Bitdefender ha messo in guardia come il rootkit Scranos sia una minaccia di livello tale che deve indurre le aziende a migliorare il proprio livello di sicurezza
Una delle principali preoccupazioni delle aziende di oggi è rappresentata dalle minacce sofisticate, e di certo i rootkit sono tra questi.
E’ un fronte che non lascia di certo tranquilli e i malintenzionati si adoperano con solerzia per inventarsi costantemente nuove modalità di attacco per entrare nelle reti sfruttando punti di ingresso non protetti in ambienti che tra cloud e end user mobili sono sempre più complessi.
In proposito il gruppo dei Bitdefender Cyber-Threat Intelligence Labs ha scoperto le complessità alla base di una nuova operazione spyware multipiattaforma conosciuta come Scranos.
Le previsioni relative all’attività di questa campagna basata sullo spyware rootkit Scranos ritengono che avrà la stessa capacità di diffusione dell’adware Zacinlo .
Il nome poetico non deve trarre in inganno. Si tratta, mette in guardia Bitdefender, di uno spyware estremamente sofisticato, attivo in gran segreto sin dal 2012 e che ha fruttato a chi l’ha creato notevoli guadagni e compromesso la privacy delle vittime.
Il punto dolens è che ha ha la capacità di sopravvivere su differenti piattaforme, cosa che gli consente di raggiungere una vasta gamma di endpoint aziendali, soprattutto dispositivi Android,
Un funzionamento particolarmente subdolo
Fingendosi un software o un’applicazione legittima – per esempio lettori di e-book, riproduttori video, driver e con estrema sfacciataggine persino prodotti antimalware, Scranos è parte di un piano più ampio.
I malintenzionati che muovono i fili di Scranos apportano poi costantemente leggere modifiche al software, aggiungendo componenti su dispositivi già infetti e migliorando le funzionalità più mature.
I criminali informatici per infiltrarsi in un’azienda utilizzano come principali punti di ingresso i suoi dipendenti, considerati e non a torto l’anello più debole della sicurezza informatica aziendale, facilmente raggirabili, oppure sfruttano gli strumenti di terze parti quali fornitori aziendali più piccoli o meno protetti.
Poiché si tratta di una campagna basata su rootkit, Scranos è progettato per nascondersi dalla gestione di sistema e potrebbe facilmente disabilitare i firewall e i tradizionali programmi antimalware in base alle istruzioni impartite.
È persistente e sfrutta le funzionalità di cloaking per ripresentarsi anche dopo essere stato rilevato e rimosso.
Dato che l’obiettivo primario è l’esfiltrazione dei dati, la posta in gioco è alta: da problemi legati alla gestione del rischio, al furto di proprietà intellettuale fino al danneggiamento della reputazione di un brand.
Scranos può anche sfruttare l’infrastruttura aziendale per lanciare ulteriori attacchi, cosa che solleva serie preoccupazioni legali e incide sulla reputazione del marchio e, in ultima analisi, sui profitti.
Analizzare l’intero ciclo di vita delle minacce
Il dato di fatto è che per rilevare e bloccare attacchi complessi e contrastare minacce persistenti e mascherate oggi un approccio semplicistico che include firewall e password di otto cifre non è più sufficiente, ciò che è fondamentale, ritiene Bitdefende e si può essere di certo d’accordo con l’azienda, sono funzionalità antirootkit, antiransomware, analisi comportamentale, controllo avanzato delle minacce e machine learning.
Per garantire il livello di flessibilità e scalabilità necessario a soddisfare le esigenze dell’azienda e il crescente numero di “cose” da proteggere, le soluzioni di sicurezza e le attività correlate dovrebbero essere agili. Inoltre, al fine di migliorare il livello di sicurezza generale, le aziende dovrebbero anche perfezionare la loro capacità di rilevamento e risposta alle minacce e prendere in considerazione l’intero ciclo di vita della minaccia.
Gli analisti dei SOC possono ad esempio utilizzare tecnologie che includono le soluzioni Sandbox Analyzer per analisi dettagliate delle minacce sofisticate, Network Traffic Security Analytics per analizzare il traffico di rete e le anomalie del traffico degli endpoint e la tecnologia Hypervisor-based Memory Introspection per identificare le minacce zero-day con la stessa facilità di qualsiasi exploit noto.
L’analisi degli indicatori di compromissione (IoC)
Gli analisti dei SOC, evidenzia Bitdefender, non solo devono bloccare operazione complesse, ma anche comprendere chi sono gli aggressori che le perpetrano, e automatizzare le risposte per diversi vettori d’attacco. Per farlo, devono poter disporre di dati dettagliati per ottimizzare la caccia alle minacce e ridurre il tempo sprecato a rincorrere “fantasmi”.
In proposito, nella loro analisi approfondita del funzionamento del rootkit Scranos, i Bitdefender Cyber-Threat Intelligence Labs hanno scoperto centinaia di indicatori di compromissione unici, inclusi gli hash dei file, i domini, le chiavi di registro, gli indirizzi URL e IP.
La ricerca sul rootkit Scranos è peraltro solo una parte del loro lavoro quotidiano di studio e analisi delle minacce.
Ogni giorno, i soli laboratori Bitdefender analizzano e bloccano circa 600.000 IoC utilizzando diverse tecnologie, tra cui il machine learning, l’euristica avanzata e l’analisi dei contenuti.
Si tratta di numeri e di rischi che devono far pensare, e soprattutto agire.