Introduzione alla backdoor Betruger
I recenti sviluppi nel campo della sicurezza informatica hanno portato alla luce una nuova minaccia: la backdoor Betruger. Questa backdoor, scoperta dai ricercatori di Symantec, è stata utilizzata durante attacchi orchestrati dagli affiliati a RansomHub, un noto Ransomware-as-a-Service (RaaS). Ciò che rende Betruger particolarmente insidiosa è la sua natura multifunzione, che consente ai cybercriminali di eseguire una serie di operazioni senza dover ricorrere a strumenti distinti, riducendo così il rischio di essere rilevati.
Funzionalità e modalità d’azione
Betruger si distingue per la sua versatilità. Tra le sue funzionalità principali troviamo la possibilità di scattare screenshot, registrare i tasti premuti (keylogging), inviare file al server di comando e controllo (C2), effettuare scansioni della rete, ottenere privilegi elevati e rubare credenziali.
Questa gamma di operazioni consente ai criminali informatici di raccogliere informazioni preziose prima di installare il ransomware vero e proprio sul sistema della vittima. L’installazione del ransomware rappresenta infatti l’ultimo stadio dell’attacco, dopo che i criminali hanno già ottenuto l’accesso e raccolto dati sensibili.
Distribuzione e inganno
La backdoor Betruger viene distribuita sotto nomi ingannevoli come mailer.exe e turbomailer.exe, ma in realtà non offre alcuna funzionalità di posta elettronica. Questo stratagemma è progettato per confondere gli utenti e facilitare l’infiltrazione nei sistemi target. Recentemente, Betruger è stata utilizzata da affiliati a RansomHub, un gruppo di cybercriminali noto come Greenbottle, attivo dal febbraio 2024. Tra le vittime di questi attacchi c’è anche il Bologna FC, un chiaro segnale della gravità della minaccia.
Tecniche di evasione e strumenti utilizzati
Per disattivare le soluzioni di sicurezza esistenti, i criminali informatici spesso ricorrono a tecniche come il BYVOD (Bring Your Own Vulnerable Driver). Questo approccio consente di sfruttare vulnerabilità già presenti nel sistema per eludere i controlli di sicurezza. Inoltre, gli attaccanti utilizzano una varietà di strumenti, molti dei quali sono open source, come Impacket, Stowaway Proxy, Rclone, ScreenConnect, Mimikatz, NetScan, Atera, Splashtop e TightVNC. Questi strumenti, combinati con la versatilità di Betruger, rendono gli attacchi ransomware sempre più sofisticati e difficili da prevenire.
