skip to Main Content

Cybercrime, Sodinokibi e REvil sono ancora estremamente temibili

di Pierguido Iezzi

Sodinokibi continua a essere uno degli strain di ransomware del cybercrime più temibili in circolazione. I suoi creatori, il gruppo REvil, lo usano sia per le double extortion sia come RaaS

Sodinokibi rimane uno degli strain di Ransomware del cybercrime più temibili in circolazione, l’arma principale del gruppo REvil. Questo, annoverati tra le ormai molto note formazioni che hanno scelto la via della double extortion (tramite Sodinokibi), non è la classica gang in cerca del “target of opportunity”, ma è da tempo specializzato nel prendere di mira organizzazioni di un certo “spessore” in particolare in quei settori dove un Data Breach comporterebbe danni d’immagine incalcolabili (quindi finanza, grandi studi legali e sanità). Come se non bastasse, negli ultimi mesi, Sodinokibi ha integrato all’interno del suo arsenale la possibilità di infettare macchine Linux. Concretamente questo significa – considerato che gran parte delle infrastrutture server utilizzano questo sistema – che è riuscito ad ampliare in un attimo il numero di target potenziali che è in grado di colpire, in particolare i network di enti e organizzazioni di grandi dimensioni.

RaaS e innovazione continua – il modus operandi di REvil

REvil non a caso è uno dei gruppi di ransomware più prolifici di sempre. Il suo punto di forza è quello di aver adottato molto rapidamente il sistema degli affiliati per proteggere il suo “core” di sviluppatori di malware. Ciò significa che REvil si occupa di creare gli strain e poi li “vende” come licenze ad altri Criminal Hacker in cambio di una “fetta” dei profitti. L’approccio, noto come Ransomware as a Service, oltre ad essere incredibilmente redditizio, assicura che anche nel caso qualche affiliato venga arrestato per le attività di Cyber Crime, il team rimanga intatto. Assicurandosi questa immunità, gli sviluppatori sono quindi in grado di specializzarsi e di progettare strain sempre più avanzati in termini di obfuscation ed evasion.  Capacità che si traducono – nel caso di Sodinokibi – in un’efficienza nel Data leaking pari al 50% dei target colpiti. Sodinokibi, tra l’altro, è erede di un altro “big” del ransomware, GrandCrab, capace di accumulare una cifra di riscatti pari a oltre 2 miliardi di dollari.

Targeting e skill avanzate

Come accennato, Sodinokibi è specializzato in attacchi altamente targhettizzati contro grandi organizzazioni. La maggior parte di questi iniziano con campagne di phishing e spear phishing mirate. Solo una piccola parte delle infezioni, suggerisce una ricerca, sono frutto di puro bruteforcing automatizzato contro endpoint esposti o protocolli RDP. Non si tratta neppure delle “classiche” campagne di phishing generiche, ma di spear phishing ben studiato: i Criminal Hacker investono tempo per studiare le vittime e impersonano clienti o partner fidati o addirittura familiari o amici per ottenere il “click” che fa partire la catena d’infezione.

Il primo Layer di protezione contro il ransomware

Un modus operandi che fa affidamento così massiccio sul phishing è contrastabile attraverso un’azione trasversale sullo Human risk. Policy ben strutturate – per esempio il limitare l’utilizzo di dispositivi personali all’interno del network aziendale e, viceversa il divieto di accesso a social con i device forniti dalla compagnia – sono un buon inizio in questo senso. Basti ripensare a quanto successo a Twitter qualche mese fa. Ma le policy, da sole, non sono sufficienti ad assicurarsi la giusta resillience del perimetro. Queste vanno affiancate da un’attività strutturata di awerness e formazione periodica nei confronti delle minacce derivanti dal Phishing. Il Phishing Attack Simulation, per esempio, permette di simulare vere e proprie campagne di malspam, creando un’occasione unica di apprendimento. Certo, ci sono ancora alcuni attacchi di Sodinokibi che utilizzano gli exploit più “convenzionali”. Questo può essere combattuto sempre con attività regolari di Security testing come Network Scan, Vulnerability Assessment e Penetration Testing per mettere in sicurezza il perimetro aziendale e individuare e chiudere possibili vulnerabilità in maniera tempestiva.

Cosa fare se Sodinokibi colpisce?

Una domanda non semplice da sciogliere. Come la gran parte dei Ransomware Sodinokibi utilizza algoritmi per crittografare i file altamente sofisticati e cercare un decryptor è un esercizio abbastanza futile, oltre che pericoloso (perché altri malware si nascondono spesso e volentieri dietro questi decryptor “magici”). Una realtà abbastanza amara, che spesso spinge le organizzazioni a cedere e a pagare ritenendo il riscatto meno gravoso di un prolungato periodo di downtime. Ma questa non può essere vista come una vera via percorribile. In primis non fa altro che alimentare il Cyber Crime, spingendo organizzazioni come REvil ad investire in Ransomware ancora più sofisticati. C’è anche il rischio che pagato il riscatto e ottenuta la chiave (cosa tutt’altro che certa) i Criminal Hacker lasciano all’interno dei sistemi aziendali una backdoor per attacchi futuri, rendendo il rischio di un altro attacco altissimo.

L’importanza del Cyber Incident Response Team nel contrasto agli attacchi malware

La soluzione migliore a quella di affidarsi a un Cyber Incident Response Team. I Cyber Security teams – grazie a esperienze e skill in questo campo – sono la scelta logica per affrontare un incidente Ransomware. In caso di attacco Sodinokibi è necessario rispondere con un approccio strutturato; predisposto e organizzato per affrontare in maniera efficace ed efficiente la violazione della sicurezza e per ridurre gli impatti a livello di Business Continuity aziendale. Sfortunatamente, il Ransomware è qui per rimanere – così come la minaccia della double extortion – ed in particolare Sodinokibi. Questo perché questo strain è stato progettato per non “toccare” macchine e device in Russia, Iran e altri Paesi dell’ex area Sovietica. Un indizio che fa supporre che REvil sia in qualche modo affiliato a uno o più governi provenienti da quelle regioni. Potendo ipoteticamente godere di protezione da parte di uno stato, il compito di smantellare organizzazioni come questa diventa decisamente più arduo.

L’onere della difesa ricade sulle nostre spalle. Una ”grande” spesa oggi ne può far risparmiare una ben maggiore domani

Ciò significa che le organizzazioni – di ogni forma e dimensione – devono dedicare più tempo e risorse alla formazione – soprattutto quando si tratta di sensibilizzazione dei dipendenti – e alle misure di Cyber Security. Il che si traduce per alcuni, nella necessità di budget più alti. Ma, più a lungo l’epidemia del Ransomware continua, maggiormente diventa chiaro che questi costi sono insignificanti rispetto a quelli da affrontare in caso di attacco riuscito.

Non abbassiamo la guardia!

Back To Top