L’attacco ransomware subito lo scorso maggio da Colonial Pipeline, uno dei maggiori oleodotti degli Stati Uniti, ha mostrato quanto vulnerabile sia l’ecosistema delle infrastrutture critiche agli attacchi informatici.
La costa orientale è rimasta infatti parzialmente sprovvista di carburanti per tutta la durata della fase di recovery dell’attacco, ovvero 6 giorni, con effetti che hanno avuto strascichi ancora più lunghi. E va chiarito che DarkSide, il gruppo che ha attaccato Colonial Pipeline, non aveva neanche preso di mira l’infrastruttura operativa che gestiva l’oleodotto, che è stata spenta a solo titolo precauzionale.
Ransomware e criptovalute: le peculiarità del caso Colonial Pipeline
Questo attacco, interessante sotto molti punti di vista, ha sorpreso anche per un’altra ragione: in un caso più unico che raro, l’FBI è riuscita a recuperare una parte del riscatto, circa 2.3 milioni di dollari dei 4.4 milioni pagati da Colonial Pipeline. Ci si domanda quindi: come ci sono riusciti?
Ransomware e criptovalute, coppia di fatto del malaffare: le azioni di contrasto
Purtroppo, l’FBI ha scelto, per ragioni operative, di non rispondere alla domanda, quindi dobbiamo fare un passo indietro per analizzare lo scenario e provare a formulare alcune ipotesi.
La scena dei ransomware è mutata profondamente negli ultimi anni, si è infatti passati da attacchi opportunistici contro utenti privati ad attacchi altamente mirati che continuano a crescere in sofisticazione, e ne capiremo a breve la ragione. La struttura di una ransomware gang è oggi molto simile a quella di una tradizionale organizzazione criminale, con la differenza che è possibile avere strutture tanto centralizzate quando completamente decentralizzate.
Gli attori che partecipano a un attacco
In linea generale possiamo identificare i seguenti attori che prendono parte ad un attacco:
- Analisti finanziari: utilizzati per identificare i target che hanno liquidità, possibilmente identificando la presenza o meno di una cyber-insurance
- Access brokers: gruppi specializzati nell’ottenere accesso iniziale ad un ampio ventaglio di organizzazioni, accesso che viene venduto al miglior offerente per attacchi più mirati
- Ransomware developers: coloro che materialmente scrivono il software per la cifratura (e decifratura) dei dati
- Infrastructure Admins: coloro che si occupano di gestire l’infrastruttura utilizzata dagli attaccanti per eseguire l’attacco e per trasportare i dati, questi ultimi possono anche coincidere con i ransomware developer nel caso di reti RaaS ovvero: Ransomware as a Service con relativi affiliati
- Attackers: il gruppo che materialmente effettua l’attacco (furto di dati, esfiltrazione, distruzione dei backup e dei disaster recovery plans, cifratura di server e workstation)
- Negoziatori: chi si occupa di dialogare con le vittime per negoziare i termini del riscatto, spesso hanno a che fare con la loro controparte, ovvero un negoziatore dedicato assunto dalla vittima o dall’assicuratore.
- Money mules: utilizzati per gestire il flusso di denaro e per trasformarlo da cryptovaluta in moneta tradizionale
A questa catena si possono aggiungere elementi a piacere. Stando ad una ricerca pubblicata da Elliptic, DarkSide ha utilizzato – tra tutte le operazioni – 47 wallet Bitcoin contenenti un totale di circa 90 milioni di dollari in riscatti. Dato interessante perche, stando ad un’analisi di DarkTracer, le vittime di DarkSide sono state in totale 99, quindi il 47% delle vittime ha scelto di pagare il riscatto con una media di 1.9 milioni di dollari per attacco. Colonial Pipeline avrebbe pagato in due tranche, la prima per un valore di 320.000$ (circa 5.5 BTC quel giorno) e la seconda per un valore di 4.3 milioni di dollari (circa 75 BTC quel giorno).
Bitcoin che vengono spostati altrove poco meno di un’ora dalla ricezione, come vediamo qui:
Ma il flusso non si ferma, ed infatti ci sono una serie di circa 30 ulteriori transazioni utilizzate per muovere i fondi.
Bitcoin, come ti raggiro gli investitori: le ultime truffe e come difendersi
L’FBI ha dichiarato di aver recuperato 63.7 BTC il 7/Jun, ovvero circa 2.3 milioni di dollari, ed infatti nella blockchain troviamo la seguente transazione:
Che corrisponde al mandato di sequestro emesso dalla corte della California.
C’è però un buco di 11.2 BTC, dove sono finiti? Prima di continuare la caccia, vediamo di capire come funziona il servizio di affiliazione nel mondo dei ransomware.
RaaS – Ransomware as a Service
Una struttura molto comune è quella del Ransomware as a Service, dove un gruppo si specializza nella scrittura del software malevolo, mettendo a disposizione il ransomware e spesso la struttura di backend che si occupa di gestire il flusso del pagamento. Il sistema funzione grazie ad una rete di affiliati che ha il compito di eseguire le operazioni vere e proprie, al termine dell’attacco l’affiliato paga una quota del riscatto agli autori del ransomware ed il giro si ripete. Vari autori usano schemi differenti, con meccanismi di incentivi tipici dei business tradizionali, dove a riscatti più alti spesso corrispondono fee più basse. Questo semplice meccanismo di spartizione potrebbe darci nuove informazioni, per cui proviamo ad andare più a fondo.
L’8 di maggio i Bitcoin del riscatto vengono spostati su un altro indirizzo, divisi in due parti, una da 75 BTC e una da 0.00001693 BTC.
Dopo meno di un’ora il bottino viene diviso ulteriormente in due parti, in quello che sembra essere uno schema di distribuzione della fee tra gli sviluppatori (che è di circa il 15%) e gli operatori di DarkSide, come vediamo poco sotto:
Se la deduzione sulla spartizione è corretta, possiamo dedurre almeno un elemento certo: l’FBI ha ottenuto il controllo del wallet degli operatori di DarkSide ma non di quello degli sviluppatori.
È difficile a questo punto avere altre certezze ma abbiamo un elemento importante: sappiamo che DarkSide ha utilizzato dei payment server per processare la transazione e sappiamo, da un messaggio dello stesso gruppo, che una settimana dopo l’attacco una parte della loro infrastruttura, tra cui gli stessi server di pagamento, erano stati sequestrati. DarkSide tuttavia non rivela il paese in cui è avvenuto il sequestro.
Possiamo però fare un’ipotesi: se il server di pagamento si fosse trovato negli USA, l’FBI non avrebbe avuto alcun problema ad ottenere un mandato di sequestro, ma questo non ci da informazioni su come sia avvenuta la cattura del wallet. Una delle opzioni possibili è che la chiave privata si trovasse proprio sul server di pagamento, magari non cifrata o cifrata con una password debole, questo avrebbe consentito all’FBI di recuperare i Bitcoin che erano ancora presenti nel wallet. O ancora, se il gruppo avesse usato wallet all’interno di un Crypto Exchange statunitense, di nuovo l’FBI non avrebbe avuto problemi ad accedervi. Chiaramente ci sono altri scenari più operativi, in cui ad esempio uno dei membri di DarkSide, magari identificato dalle forze dell’ordine, avrebbe inviato il wallet per evitare altri tipi di conseguenze. Ultima ipotesi sarebbe quella che avrebbe portato al recupero del wallet tramite un’azione di compromissione diretta del computer di uno degli affiliati. Alternativa certamente possibile, ma forse a quel punto l’FBI avrebbe avuto abbastanza elementi per puntare il dito su un colpevole, e magari anche abbastanza da produrre un indictment.
Ransomware come il terrorismo: gli Usa al contrattacco con una task force ad hoc
Cos’è successo?
Cosa è successo? Di fatto non lo sapremo finché (e se) l’FBI non deciderà di fare chiarezza, ma senza fare troppi salti di fantasia sembra plausibile che l’azione di sequestro abbia portato anche al recupero del wallet.
A livello di OpSec operare tramite Bitcoin può non essere la scelta migliore, esistono infatti altre criptovalute con maggiori tutele riguardo la riservatezza delle transazioni, Monero su tutte, che pure rimangono di ampia disponibilità. L’altro lato della medaglia è che i volumi delle transazioni su queste cryptovalute sono una frazione di quelle del network Bitcoin, con potenziali ripercussioni sulla possibilità di spostare grossi flussi di denaro e farne cash-out. Tuttavia tali cryptovalute possono comunque essere utilizzate come canale temporaneo prima di essere convertite in Bitcoin. In questo caso l’utilizzo dei Bitcoin ha consentito una completa tracciatura del flusso di pagamento, e probabilmente ha fornito all’FBI anche gli elementi necessari a decidere dove colpire per ottenere il controllo del wallet. Il recupero del riscatto è in ogni caso un evento estremamente raro, e certamente in questo caso un incrocio di circostanze ha reso possibile attivare una simile operazione.
Gli attacchi ransomware, come dicevamo, continuano a crescere in sofisticazione e le gang ingrandiscono, infatti i bottini pagati dalle vittime – o dalle relative assicurazioni – contribuiscono a creare enormi incentivi che hanno come effetto lo sviluppo di organizzazioni criminali estremamente potenti e ben strutturate. L’effetto è quello di attacchi che utilizzano strumenti e tecniche sempre più avanzate, come abbiamo visto ad aprile quando il gruppo dietro il ransomware Babuk ha sferrato un attacco contro il Washington D.C. Metropolitan Police Department utilizzando un exploit 0-day. Un trend che è destinato a continuare finchè i bottini saranno cosi ricchi ed i pagamenti quasi certi.
I numeri in gioco sono interessanti, è difficile sapere quante organizzazioni decidano di pagare i riscatti ma sappiamo che il wallet di Darkside conteneva circa 90M$ e che, secondo una ricerca di Gartner, il 58% delle vittime subisce un secondo attacco immediatamente dopo il pagamento del riscatto, secondo altre fonti questo numero sale addirittura all’84%.
Il livello di cyber-security di un’ampia parte delle organizzazioni non è ancora sufficiente per riuscire ad identificare e bloccare questi attacchi e l’asticella si alza man mano che queste organizzazioni criminali vengono finanziate dalle proprie vittime. Se qualche anno fa ci stupivamo di vedere 0-day per smartphone pagati 5 milioni di dollari, oggi dovremmo rabbrividire al pensiero che un gruppo criminale abbia una simile disponibilità di liquidità ed un potere tale da mettere in serio pericolo la continuità di servizi essenziali, come appunto la distribuzione di carburante. La tecnologia è di certo un aiuto, ma è necessaria anche un’azione coordinata per rispondere in maniera dura ai paesi che proteggono questi gruppi ed è altrettanto necessario creare forti disincentivi affinché i riscatti non vengano pagati, magari evitando, come avviene in alcuni paesi, di consentire la deduzione dei riscatti dalle tasse.
