Un trojan già noto impara un nuovo trucco: rubare i dati di Active Directory

Il trojan TrickBot è in circolazione da un po' di tempo, identificato per la prima volta nel 2016. Una volta nel sistema bersaglio, utilizza una varietà di moduli che può scaricare per ottenere capacità specifiche. Un ricercatore di sicurezza ha recentemente scoperto che un nuovo modulo di TrickBot, chiamato "ADll", consente al trojan di trovare, accedere ed esfiltrare database di Active Directory memorizzati sui controller di dominio Windows. 

Questo aggiunge una capacità perniciosa, con rischi elevati, a una minaccia informatica già altamente capace.

Malware multi-capace

TrickBot (alias TrickLoader, Trickster) è il prodotto di oltre un decennio di evoluzione delle minacce. Originariamente progettato per rubare dati bancari online, con un elenco in continua evoluzione di siti web bancari online da attaccare. Ma con l'evoluzione, la sua natura modulare gli ha conferito una lista crescente di capacità ed è utilizzato per colpire vittime in diversi settori. È spesso utilizzato per infiltrare il ransomware Ryuk, ma questo è ben lontano da tutto ciò che può fare.

Come un rapporto tecnico completo della Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti afferma:

Gli operatori di TrickBot dispongono di un insieme di strumenti in grado di coprire l'intero framework MITRE ATT&CK, dalla raccolta attiva o passiva di informazioni utilizzabili per supportare l’individuazione degli obiettivi (Ricognizione [TA0043]), fino al tentativo di manipolare, interrompere o distruggere sistemi e dati (Impatto [TA0040]).

Solo alcune delle sue molte capacità:

• Furto di dati email e browser

• Furto di criptovaluta mirato a coinbase.com

• Exploit EternalBlue per movimento laterale

• Configurazione in tempo reale tramite Server di Comando e Controllo (C2)

• Disabilitazione dei controlli di sicurezza

• Crittografia dei dati (malware Ryuk)

Mitigazione del rischio dei dati di Active Directory

Esistono diversi rischi specifici derivanti dall'uso del modulo ADll per identificare ed esfiltrare e/o distruggere i dati di Active Directory.

In primo luogo, offre agli aggressori la possibilità di utilizzare credenziali rubate per espandere molto più rapidamente l'accesso e scoprire obiettivi all'interno della tua rete. Questo significa che hai molto meno tempo per rilevare e bloccare tale attività prima che un payload come ransomware venga attivato.

Inoltre, consente l'impersonificazione, la compromissione delle email aziendali, il dirottamento delle conversazioni e altri tipi di attacchi che possono portare a frodi costose e alla perdita di dati.

Nel caso in cui i dati di Active Directory vengano distrutti (e possibilmente anche rubati), l'interruzione della capacità della vostra organizzazione di operare sarebbe grave e costosa — e probabilmente richiederebbe giorni o settimane per essere completamente risolta.

Infine, si aggiunge al mercato sotterraneo già in crescita di credenziali di rete rubate e altri dati identificativi. Come ho già detto in passato in questo spazio, a volte chiamiamo questa l'era del "post-breach" a causa dell'incredibile vastità di registri di dati rubati (inclusi "fullz") che sono già là fuori, disponibili per l'offerta più alta. 

Il modo migliore per mitigare questi rischi è con una soluzione di sicurezza completa e multilivello che combina:

• Architettura zero trust per ridurre il rischio di accesso non autorizzato alla rete utilizzando credenziali rubate. Questo è significativamente più efficace dell'autenticazione a più fattori (MFA).

• Monitoraggio avanzato dei dati intra-rete e del traffico delle comunicazioni, sfruttando la potenza del machine learning e dell'intelligenza artificiale per rilevare anomalie e potenziali minacce.

• Backup moderno basato su cloud che protegge i dati di Active Directory e consente un rapido e affidabile recupero e ripristino dei dati.

Dai un'occhiata a Barracuda Email Protection e scopri come ottenere queste e altre funzionalità in una piattaforma unica, integrata e facile da usare.