Social Media Ransomware: concept



Questo post ha piu' di sei mesi. Le informazioni contenute potrebbero non essere aggiornate: ultima modifica: 16.01.13

I Social Media sono un universo complesso e così come presentano delle opportunità espongono anche a dei pericoli. Ad esempio il ransomware. È possibile prendere in ostaggio una pagina Facebook o un account twitter? Sarebbe difficile da realizzare? E nel caso, quali sono i pericoli che si potrebbero correre e le contromisure per mitigare questa possibilità? Vediamo come questa tipologia di attacco, il ransomware, possa essere realizzata per lo meno in linea teorica.

Cybercrime e Ransomware

Prima di addentrarci nell’analisi di questo tipo di attacco è necessario disegnare velocemente lo scenario di riferimento del cybercrime e definire il ransomware. Sarà una sintesi piuttosto brutale e spero che i puristi mi perdonino (su questi temi sono stati scritti libri e libri, solo la parte sull’evoluzione della figura dell’hacker richiederebbe un’accurata discussione, ma il tempo è tiranno).

CaaS: (cyber)Crime as a Service

Partendo dagli albori gli hacker erano persone curiose che volevano semplicemente superare delle sfide intellettuali (e fortunatamente questa categoria non si è estinta). Tuttavia, a partire circa dalla fine del secolo scorso (fissiamo come data il 2000) entrano in scena i soldi: non si viola un sistema informatico solo per dimostrare di essere in grado, non si fa qualcosa perché si è curiosi, adesso alcune persone lo fanno spinte dal profitto.

I soldi entrano in gioco, internet di diffonde, il numero degli utenti aumenta: c’è un mercato da esplorare ed è proprio a questo punto che le cose si fanno interessanti. Nell’immaginario collettivo, un cybercriminale, è un ragazzo con problemi sociali che vive rinchiuso in uno scantinato immerso tra gli schermi e junk food: kingpin disadattato versione matrix. Mi spiace rompere l’idillio romantico ma non è così.

La domanda fondamentale diventa: perché mai dovrei rischiare in prima persona, quando posso vendere i miei servizi, i malware che scrivo, le informazioni che ho raccolto e guadagnare molto di più? Qual è il modello di business che posso sviluppare? E il crimine diventa un servizio (non facilmente accessibile, ma per chi sa cercare ci si arriva). Ma per ottenere risultati devono cambiare anche gli attacchi.

A cambiare in maniera radicale non sono solo le strutture, ma anche le minacce: se diciamo malware, la maggior parte delle persone pensa a un qualcosa che danneggia il computer e che mostra delle schermate con i teschi distruggendo tutto quello che abbiamo sul nostro computer. Ma se devo vendere un servizio o raccogliere informazioni, devo fare in modo che l’utente non si accorga dell’attacco il più a lungo possibili  e diventare invisibile. Attacchi trasparenti e servizi

Dopo la consumerizzazione dell’IT arriva quindi quella del cybercrime: nasce nel 2001 carder planet, nel 2005 cardersmarket: hai bisogno di uno skimmer? vuoi clonare un bancomat, vuoi comprare una carta di credito? Perché fare fatica? sul sito puoi trovare tutto quello che fa al caso tuo. Nel 2006 arriva RBN (Russian Business Network) dove puoi noleggiare una botnet, comprare pacchetti per il phishing, malaware etc. Ci sono organizzazioni criminali estremamente strutturate e con compiti specializzati: c’è chi scrive solo codice, ci sono gli acquirenti, c’è chi ricicla i soldi (o li reinveste) e via dicendo (ovviamente c’è anche tutta la parte dedicata alle FAQ e alla customer care) [nota]Per approfondire tutta la storia delle piattaform [/nota].

Cosa vuoi comprare? C’è n’è per tutti i gusti

  • Basic crypter (for inserting rogue code into a benign file) $10-30
  • SOCKS bot (to get around firewalls): $100
  • Hiring a DDoS attack: $30-70 for a day, $1,200 for a month
  • Email spam: $10 per one million e-mails
  • Expensive email spam (using a customer database): $50-500 per one million e-mails
  • SMS spam: $3-150 per 100-100,000 messages
  • Bots for a botnet: $200 for 2,000 bots
  • DDoS botnet: $700
  • ZeuS source code: $200-$500
  • Windows rootkit (for installing malicious drivers): $292
  • Hacking a Facebook or Twitter account: $130
  • Hacking a Gmail account: $162
  • Hacking a corporate mailbox: $500)
  • Scans of legitimate passports: $5 each
  • Winlocker ransomware: $10-20
  • Unintelligent exploit bundle: $25
  • Intelligent exploit bundle: $10-3,000
  • Traffic: $7-15 per 1,000 visitors for the most valuable traffic (from the US and EU)

Oggi i Social Media rappresentano un terreno particolarmente fertile per molte attività: gli utenti sono tanti e sono distratti, tendono a cliccare su qualunque cosa (“clicca sulla scena censurata del porno si XXXX”), usano la stessa password per tutto, lasciano i profili aperti e molto altro. Le tre grandi sfide della sicurezza nei prossimi anni saranno mobile, cloud e social (non necessariamente in quest’ordine).

Il ransomware

Il ransomware (ransom = riscatto) è un particolare tipo di programma appartenente alla famiglia dei malware (malicious software): in estrema sintesi, impedisce all’utente di accedere a determinate risorse del suo computer qualora non venga pagato una certa cifra (il riscatto). È la variante moderna dell’estorsione.

Se guardiamo la storia del ransomware inizialmente possiamo trovare una prima modalità molto semplice: un attaccante s’introduceva in un sistema informatico aziendale e criptava le informazioni. In questo modo la vittima manteneva il possesso delle informazioni (non avviene infatti un furto o una sottrazione 1), ma queste non erano più utilizzabili: per fare in modo che i dati tornassero disponibili si pagava il riscatto all’attaccante in modo da ottenere la chiave per sbloccare le risorse. Ovviamente nulla garantiva che successivamente i dati non sarebbero stati criptati nuovamente.

A questa prima versione aziendale (più b2b) l’attacco si sposta in ambito consumer (b2c). Il meccanismo di funzionamento è piuttosto semplice: un utente, navigando su siti compromessi o cliccando su banner comprati allo scopo o seguendo link non sicuri installa (sempre in maniera inconsapevole e trasparente) il software sul proprio computer. A questo punto il malware si attiva.

  • Aggiornamento a pagamento: una schermata che sostiene che l’utente, per continuare a usare il computer deve comprare un aggiornamento.
  • Multa per violazione di copyright: viene notificata una multa per violazione del diritto d’autore. Qualora l’utente non paghi la multa da 100-200$ si procederà con l’arresto. Questo è quello che al momento ha la maggiore diffusione ed efficacia: la maggior parte degli utenti ha infatti scaricato del materiale i(torrent, emule o altro) e non trova inverosimile una notifica di questo tipo.
  • Materiale pornografico permanente: continua ad apparire sullo schermo materiale pornografico. Per rimuoverle è necessario inserire un codice.

Anche in questo caso, una volta che l’utente ha pagato la somma (tra 50 e 450$) non c’è garanzia che effettivamente il computer venga sbloccato o che il malware venga effettivamente rimosso.

ransomware sample

Vediamo che esistono diverse versioni, oltretutto molto vicine allo scareware 2 e questo tipo di attività è decisamente profittevole (ovviamente, altrimenti le organizzazioni criminali farebbero altro). Secondo uno studio di Symantec il 2,9% degli utenti paga: il profitto stimato nel terzo trimestre del 2012 legato al ransomware oscilla tra un minimo di 750.000€ e 1.500.000 €. Il mercato del ransomware (è possibile comprare i vari malware come abbiamo visto nella parte sul CaaS) è, purtroppo, in crescita 3.

Social Media Ransomware

Andiamo ora ad osservare e sintetizzare in che modo è possibile prendere in ostaggio le social media properties aziendali. Ovviamente non scenderò nel dettaglio descrivendo passo a passo tutte le procedure né elencando i tool disponibili per farle (anche per evitare che qualcuno decida di provare: non sono attività legali, quindi evitate anche solo di “provare per gioco”).

Identificazione dei target

Il target di questo attacco sono principalmente due: le aziende o, dato che la gestione dei social media è spesso appaltato all’esterno, le agenzie di comunicazione. Un attaccante a questo punto può creare una prima lista di obiettivi potenziali.

A livello generale il target più vantaggioso è rappresentato dall’agenzia di comunicazione e i suoi dipendenti: i community manager normalmente gestiscono infatti più presidi ufficiali contemporaneamente e generalmente le misure di sicurezza sono più lasche mentre l’azienda ne gestisce solo uno (il proprio) e le policy (in teoria) sono presenti così come le misure di sicurezza.

Attraverso un’analisi elementare su Google è possibile decidere quali sono le agenzie di comunicazione, quali sono i clienti valutare quali, potenzialmente sono le più profittevoli. Una volta condotta questa prima fase di ricognizione e dopo aver stilato una prima lista di obiettivi, un attaccante può procedere all’identificazione dei target specifici.

In questo caso uno dei metodi più semplici è utilizzare linkedin: è possibile sfruttare sia la funzione di search che le company page. In questo modo è possibile creare un elenco dei dipendenti ed individuare i community manager.

Selezione dei target

Una volta identificati i potenziali target, la fase successiva consiste nella selezione degli obiettivi dell’attacco: in questo caso gli account su linkedin con profilo completamente aperto (e con il collegamento agli altri profili) sono in cima alla lista: se una persona non configura in maniera troppo attenta i parametri di privacy del proprio account su Linkedin è probabile che anche gli altri account siano aperti (o che non siano completamente chiusi). Oltretutto, grazie a uno degli account aperti, in molti casi è possibile scoprire come sono costruite le email aziendali. Tutto questo può essere fatto a mano o automatizzato.

Utilizzando il nome, la fotografia, il nickname è possibile procedere con la riconciliazione degli altri account e creare un dossier digitale con tutte le informazioni da usare per l’attacco vero e proprio. Anche in questo caso in cima alla lista ci sono gli utenti con configurazione della privacy completamente lasca: un numero elevato di account e una scarsa protezione delle proprie informazioni può indicare l’uso di una password uguale per tutti i presidi (una volta quindi ottenuto l’accesso al primo diventa possibile prendere possesso di tutti gli altri).

Scelti i target più vulnerabili l’attaccante può procedere all’attacco vero e proprio e le possibilità sono le più disparate.

  • Una delle opzioni più banali è un attacco diretto a bruteforce verso gli account selezionati  utilizzando uno dei tanti tool disponibili online. In modo da facilitare il compito è possibile usare uno dei tanti dizionari che si possono trovare in rete (password più comuni, dizionari italiani,  credenziali comuni su Facebook) integrandoli con le informazioni raccolte in precedenza.
  • Una seconda opzione consiste in un attacco di spear phishing altamente contestualizzato. Grazie alle informazioni raccolte nella prima fase non è difficile creare una mail appetibile: a seconda dell’attacco potremo o far eseguire un file al target o fare in modo che navighi su un sito precedentemente compromesso. In questo caso parliamo di APT (advanced persistent threat). Ulteriori varianti su questo tema possono essere sviluppate sui Social Media. Con la giusta dose di Social Engineering è possibile entrare in relazione con il nostro target e, via messaggio privato, mandare o l’eseguibile o il link malevolo (come via mail). Una ulteriore variante (particolarmente interessante e non troppo complessa) è rappresentato dalla creazione di Social ADV specifico che conduca l’utente al sito malevolo: pubblicità sulla squadra del cuore, sull’ultimo vestito alla moda, sull’offerta che stavamo aspettando… con le informazioni raccolte in precedenza il messaggio è mirato sui nostri interessi e, una delle funzioni più interessanti messe a disposizione da Facebook, è la possibilità di definire anche l’azienda del target [nota]Probabilmente il nuovo search graph permetterà di ottenere ancora più informazioni[/nota].Profilazione aziendale Facebook
  • In questi due casi sono comunque necessarie delle competenze tecniche (più o meno ampie) e un considerevole investimento in termini di tempo: in ogni caso, come abbiamo visto sopra, è possibile pagando 130$ e ottenere senza sforzo le credenziali. In questo caso vale sempre la regola economica: è più conveniente acquistare delle credenziali da qualcuno oppure configurare un tool, il dizionario, preparare lo spear phishing etc?

Sicuramente il secondo attacco permette di ottenere un controllo completo sulla macchina del nostro obiettivo e di estendere l’infezione a tutta la rete aziendale. Tuttavia, nella maggior parte dei casi, la sola login di Facebook è sufficiente per ottenere il controllo sugli altri canali e quindi per portare a termine l’attacco.

Vulnerabilità

Estrinseche

Si tratta di vulnerabilità sulle quali l’azienda può esercitare un certo grado di controllo e mettere in campo alcune strategie di mitigazione. In questo caso si tratta di vulnerabilità collegate agli elementi direttamente collegati all’azienda (software, hardware, middleware, wetware) inclusi nei vari processi. In questo caso ci concentreremo sul fattore umano (wetware): in molti casi infatti la diffusione delle pratiche di BYOD rende estremamente complesso il controllo sui device usati dai dipendenti ed è opportuno, a mio avviso, concentrarsi sulle persone per mitigare i rischi.

Bias cognitivi propri degli esseri umani

  • Gli attaccanti conoscono bene alcune degli errori cognitivi che inducono le persone a reputare come credibili o interessanti link, informazioni e update.
  • L’uso dei social media viene vissuto come naturale dagli utenti e soprattutto, più che come spazi aperti, questi vengono considerati come stanza chiuse e sicure nelle quali è possibile comunicare solo ed esclusivamente con i propri contatti.
  • Associato alla scarsa conoscenza dei mezzi gli utenti trascurano spesso i pericoli legati all’uso della tecnologia e in particolare dei Social Media.
  • Gli asset intangibili vengono valutati e trattati in maniera molto più superficiale rispetto ai beni fisici. Il problema principale risiede nel fatto che il valore delle informazioni non dipende dal singolo elemento, ma dalla connessione di tutti i dati diffusi.

Scarsa conoscenza dei mezzi

Poca consapevolezza degli attacchi

Basso valore delle informazioni

Intrinseche

Alcune minacce sono legate non tanto a comportamenti degli utenti ma a problemi delle piattaforme e sulle quali l’azienda quindi non può esercitare alcuna forma di mitigazione o controllo.

Impossibilità di eliminare i contenuti

  • A causa dell’eterogeneità delle policy e dei TOS delle varie piattaforme e della loro continua evoluzione è possibile che, una volta caricato del materiale su un Social Media l’azienda ne perda il controllo rendendo di fatto impossibile la cancellazione. Questo vale anche per le informazioni personali. In molti casi oltretutto, quando una persona estranea condivide il contenuto, la duplicazione rende impossibile sia la cancellazione che l’eliminazione.
  • Le modalità di autenticazione sui Social Media sono estremamente deboli: a causa del proliferare delle piattaforme gli utenti tendono a replicare le stesse combinazioni nome/mail e password. In molti casi è possibile che per ragioni di semplicità utilizzino la mail di lavoro.
  • L’unica validazione fatta durante la registrazione riguarda l’email che deve essere attiva: non vi sono ulteriori processi e questo ovviamente porta alla diffusione di profili falsi.
  • I protocolli di comunicazione possono essere usati per ottenere diverse informazioni che un attaccante può sfruttare per identificare delle potenziali vulnerabilità del sistema usato dal target.
  • La “presence” (presenza segnalata dai sistemi di messaggistica istantanea e chat) fornisce informazioni rilevanti a un’attaccante sulle abitudini della vittima e rappresenta un ottimo sistema per sfruttare delle vulnerabilità mentre la vittima è lontana dal computer.
  • In alcuni casi gli utenti sono attenti alle informazioni che condividono e alle impostazioni di sicurezza dei propri account sui Social Media, tuttavia non hanno controllo sui propri contatti (amici e follower) che possono condividere informazioni su di essi.

Metodi di autenticazione deboli

Non validazione delle informazioni

Diffusione dati di navigazione

Diffusione dati d’informazioni fatte da terzi

Exploit

Dato che si tratta di azioni che vengono innescate da comportamenti degli utenti in questo caso possiamo identificare due metodologie di exploit principali come detto in precedenza: driven by download e web exploit

Attacco

Una volta ottenuto l’accesso l’attaccante può, nel caso di Facebook, aggiungere un amministratore alla pagina bersaglio (creato ad hoc per l’azione) e rimuovere gli altri utenti (incluso quello del target). Su Twitter è sufficiente modificare la password d’accesso e il collegamento con eventuali applicazioni di gestione.

L’attacco in questione ha tempi molto rapidi (in modo da evitare il ripristino della normalità da parte di Facebook o Twitter o del gestore della piattaforma presa in analisi).

L’attaccante ha a questo punto il possesso del presidio e può mettere in pratica diverse minacce.

  • Cancellazione della pagina/profilo: la versione più semplice dell’attacco. In caso di mancato pagamento la pagina e i contenuti vengono eliminati. Va da sé che in mancanza di backup sono da considerarsi persi tutti gli investimenti fatti nella pagina
  • Pubblicazione di materiale osceno o contrario ai ToS: tramite l’account ufficiale vengono pubblicate immagini contrarie ai termini di servizio (cosa che può comportare la chiusura dell’account)
  • Diffusione di malware: pubblicando un finto update (giveaway o buono sconto da 50€ la soluzione ideale) può indurre un numero particolarmente elevato di utenti a cliccare un link malevolo
  • Diffusione di notizie false e diffamazione: vengono pubblicate notizie false o attacchi ai concorrenti. Immaginate quale danno potrebbe fare un’affermazione fatta dalla pagina ufficiale “nel prodotto xxx sono state rinvenute tracce di veleno per topi: riportatele urgentemente nel punto dove l’avete acquistato” o un’accusa verso un competitor (violazione della 231/01 annessa)

Vediamo quindi che i danni principali sono economici e d’immagine e di reputazione: dimostrare poi che l’account è stato compromesso (e che quanto detto dall’account ufficiale non corrisponde al vero) potrebbe non essere così semplice. Sicuramente la diffusione di malware e la diffusione di notizie false sono gli elementi più pericolosi e che potenzialmente possono provocare i danni maggiori.

Qualora poi si riesca anche a mitigare le conseguenze dell’attacco, in ogni caso ci saranno delle ripercussioni d’immagine importanti.

Contromisure

In questo caso l’elemento sul quale intervenire in maniera importante per ridurre la propria esposizione sono le persone (come nella maggior parte dei casi) è fondamentale agire a livello di consapevolezza (awareness interna) e formazione 4.

Da questo punto di vista gli elementi cardine sono le policy e le guidelines: in un caso possiamo infatti normare i comportamenti sul posto di lavoro e nel secondo cercare di indirizzare le attività personali degli utenti (un elemento molto delicato). Dobbiamo cercare di rendere consapevoli gli utenti perché in questo caso la minaccia non riguarda un elemento aziendale ma un account personale usato per finalità di lavoro (oltretutto in molti casi la gestione dei Social Media avviene da computer e smartphone personali sui quali è difficile assicurare un adeguato livello di sicurezza)

I social media sono un universo meraviglioso, ma sono la punta dell’iceberg: le cose oscure che si possono fare sono innumerevoli (e tutte molto interessanti e, in alcuni casi, particolarmente divertenti)

[hr]

Featured image: our beautiful ransom note Photo by Buster Benson – http://flic.kr/p/zMVhU

Note:

  1. La differenza tra furto e sottrazione è semplice: nel caso di furto il proprietario non ha più l’oggetto (materiale o immateriale), nel caso di sottrazione il proprietario mantiene il possesso dell’oggetto, ma anche una persona non autorizzata possiede quell’oggetto (in questo caso ci spostiamo più nell’ambito immateriale)
  2. scare = spavento 
  3. Per chi vuole qui c’è il report completo:  
  4. Ovviamente sono necessarie anche contromisure hardware e software ma senza un’adeguata formazione e consapevolezza il rischio è quello di ottenere un falso senso di sicurezza, decisamente pericoloso
1 reply

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Leave a Reply