Un ecosistema complesso, quello legato al mondo criminale del ransomware e ai gruppi criminali che eseguono questi attacchi e richiedono un riscatto per fornire le chiavi per decifrare e poter riutilizzare i sistemi. Le fonti di informazione a disposizione permettono di capire meglio come funzionino questi gruppi. Emerge inoltre che dovremo fronteggiare attaccanti organizzati e strutturati e che anche aziende di dimensioni significative e con budget rilevanti non sono ancora in grado di resistere ad attacchi anche non particolarmente sofisticati.
Gli impatti di questi attacchi potrebbero essere fortemente ridotti con una autenticazione a più fattori e con una migliore gestione dei diritti degli utenti. Una accorta strategia di gestione dei patching ed un migliore monitoraggio delle intrusioni sono altri fattori in grado di aumentare la robustezza rispetto a questi attacchi. Un qualche ottimismo è anche permesso dal fatto che nell’ottobre 2021 un’azione congiunta di più polizie ha attaccato e sconnesso dei server del gruppo Revil e che FSB russo ha dichiarato nel gennaio scorso di aver smantellato la gang.
Data breach, Scorza: “Ecco perché non bisogna aver paura di informare gli interessati”
Organizzazione di una gang ransomware
Il primo di questi eventi anticipati è legato alla gang Conti, una banda criminale russa che ha attaccato sistemi anche in Italia, tra cui San Carlo e Clementoni, ed oggetto di alcuni avvisi dello CSIRT-It. Complessivamamente, l’anno scorso la gang ha incassato circa 180 milioni di euro. Poche ore dopo l’inizio dell’invasione russa dell’Ucraina, la gang si è immediatamente e pubblicamnte schierata a favore degli invasori minacciando di attaccare chi avesse messo in pericolo le infrastrutture russe.
Patatine San Carlo, attacco informatico: c’è furto di dati personali
Questa pesante affermazione è stata successivamente stemperata ma ha spinto un ricercatore ucraino che aveva infiltrato il gruppo a rendere pubblici più di 60.000 messaggi di una chat utilizzata dai membri della gang. La prima rivelazione permessa da questi messaggi è che la gang ha una struttura aziendale vera e propria con un numero massimo di 100 persone. Come una normale software house, la gang è strutturata con un reparto di amministrazione, uno di ricerca e sviluppo e uno di produzione. Esistono regole per la gestione del codice e per sfuggire alle forze di polizia.
L’organizzazione “aziendale” di Conti
Vi è una forte gerarchia aziendale con un “presidente” ed un “amministratore” che discutono in privato le strategie del gruppo, verificano la quantità e la qualità del lavoro svolto. Talvolta insultano anche i dipendenti che non hanno rispettato le scadenze o che hanno attaccato degli ospedali violando le regole della gang. Secondo la dirigenza aziendale di Conti questo comportamento provoca un notevole danno di immagine. I programmatori di Conti hanno uno stipendio fisso mentre coloro che negoziano il pagamento dei riscatti possono sperare in una percentuale dei profitti. I neoassunti provengono da normali software house o da forum di hacking.
C’è un frequente turnover e per questo la gang stava pensando di aprire uffici dedicati al reclutamento a San Pietroburgo o a trasferirsi a Mosca. Qualche dipendente vorrebbe godersi una vacanza all’estero ma questo è sconsigliato perché potrebbe essere arrestato. A libro paga di Conti abbiamo anche dei giornalisti che dovrebbero porre sotto pressione le aziende attaccate per spingerle a pagare il riscatto.
Strumenti utilizzati e infrastruttura d’attacco
Gli strumenti software più usati dalla gang vanno da Tor a ProtonMail e Privnote con messaggi che si cancellano dopo un certo tempo. Significativo l’utilizzo di CobaltStrike ed il fatto che la gang abbia tentato di staibilire sessioni di demo con produttori di antivirus commerciali per verificare che non rilevino i vettori di attacco utilizzati.
Successivamente, lo stesso ricercatore ucraino ha reso pubblici altri messaggi che hanno anche permesso di accedere ai repository con i vari eseguibili di Conti. Secondo alcune fonti, le informazioni in possesso del ricercatore avrebbero permesso di smantellare l’infrastruttura di attacco di Conti cioè la botnet usate per attaccare i sistemi e cifrarli ma FBI ha chiesto di non rivelare queste informazioni. In questo modo le forze di polizia possono monitorare le azioni di Conti mentre la rivelazione delle informazioni avrebbe provocato il passaggio immediato ad una diversa infrastruttura d’attacco. E’ comunque dubbio che Conti continui ad usare la stessa infrastruttura.
Persistenza delle gang ransomware
La sensazione globale prodotta da quanto pubblicato è quella della persistenza ovvero siamo di fronte ad una organizzazione strutturata in modo da essere permanente e continuare ad operare. Questo è anche confermato dal fatto che Conti ha recentemente assorbito nella propria organizzazione altre gang criminali e che gli attacchi di Conti continuano anche dopo la rivelazione delle informazioni sulla struttura ed organizzazione della gang. La conclusione immediata è che dovremo fronteggiare minacce di questo tipo ancora per lungo tempo. Infine è interessante notare, non solo da un punto di vista informatico, come altre gang criminali russe nel tentativo di evitare i problemi che Conti deve affrontare hanno dichiarato la loro neutralità nello guerra in corso, affermando di essere unicamente interessate ai loro affari. Un segnale importante considerati i rapporti tra stato russo e gang criminali.
Ransomware, cosa dice il report dell’US Senate Committee on Homeland Security
Il secondo evento che ha fornito informazioni sull’ecosistema ransomware è un rapporto del US Senate Committee on Homeland Security dal significativo titolo di “America’s Data Held in Hostage: Case Studies of Ransomware Attacks on American Companies”. Il report è diviso in due parti. La prima illustra le tendenze degli attacchi ransomware mentre la seconda discute tre attacchi contro aziende americane.
Ransomware: I trend
La prima parte individua quattro trend
- Uso di doppia estorsione,
- Focus su grandi aziende,
- Aggiornamento del brand,
- Ransomware-as-a-service o RaaS. .
L’uso di doppia estorsione indica la tendenza ad esfiltrare i dati di una azienda prima di cifrarli. In questo modo la pressione sull’azienda aumenta perché l’attaccante può minacciare di rendere pubblici i dati cifrati. Oltre al normale danno economico dovuto alla rivelazione di dati aziendali o protetti da proprietà intellettuale, la pubblicazione può creare problemi con i proprietari dei dati e gli organismi di controllo nel caso di dati personali protetti da normative quali la GDPR. Inoltre, la doppia estorsione rende meno efficace il backup dei dati. Alla luce della doppia estorsione si comprende meglio i rapporti della gang Conti con dei giornalisti. Questa tendenza implica una maggiore sofisticazione degli attacchi perchè esfiltrare dati è comunque più complesso che cifrarli localmente.
Il focus su grandi aziende, big game hunting, si spiega con il fatto che attaccare grandi nomi, collegati con molte altre aziende, permette di alzare il riscatto ed aumenta la pressione sulle aziende perché paghino quanto richiesto. La presenza di normative e leggi da rispettare e di informazioni che non devono essere divulgate è un ulteriore spinta al pagamento. Il terzo trend è collegato ad un tentativo di disorientare le indagini per questo molte gang aggiornano il proprio brand e dichiarano di terminare la loro attività. Ma dopo pochi mesi riemergono, e continuano la loro attività con un nuovo nome, nuovi siti per il pagamento ed una nuova infrastruttura d’attacco anche se continuano ad usare lo stesso codice nei loro attacchi. Infine, ransomware-as-a-service implica la presenza di gang che sviluppano software malevolo che poi cedono ad altre gang che lo utilizzano e passano ai produttori una percentuale del riscatto. Il rapporto non cita un altro fenomeno a cui stiamo assistendo quello dell’access-as-a-service, ovvero l’esistenza di un terzo gruppo che fornisce l’accesso iniziale ad un sistema aziendale da sfruttare in un attacco. .
Ransomware: la totale confidenzialità delle trattative
I quattro trend hanno provocato un forte aumento delle tariffe assicurative e la tendenza a coinvolgere nelle trattative degli studi legali che poi ingaggiano ditte di incident response. La mediazione di un avvocato garantisce, in base alla legislazione USA, la completa confidenzialità anche per le indagini giudiziarie di ogni scambio di informazioni tra l’azienda attaccata e chi si occupa della gestione dell’incidente e delle trattative sul riscatto. Il rapporto segnala anche la nascita di aziende specializzate nella conduzione delle trattative. I meno giovani possono forse ricordare aziende e consulenti simili che operavano in Italia negli anni dei sequestri di persona. Il rapporto discute anche le possibili evoluzioni degli attacchi ransomware a seguito dell’invasione russa dell’Ucraina.
Le scorribande di Revil
L’ultima parte del rapporto analizza tre attacchi avvenuti negli USA tutti eseguiti dalla gang Revil che opera mediante RaaS. Il primo ha coinvolto una azienda con più di 100.000 dipendenti che fa parte dei Fortune 500. Il reparto IT ha circa 200 dipendenti e dedica alla sicurezza il 10% del budget IT. L’azienda aveva attuato tutte le misure suggerite contro attacchi informatici dalla segmentazione alla protezione degli endpoint. Aveva un piano di gestione degli attacchi e aveva condotto analisi forensi per la scoperta di attacchi.
L’azienda è stata vittima di una particolare versione di supply chain attack. Revil ha attaccato un server di un venditore dell’azienda tramite una vulnerabilità nota e quindi ha usato il server per inviare una mail a nome del vendor. Un attachment della mail, una volta aperto, ha eseguito l’attacco. L’azienda ha potuto osservare il comportamento di Revil durante l’attacco ed in particolare i suoi movimenti, quasi casuali, per scoprire le informazioni da cifrare. L’azienda non ha pagato il riscatto ed ha impiegato circa una settimana per eliminare la presenza dell’attaccante dai propri sistemi e migliorare la sua difesa. Il commento dell’azienda è stato che l’attaccante è stato ancora più sofisticato delle sue sofisticate difese. Commento forse discutibile perché qualche dubbio è lecito se è bastata l’apertura di un attachment per cifrare tutto.
Il caso di una media impresa
Il secondo caso riguarda una azienda manifatturiera con alcune migliaia di dipendenti, 170 dei quali nel reparto IT e 10 dei quali si occupano di sicurezza. Il budget IT è di 65 milioni di dollari e di questi 8% è dedicato alla sicurezza. L’azienda utilizza autenticazione a più fattori, antivirus e VPN. Aveva un piano di gestione degli incidenti aggiornato e poteva accedere facilmente a competenze per la gestione di incidenti. L’azienda è stata attaccata, mediante un messaggio di phishing. Dopo aver avuto accesso al sistema, gli attaccanti si sono mossi, indisturbati e non scoperti, per circa un mese e mezzo cercando un modo di elevare i propri privilegi. Una volta scoperta una vulnerabilità che gli ha permesso di farlo, gli attaccanti hanno ceduto l’accesso ad una altra gang che ha completato l’attacco in un altro mese.
All’epoca dell’attacco l’azienda non utilizzava ancora la multi factor authentication e quindi l’attaccante ha avuto libero accesso alla VPN aziendale. Complessivamente, Revil ha esfiltrato più un terabyte di dati comprese informazioni personali ma non è riuscita a cifrare queste informazioni. La trattativa, in un contesto di estorsione doppia, è avvenuta tramite una azienda specializzata ma non si è conclusa e Revil ha minacciato più volte di rendere pubblici tutti i dati esfiltrati ma questo non è ancora avvenuto. Le contromisure che l’azienda prevede di adottare sono utilizzo di multifactor authentication ed una migliore politica di patching.
Guai per una piccola azienda
Infine la terza azienda è tecnologica ed ha solo 50 dipendenti, di cui 2 dedicati a IT e sicurezza con un budget complessivo per IT di 800.000 dollari. Utilizza strumenti per la protezione di endpoint, antivirus e dispone di backup non in linea. Anche questa azienda è stata attaccata sfruttando una vulnerabilità Microsoft non patchata ma l’azienda non è in grado di capire quando ciò è avvenuto. Gli attaccanti si sono mossi nella rete ed hanno esfiltrato alcune informazioni e cifrato alcune informazioni ma l’attacco è stato interrotto prima che potessero cifrare tutto.
L’informazione è stata pubblicata sul sito di Revil e contiene bilanci, stipendi e dati personali quali SSN dei dipendenti. L’azienda ha preferito sostituire i nodi su cui le informazioni sono state cifrate perché non era sicura di poter garantire di aver completamente rimosso gli strumenti degli attaccanti da questi nodi. La trattativa è stata condotta da uno studio legale esterno a cui l’assicurazione dell’azienda lo ha trasferito. Questo ha provocato un aumento del costo della polizza di assicurazione ma, come ha affermato un dirigente dell’azienda, sono state aumentate anche le polizze di chi non è stato attaccato.
