Il ransomware è un problema enorme, ma questo già si sapeva!
Sia i principianti che i professionisti esperti della cyber-security hanno avuto modo di assistere nell'ultimo anno (e non solo) a una serie di eventi ransomware che hanno devastato le aziende di tutto il mondo. Anche coloro al di fuori della sicurezza informatica ora hanno familiarità con il concetto: criminali dietro una tastiera hanno trovato il modo per entrare nel sistema di un'azienda, prendere i dati dei computer infettati, crittografarli, rendendoli inaccessibili bloccando quindi la normale attività dell’azienda, e chiedendo un riscatto , il “ransom” per ripristinarli.
Mentre le economie di tutto il mondo vacillano sull'orlo del disastro a causa della pandemia COVID-19, l'assalto degli attacchi ransomware nel 2020 ha aggravato la capacità della società civile di portare avanti gli affari come al solito. Aziende grandi e piccole, governi, scuole, ospedali, ecc., sono stati costantemente nel mirino di gruppi criminali clandestini, spesso lasciati con pochissimo ricorso se scoprono che i loro sistemi sono stati bloccati.
Mentre gli incidenti continuano a venire alla luce, ci sono molte cose che il settore della cybersecurity non sa: il volume degli attacchi, il costo medio della riparazione e le aziende che scelgono di rimanere in silenzio una volta che si è verificato un attacco.
Quello che si sa è che i gruppi criminali dietro il ransomware stanno fiorendo, creando nuove varianti e offrendo accesso su mercati clandestini a chiunque abbia accesso alle reti aziendali e desideri fare una notevole quantità di denaro illecito.
L’hacker singolo, nerd e goliardico, è un mito da sfatare, infatti è stato sostituito da vere e proprie organizzazioni strutturate come aziende, ma con finalità cyber criminali e in grado di offrire servizi sempre più virtualizzati ed esternalizzati.
Ci sono quindi gli specialisti (“quelli bravi”) che realizzano i prodotti, in questo caso i ransomware, e ci sarà poi qualcun altro che commercializza questi prodotti a clienti che potrebbero essere anche semplici utilizzatori, non criminali abituali. Persone o organizzazioni che non sarebbero in grado di realizzare da soli l’arma, ma l’acquistano per mettere in atto qualche attività più o meno illegale o addirittura cybercriminale (il ransomware-as-a-service)
I Raas si stanno evolvendo: gli hacker si concentrano sempre di più sullo sviluppo dei programmi, mentre lasciano a soggetti terzi l’individuazione delle vittime e il deploy del software malevolo.
Intel 471 ha monitorato oltre 25 diversi team di ransomware-as-a-service nell'ultimo anno, da gruppi ben noti che sono diventati sinonimo di ransomware, a varianti di nuova formazione che sono passate dai fallimenti del vecchio, a completamente nuove varianti che potrebbero avere la capacità di spodestare le attuali cabale di primo livello.
Un’ulteriore evoluzione è stata l’introduzione di veri e propri programmi di affiliazione: i team di ransomware-as-a-service (RaaS) sono attivamente alla ricerca di affiliati per dividere i profitti ottenuti in attacchi ransomware esternalizzati rivolti a organizzazioni pubbliche e private di alto profilo.
Per gli affiliati accettati nel programma, gli sviluppatori di ransomware ricevono una riduzione del 20-30% e un affiliato riceve il 70-80% dei pagamenti di riscatto che generano.
Per crittografare i sistemi delle vittime, gli affiliati richiederanno appunto i servizi di un hacker che ottiene l'accesso alle reti degli obiettivi, ottiene i privilegi di amministratore del dominio, raccoglie ed esfiltra i file, quindi passa tutte le informazioni necessarie per ottenere l'accesso e crittografa i dati agli affiliati.
I profitti derivanti dai riscatti pagati in seguito a ciascuno degli attacchi verranno quindi suddivisi tra il team di RaaS, gli hacker che hanno violato la rete (compromettente) e l'affiliato ransomware, di solito in parti uguali.
Le gang di ransomware che Intel 471 ha osservato durante lo scorso anno possono essere classificate in tre diversi gruppi (o livelli) in base alla loro notorietà e al tempo per cui sono stati attivi.
Si va da "gruppi ben noti che sono diventati sinonimo di ransomware, a varianti appena formate che sono passate dai fallimenti del vecchio, a varianti completamente nuove che possono avere la capacità di spodestare le attuali cabale di alto livello".
LIVELLO 3: RaaS emergenti
Intel 471 ha verificato la loro esistenza ma al momento non ci sono informazioni limitate su attacchi riusciti, volume di attacchi, pagamenti ricevuti o costi di mitigazione.
LIVELLO 2: Poteri in crescita
La frequenza delle operazioni Raas del livello 2 è aumentata nel corso del 2020 fino a raggiungere un numero maggiore di affiliati e sono state coinvolte in diversi attacchi confermati.
Alcune di questi attacchi hanno utilizzato schemi di estorsione aggiuntivi, come il furto di informazioni sensibili dalle reti delle loro vittime e minacciando di trapelarle a meno che non venga pagato il riscatto. È successo spesso che, a fronte del rifiuto di pagare queste informazioni siano state pubblicate in blog per "nominare e vergognare" (name&shame) le vittime.
I gruppi di ransomware inclusi in questo livello sono SunCrypt, Conti, Clop, Ragnar Locker, Pysa / Mespinoza, Avaddon, DarkSide (ritenuto una scheggia di REvil) e altri.
LIVELLO 1: Most Wanted
Le gang appartenenti al livello1 ransomware sono gruppi che hanno rastrellato con successo centinaia di milioni di persone in riscatti nel corso degli ultimi anni.
Anche in questo caso la stragrande maggioranza di loro utilizza gli schemi di estorsione name and shame.
All’interno del livello 1 troviamo nomi noti come:
DopplePaymer (utilizzato negli attacchi a Pemex, Bretagne Télécom, Newcastle University, Düsseldorf University), Egregor (Crytek, Ubisoft, Barnes & Noble), Netwalker / Mailto (Equinix, UCSF, Michigan State University, Toll Group) e REvil / Sodinokibi (Travelex, aeroporto di New York, governo locale del Texas).
Ryuk è in cima alla classifica, con i suoi payload rilevati in circa uno su tre attacchi ransomware durante l'ultimo anno, tra cui quello recordi di 45$M.
Qui di seguito un po' di storia e curiosità di questi grandi gruppi cyber-criminali
DopplePaymer
DoppelPaymer, in giro dal 2019, è associato al ransomware BitPaymer aka FriedEx. CrowdStrike ha evidenziato alcune somiglianze tra queste varianti, ipotizzando che DoppelPaymer potrebbe essere il lavoro degli ex membri del gruppo BitPaymer.
Il ransomware stesso viene solitamente distribuito manualmente dopo che una rete è stata compromessa e dati sensibili sono stati esfiltrati. Il team di DoppelPaymer gestisce un blog "Dopple leaks" basato su Tor, che viene utilizzato per pubblicare informazioni sulle aziende compromesse e sui dati rubati.
La vittima più conosciuta e discussa del ransomware DoppelPaymer è quella contro la Clinica dell'Università di Düsseldorf nel settembre 2020. Gli attori in realtà volevano prendere di mira l'Università di Düsseldorf e ne hanno parlato nella richiesta di riscatto, ma hanno finito per colpire l'ospedale. Quando gli autori sono stati informati, hanno inviato una chiave digitale per rimettere in funzione l'ospedale.
Egregor / Maze
Il team dietro al ransomware Maze ha annunciato che l’interruzione delle sue operazioni. Si è ipotizzato che gli affiliati di questo gruppo saranno probabilmente incanalati nei servizi dietro Egregor ransomware. Egregor segue un modello familiare nelle sue operazioni: compromettere le reti aziendali per rubare dati sensibili e distribuire ransomware, comunicare con le vittime e richiedere riscatti, quindi scaricare i dati sensibili su un blog quando le organizzazioni delle vittime si rifiutano di pagare il riscatto.
Ci sono prove che Egregor sia anche collegato al ransomware Sekhmet. I ricercatori di Intel 471 hanno scoperto che Egregor conteneva gli stessi dati codificati Base64 di Sekhmet, dove l'ultima riga conteneva parametri aggiuntivi da un sistema compromesso. I ricercatori hanno anche scoperto che le richieste di riscatto di Egregor erano sorprendentemente simili a quelle usate con Sekhmet.
Egregor è stato trovato in incidenti a Crytek, Ubisoft e Barnes & Noble.
REvil
Una delle varianti di ransomware più diffuse sul mercato, le distribuzioni di REvil sono state osservate per la prima volta il 17 aprile 2019, quando gli aggressori hanno sfruttato una vulnerabilità nei server Oracle WebLogic monitorati come CVE-2019-2725. Due mesi dopo, sul forum XSS iniziarono a comparire degli annunci.
REvil è stata una delle gang di ransomware più attive negli ultimi tempi, rivendicando la responsabilità di attacchi come quelli contro il fornitore di servizi finanziari con sede nel Regno Unito Travelex, lo studio legale statunitense di intrattenimento e media Grubman Shire Meiselas & Sacks e 23 governi locali in Texas.
Sebbene il gruppo effettui attacchi da solo, ha scoperto che il modello RaaS porta ad un maggior guadagno. Gli affiliati sono responsabili dell'accesso alle reti di destinazione, del download di file di valore e della distribuzione del ransomware effettivo, mentre la banda REvil gestisce le negoziazioni delle vittime e il ricatto, la raccolta e la distribuzione del riscatto. Questo modello ha apparentemente portato a profitti alle stelle: secondo il rappresentante REvil, i guadagni di un affiliato sono aumentati da circa 20.000 $ a 30.000 $ per obiettivo con un'altra offerta RaaS a circa 7 milioni di $ 8 milioni di $ per obiettivo in soli sei mesi dopo aver unito le forze con REvil.
Ryuk
Il nome "Ryuk" potrebbe senza dubbio essere classificato come sinonimo di ransomware, poiché la variante è una delle più popolari, con un forte programma di affiliazione e un ampio elenco di vittime.
Viene spesso fornito come l'ultima azione nella catena di infezioni causate dall'uso duello della botnet Trickbot e dei malware Emotet.
Gli affiliati seguono un modello nei loro attacchi: assumere attori per lanciare campagne di spam per distribuire il malware bancario dell'attore. Quindi, un altro gruppo di attori conduce attacchi di escalation dei privilegi all'interno di reti aziendali compromesse. Quindi, team composti da un massimo di cinque distribuiscono il ransomware e gestiscono i negoziati con le vittime.
Ryuk è esplosa nell'ultimo anno, responsabile di milioni di incidenti di ransomware in tutto il mondo. Alcuni ricercatori di sicurezza stimano che Ryuk sia stato trovato in un terzo degli attacchi ransomware lanciati quest'anno.
Una delle maggiori minacce di Ryuk quest'anno si è concentrata sul settore sanitario. L'attacco che ha attirato maggiormente i titoli dei giornali è stato l'attacco alla Universal Health Services, uno dei più grandi sistemi ospedalieri degli Stati Uniti.
