Cosa sappiamo di Nitrogen, il ransomware a cui piace la finanza

La predilizione di Nitrogen per il settore finanziario

Entrato ufficialmente nel panorama delle minacce il 30 settembre 2024, Nitrogen ha lasciato tracce del proprio passaggio nell’industria manifatturiera e in quella dell’intrattenimento.

Con il passare delle settimane, pure rimanendo fedele alle proprie origini, ha preso di mira anche la finanza. Tra il mese di settembre e il mese di novembre del 2024 il gruppo Nitrogen ha avuto accesso alle infrastrutture della SRP Federal Credit Union, cooperativa finanziaria della Carolina del Sud, esfiltrando 650 GB di dati relativi a circa 240mila clienti.

Come vedremo più avanti, grazie al supporto dell’ingegner Pierluigi Paganini – Ceo Cybhorus e direttore dell’Osservatorio sulla Cybersecurity Unipegaso – non ha senso cedere agli allarmismi. Il settore finanziario è sostanzialmente sicuro.

Cosa sappiamo di Nitrogen

Appurato che usa tecniche di doppia estorsione, ha tra le proprie caratteristiche l’offuscamento del codice tramite stack strings, ossia una tecnica usata per nascondere stringhe di testo tra le quali, per esempio, comandi di sistema, nomi di API e URL utili anche al rilevamento da parte dei sistemi di security.

Parallelamente, sempre con l’obiettivo di non essere intercettato, Nitrogen attua il rilevamento dei debugger, ovvero verifica se è in corso un’analisi di cyber security in un ambiente controllato (tipicamente di debugging oppure sandboxing).

Fa leva sulle vulnerabilità del driver truesight.sys per disattivare antivirus e strumenti di rilevamento, modifica le chiavi di registro e pianifica attività di sistema per mantenersi in stato di persistenza.

Dopo avere cifrato i file rilascia una nota di riscatto con le istruzioni da seguire entro 3 giorni per pagare il riscatto, pena la pubblicazione dei dati esfiltrati.

I vettori di infezione

Nitrogen sfrutta campagne di malvertising su motori di ricerca e indirizza gli utenti verso siti fraudolenti che offrono versioni malevole di software legittimi.

Una volta installato il software compromesso, il ransomware si attiva cifrando i dati e, come detto, stabilendo una presenza persistente nel sistema.

Le Misure di mitigazione

Le misure sono sempre le medesime, a partire dall’uso di password robuste e dall’implementazione di autenticazione a più fattori.

In aggiunta è consigliabile disporre di sistemi per la sicurezza, tra i quali vanno annoverati:

A corredo, oltre alla canonica applicazione tempestiva delle patch di sicurezza, ritorna il ruolo centrale della formazione del personale che fa da collante all’efficienza di tutti i sistemi di cyber security.

La cybersecurity nel settore finanziario

Come noto, il comparto finanziario è storicamente al centro delle incursioni del cyber crimine perché concentra dati e denaro. Si può obiettare che anche le industrie e le strutture sanitarie dispongono di denaro e di dati (tra l’altro tra i più sensibili in assoluto) e altrettanto vale per le multinazionali di qualsivoglia settore.

Tuttavia, questo non mette in discussione la resilienza delle aziende finanziarie perché, come spiega l’ingegner Paganini: “Il settore finanziario è tra i comparti più resilienti, proprio perché è da sempre un bersaglio privilegiato per gruppi criminali e attori nation-state. Le banche, le assicurazioni e le fintech investono ingenti risorse in tecnologie di sicurezza avanzate, monitoraggio continuo, compliance regolamentare (per esempio PSD2, DORA, eccetera), attività di red penetration testing per valutare la sicurezza dei loro servizi”.

I motivi per i quali il settore finanziario è preso di mira

Le ragioni, analizzate da Pierluigi Paganini, sono molteplici ma nessuna di queste coincide con una particolare debolezza del settore: “Esistono diversi fattori, in primis l’immediato alto profitto in caso di attacchi con successo. Colpire una banca o una piattaforma di trading può generare ritorni economici diretti (transazioni non autorizzate) o indiretti (per esempio, insider trading).

Altro fattore è l’ampia superficie ampia delle aziende che operano in questo settore. App mobile, API, servizi online, ATM, operatori umani e complesse catene di fornitura aumentano le opportunità per gli attaccanti.

Infine, per sua natura il settore è fortemente interconnesso, una falla in un piccolo operatore può propagarsi nell’intero sistema con un effetto domino dalle conseguenze imprevedibili.

In conclusione, possiamo asserire che il settore non è debole, ma essendo redditizio e complesso è costantemente sotto attacco”.

L’uomo al centro della cyber security

Nell’equazione della cyber security ci sono molte incognite. Tra queste la più importante è sempre quella relativa all’uomo e quindi alla cyber cultura. Nessun sistema di difesa, per quanto efficace, rende al massimo del suo potenziale se l’operatore umano non è consapevole dei rischi e delle criticità: “L’efficienza massima di qualsiasi sistema di cyber security si raggiunge solo quando alla tecnologia si affianca una corretta formazione del personale. La tecnologia da sola non basta.

Firewall, antivirus, EDR, sistemi di autenticazione a più fattori… sono fondamentali, ma non possono prevenire un clic sbagliato di un link in una email di phishing, o un errore umano nella gestione di un accesso. La maggior parte degli attacchi sfrutta il fattore umano. La formazione crea consapevolezza nella minaccia. Un personale consapevole può riconoscere le minacce tempestivamente, seguire procedure corrette, e sapere come reagire.

La sicurezza è un processo continuo, non una soluzione tecnologica. In quanto tale evolve, così come le organizzazioni. Di pari passo devono evolvere i programmi di formazione”, conclude l’ingegner Paganini.