

    La presente pubblicazione ha uno scopo puramente informativo e didattico, e ha come focus far accrescere la consapevolezza al rischio da parte di tecnici e operatori specializzati e sarà accessibile gratuitamente senza alcuna forma di paywall. RHC non sarà responsabile se qualche persona agisca per suo conto utilizzando le informazioni contenute all’interno di questo report in modo improprio.

    RHC fornirà agli enti pubblici, qualora siano interessati ad approfondire le minacce riportate all’interno del presente report, ulteriori dettagli per poter intraprendere un percorso di bonifica e di mitigazione del rischio informatico.

    Emanuele De Lucia
    Laureato in Informatica (con master in Computer Security e un master alla Stanford University), ha lavorato come analista nel Security Operation Center (Se.OC o SOC) in una TELCO italiana e nel settore spaziale. Dirige un team internazionale di ricercatori focalizzato sulla Threat Intelligence, sul reverse engineering e la risposta agli incidenti.