skip to Main Content

Cyber Security, perché il Ransomware è tornato di moda

Cyber Security, Perché Il Ransomware è Tornato Di Moda

di Pierguido Iezzi

L’ultimo biennio è stato dominato dal ritorno del Ransomware come metodo di attacco preferito del cybercrime

L’ultimo biennio è stato decisamente dominato dal ritorno del Ransomware come metodo di attacco preferito dai Criminal Hacker. Non sembra passato molto tempo però da quando questo Malware sembrava sulla via del tramonto, parliamo del 2018, a favore di modelli di cybercrime meno disruptive, ma ugualmente remunerativi: il Criptojacking. Dobbiamo sempre ragionare che i criminali cibernetici ragionano su una base di Risk-Reward non troppo dissimile a quella che troviamo nel mondo del business “in chiaro”: per un breve periodo utilizzare i Criptojacker, che ottengono di nascosto il controllo dei computer senza che i loro proprietari lo sappiano e li trasformano in piattaforme di estrazione bitcoin, aveva soppiantato i Ransomware in cima alla classifica dei metodi più redditizi.

Perché questo tipo di malware è di nuovo in auge

Negli ultimi due anni, tuttavia, il Ransomware è tornato a dominare, ma perché? Ci sono due fattori principali dietro questa risalita. Il primo riguarda i capricci dei prezzi della moneta digitale. Moltissimi Criptojacker usavano i computer delle loro vittime per estrarre la valuta open source Monero. Con i prezzi della cryptocurrency in calo, a un certo punto i Criminal Hacker si erano resi conto che la sua estrazione non sarebbe stata così conveniente come il Ransomware come il riscatto. E poiché gli aggressori avevano già compromesso le macchine e la cyber security delle loro vittime con i downloader di Trojan, è stato semplice lanciare un attacco Ransomware al momento giusto. Il secondo è che sempre più attacchi si concentravano sul colpire i server di produzione contenenti dati mission-critical. Non è sbagliato pensare che ottenendo l’accesso a un computer portatile a caso, un’organizzazione potrebbe non curarsene più di tanto. Ma se l’infezione arriva ai server che alimentano le loro attività quotidiane, questa ha molto più potere.

Attacchi mirati con una buona capacità laterale avvantaggiano il deploy dei Ransomware, tra vecchie conoscenze e new entry

Naturalmente mettere in piedi questo tipo di cyber attacchi richiede una maggiore sofisticazione – non necessariamente in termini del codice ransomware in sé, ma nelle competenze necessarie agli aggressori per infiltrarsi nei sistemi per installare il malware. Una tattica del tipo spray and pray non darà loro un grande ritorno sull’investimento. Attacchi più mirati con una buona capacità di movimento laterale li faranno arrivare al bersaglio, e il più delle volte il movimento laterale non è automatico. Si tratta in realtà di guadagnare punti di intrusione iniziali e poi andare avanti manualmente fino a riuscire a portare al termine la fase di Deploy del Ransomware. Il ritorno in auge di questo malware ha quindi riportato alla luce vari tipologie di Ransomware, tra vecchie conoscenze e new entry. Vediamo quali sono i più noti:

Ryuk

Ryuk è stato uno dei protagonisti del 2018-2019, con le sue vittime scelte appositamente tra organizzazioni con poca tolleranza per i tempi di inattività, tra cui quotidiani online e un’azienda idrica del North Carolina, negli Stati Uniti, alle prese con le conseguenze dell’uragano Florence. Il Los Angeles Times ha scritto un resoconto abbastanza dettagliato di ciò che è accaduto quando i loro sistemi sono stati infettati. Una caratteristica particolarmente subdola di Ryuk è che può disattivare l’opzione di ripristino del sistema di Windows sui computer infetti, rendendo ancora più difficile il recupero dei dati criptati senza pagare un riscatto. Come se non bastasse, solitamente, le richieste di riscatto erano particolarmente elevate, proporzionate alle vittime di alto valore che gli aggressori avevano preso di mira.

Il ransomware deriva da Hermes, creato dagli hacker di stato nord-coreani del gruppo Lazarus

Analizzando il codice di Ryuk, è facile risalire alla sua origine. Sembra proprio che sia in gran parte derivato da Hermes, prodotto del gruppo di Criminal Hacker Lazarus della Corea del Nord. Tuttavia, ciò non significa che gli attacchi Ryuk stessi siano stati eseguiti dalla Corea del Nord. A conferma di questo, il gruppo di ricerca che per primo ha analizzato il codice ritiene che Ryuk sia stato costruito su una base acquistata da un fornitore di lingua russa, in parte perché il ransomware non verrà eseguito su computer la cui lingua è impostata in russo, bielorusso o ucraino. 

PureLocker

Creato per operare sia su macchine Windows sia Linux, PureLocker è un buon esempio della nuova ondata di malware mirato e altamente sofisticato. Isolato per la prima volta nel 2019, questa infezione non si diffonde nelle macchine tramite attacchi di phishing su ampia scala, ma sembra essere associato a more_eggs, un malware backdoor associato a diversi e ben noti gruppi di Cyber criminali. In altre parole, PureLocker viene installato su macchine che sono già state compromesse per poi procedere a una serie di controlli prima di eseguire il Ransomware, piuttosto che crittografare opportunisticamente i dati ovunque sia possibile.

La maggior parte delle infezioni di PureLocker ha colpito server di produzione aziendale e potrebbe essere offerto come Cyber Crime as a Service (CaaS)

È ancora molto difficile comprendere quanto siano diffuse le infezioni di PureLocker, ma al momento sappiamo con certezza che la maggior parte di esse ha avuto luogo su server di produzione aziendali, che sono ovviamente obiettivi di alto valore.  A causa dell’alto livello di controllo umano che questo tipo di attacco comporta, è stato ipotizzato che al momento PureLocker sia offerto come Cybercrime as a Service (CaaS) da gruppi altamente specializzati.

Zeppelin

Zeppelin, un discendente della famiglia nota come Vega o VegasLocker, ha scatenato il panico grazie a una serie di attacchi di Ransomware as a Service. Questa tipologia di attacco ha alcuni nuovi trucchi nella manica, soprattutto per quanto riguarda la configurabilità, ma ciò che lo distingue dalla famiglia Vega è la sua natura mirata. Dove Vega si è diffuso in modo un po’ indiscriminato e opera soprattutto in Russia, Zeppelin è specificamente progettato per non essere eseguito su computer che si trovano in Russia, Ucraina, Bielorussia o Kazakistan. Zeppelin può essere implementato in diversi modi, tra cui EXE, DLL o PowerShell, ma sembra che almeno alcuni dei suoi attacchi siano avvenuti tramite provider di servizi di Cyber Security compromessi. Il che dovrebbe mandare un brivido lungo la schiena di chiunque.

Gli esperti di cyber security cominciano a rilevare il Ransomware a novembre del 2019, ma potrebbe evolversi

Gli esperti di cyber security cominciano a rilevare Zeppelin nel novembre 2019, e come ulteriore prova della sua differenza da Vega, i suoi obiettivi sono stati scelti con cura. Le vittime erano per lo più nel settore Healthcare e Tech in Nord America e in Europa. Mentre il numero di infezioni non è così alto, alcuni credono che quello che abbiamo visto finora sia stato una POC (Proof of Concept) per una serie di attacchi più ampia.

REvil/Sodinokibi

Sodinokibi, noto anche come REvil, è emerso per la prima volta nell’aprile del 2019. Come Zeppelin, Sodinokibi sembrava essere il discendente di un’altra famiglia di malware, questa chiamata GandCrab, e aveva anche un codice che gli impediva di essere eseguito in Russia e in diversi paesi limitrofi, oltre che in Siria, indicando che la sua origine è nuovamente in quella regione.  Aveva diversi metodi di propagazione, tra cui lo sfruttamento di buchi nei server Oracle WebLogic o nella VPN Pulse Connect Secure VPN. Il Ransomware è stato responsabile della chiusura di più di 22 piccole città del Texas a settembre, ma ha raggiunto un vero e proprio status di notorietà a Capodanno 2019 quando ha smantellato il servizio di cambio valuta britannico Travelex, costringendo i chioschi degli aeroporti a ricorrere a carta e penna e lasciando i clienti in un limbo. Gli aggressori hanno chiesto un incredibile riscatto di 6 milioni di dollari, che la società si rifiuta di confermare o negare di aver pagato.

SamSam

SamSam è forse il più “vintage” tra i Ransomware che abbiamo analizzato. Comparso alla fine del 2015 si è guadagnando alcune prede di altissimo profilo, tra cui il Dipartimento dei Trasporti del Colorado, la città di Atlanta e numerose strutture sanitarie. SamSam è l’esempio perfetto di come le capacità organizzative degli aggressori siano importanti quanto le loro capacità di codifica. SamSam non cerca indiscriminatamente qualche specifica vulnerabilità, come fanno altre varianti di ransomware, ma opera piuttosto come un servizio Ransomware-as-a-service i cui controllori sondano attentamente gli obiettivi preselezionati in cerca di punti deboli. Una volta all’interno del sistema, gli aggressori lavorano doverosamente per fare attività di privilege escalation e per garantire che quando iniziano a criptare i file, l’attacco sia particolarmente dannoso.

Back To Top