Ci colleghiamo a un sito Web affidabile e frequentatissimo. Dopo una manciata di secondi, però, sul nostro computer compare un avviso e ci ritroviamo con un ransomware impegnato a crittografare tutti i nostri file. Che diavolo è successo? Molto probabilmente ci siamo imbattuti in Nuclear.
Attivo fin dal 2010, Nuclear è un Exploit Kit, cioè un sistema che permette di individuare e sfruttare le vulnerabilità di un computer per installare un qualsiasi tipo di malware. I dettagli della rete Nuclear sono ora disponibili in due report pubblicati da Check Point.
A gestirlo sarebbe un’organizzazione criminale di origine Russia e insediata nell’Est Europa. A confermarlo sarebbe anche l’attenzione usata dai cyber-criminali nella scelta delle aree geografiche in cui agire: esaminando il moro modus operandi si nota che evitano accuratamente di colpire nei territori in cui hanno la loro base operativa.
Un accorgimento, questo, abbastanza comune nell’ambiente del crimine informatico. Infastidire le autorità locali, infatti, potrebbe portare a qualche noia di troppo.
Oltre a essere un vero veterano tra gli Exploit Kit, Nuclear è anche uno dei più insidiosi. Per portare a termine il suo compito, infatti, non ha nemmeno bisogno di “convincere” la vittima ad aprire un allegato o fare clic su un collegamento particolare. Basta che quest’ultima visiti una pagina compromessa e il gioco è fatto.
Il metodo utilizzato è quello degli iFrame e del redirezionamento del traffico. Semplificando, la vittima viene dirottata a sua insaputa su una URL creata ad hoc per sfruttare la vulnerabilità più efficace e avviare l’installazione del malware.
Secondo gli analisti di Check Point, gli attacchi di Nuclear hanno una percentuale di successo del 9,95%. Considerato che nell’ultimo mese l’Exploit Kit sarebbe stato utilizzato per portare più di 1,8 milioni di attacchi, in 30 giorni avrebbe permesso di compromettere poco meno di 200.000 computer.
Ma come funziona nella pratica un Exploit Kit del genere? Il report di Check Point ne analizza il funzionamento e offre un quadro davvero disarmante.
La struttura di Nuclear è piuttosto complessa ed è composta da un server principale che comunica costantemente con un certo numero di server secondari o “Nuclear Panel”. Sono questi ultimi a essere utilizzati dai pirati che portano effettivamente gli attacchi, sfruttando una cerchia più “esterna” di server che ospitano le pagine in cui è contenuto il codice malevolo.
Il principio, in pratica, è quello del “Malware-as-a-Service” o, più prosaicamente, del noleggio: per qualche migliaio di dollari al mese chiunque può avere accesso a un sistema che permette di distribuire qualsiasi tipo di malware utilizzando gli exploit più recenti ed efficaci.
Il server principale è in grado di monitorare l’attività di tutti i server secondari e ha anche il compito di distribuire gli aggiornamenti (il controllo avviene ogni 5 minuti) con i nuovi exploit disponibili.
Vista dalla prospettiva di chi acquista i servizi di Nuclear, la procedura è ridicolmente semplice. Acquisite le credenziali di accesso a uno dei server, ci si trova davanti a un sistema di controllo con tanto di interfaccia grafica che può essere gestito con la massima facilità, anche impostando l’accesso per utenti nel caso in cui si voglia, per esempio, subaffittare il servizio a un “collega”.
Il sistema di controllo permette di caricare i malware che si intendono distribuire, visualizzare le statistiche relative al numero di computer compromessi, controllare se gli antivirus sono in grado di individuare il malware e pianificare con cura qualsiasi altro aspetto della campagna di distribuzione, compreso il sistema operativo e le caratteristiche dei potenziali bersagli.
L’aspetto più impressionante di tutto il sistema è il livello di efficienza garantito dalla struttura di Nuclear. Le impostazioni permettono, ad esempio, di prevedere un controllo periodico per verificare se esistano nuove versioni del malware distribuito, controllando anche ogni 10 minuti il sito scan4you.org per verificare se sia stato individuato dagli antivirus.
La gestione delle pagine Web infette è affidata a un ulteriore livello di server, che comunicano con il resto della rete Nuclear e utilizzano un complicato sistema casuale per generare URL e pagine in modo da impedire alle società antivirus di individuare uno schema e bloccarne la diffusione.
Stando a quanto affermato da Check Point, in seguito alla pubblicazione dei report i gestori di Nuclear sembrerebbero aver sospeso qualsiasi attività. Ma non si sa mai...