Le sanzioni dell’Occidente contro i gruppi cyber criminali possono essere inefficaci.
Lo insegna la storia di quelle che alcuni uffici di ministeri US, in particolare l’Office of Foreign Asset Control del Ministero del Tesoro, ha imposto ad un gruppo criminale russo, noto come Evil Corp, che controlla l’ecosistema collegato al malware DRIDEX.
Queste sanzioni sono state accompagnate dall’imposizione di una taglia di 5 milioni di dollari su alcuni membri del gruppo da parte del Ministero della Giustizia US e da operazioni congiunte di organi di polizia US e UK per smantellare l’infrastruttura di attacco del gruppo stesso.
Ecco perché vogliamo sollevare qualche dubbio sugli effetti e sull’efficacia di questi provvedimenti, alla luce delle sanzioni che l’Unione Europea e gli Usa hanno imposto alla Russia a seguito dell’invasione dell’Ucraina.
Attacchi cyber della Russia, l’Italia si difende ma attenzione a che succede ora
Cosa è e come opera Evil Corp
Evil Corp, dicevamo, controlla l’ecosistema collegato al malware DRIDEX. Questo ecosistema opera secondo un modello di Ransomware-as-a-Service, dove gli affiliati sfruttano il malware sviluppato da un singolo produttore a cui retrocedono parte degli utili degli attacchi. In origine, il malware DRIDEX era un trojan bancario di tipo tradizionale, che successivamente si è evoluto in un ransomware da installare sui sistemi dopo una penetrazione iniziale.
Gli effetti delle sanzioni a Evil Corp
Un primo effetto delle sanzioni è stato quello di rendere illegale il pagamento di un riscatto al gruppo Evil Corp. Ciò ha impedito all’ecosistema di aziende che operano in modo parassitico a sostegno delle vittime del ransomware di offrire i loro servizi di mediazione e supporto nelle trattative, perché la controparte era stata sanzionata.
Inoltre, l’azienda attaccata deve sempre e comunque dichiarare all’OFAC di aver pagato un riscatto per dimostrare la propria buonafede ed evitare azioni legali da parte del governo US qualora si scoprisse che il gruppo criminale che ha ricevuto il pagamento è uno di quelli colpiti dalle sanzioni.
È evidente quindi che il gruppo criminale sanzionato ha tutto l’interesse ad operare in modo che l’attaccato possa negare di conoscere chi lo ha attaccato, qualcosa di simile a quella che viene indicata come plausible deniability, ovvero la possibilità di negare in modo credibile di conoscere certe informazioni.
Ciò ha provocato una evoluzione di Evil Corp, che si è divisa in gruppi di dimensione minore, molti dei quali operano come affiliati di altri gruppi criminali, usando quindi altri malware ed altri strumenti di attacco.
Alcuni dei gruppi gemmati da Evil Corp, oltre ad operare come affiliati di altri gruppi, acquistano accessi a sistemi attaccati da altri, i fornitori di access per installare il malware secondo gli schemi indicati in un articolo precedente.
La nascita dell’ecosistema UNC2165
Tutto questo ha portato alla nascita di un nuovo gruppo o meglio un nuovo ecosistema, UNC2165, che comprende i vari gruppi gemmati, ognuno dei quali può anche operare come affilitato di altri ecosistemi oppure sviluppare in proprio nuovi malware che altri gruppi useranno.
Un altro frutto della gemmazione di sottogruppi è l’utilizzo di tecniche e strumenti diversi per l’attacco che vanno dal furto di credenziali con Mimikatz all’uso di payloads diversi di Cobalt Strike. Il tutto per evitare che gli investigatori individuino una firma degli attacchi che permetta di collegare l’attacco con il gruppo colpito dalle sanzioni.
Molti ritengono che le sanzioni abbiano solo accelerato un processo in qualche modo già in atto nell’ecosistema criminale che porta alla nascita di gruppi di criminali di dimensioni minori, ognuno specializzato in un singolo passo della kill chain per l’intrusione: accesso iniziale, persistenza, installazione del malware o conduzione delle trattative.
In questo nuovo ecosistema, il singolo attacco ransomware verrrebbe quindi condotto da un insieme di questi gruppi che viene creato e vive solo per lo specifico attacco. Il guadagno ridotto di ogni gruppo in ogni attacco verrebbe ampliamente compensato dal maggior numero di attacchi possibili ed anche dalla possibilità di aumentare la platea dei possibili bersagli permessa dalla flessibilità del nuovo modello organizzativo. È ovvio che, in questo contesto, tentare di attribuire l’attacco ad uno specifico gruppo è del tutto impossibile, oltre che fondamentalmente inutile.
Come aumentare la sicurezza e difendersi dai ransomware
È facile perciò concludere, come ha fatto un funzionario US, che le sanzioni OFAC hanno “spaventato ma non troppo” i gruppi criminali, che hanno trovato presto delle contromisure efficaci. Contromisure che porteranno a un aumento degli attacchi ransomware piuttosto che ad una loro riduzione come sperato da chi ha imposto le sanzioni.
Questa è una conferma di quanto più volte ricordato: non esistono scorciatoie e la via maestra per sconfiggere gli attacchi ransomware resta l’aumento di robustezza dei potenziali bersagli.
Continuando a citare il funzionario US “l’unica strategia è la cybersecurity” ed è inutile cercare ora una soluzione magica che difenda immediatamente da attacchi ransomware. Quello che si può fare ora è iniziare un processo di analisi, valutazione e gestione del rischio informatico che porti in breve, ma non istantaneamente, ad infrastrutture informatiche più robuste e resilienti.
Segnali importanti in questa direzione sono ad esempio i suggerimenti del CISA US sulle vulnerabilità più critiche su cui intervenire. Questo è un passo nella direzione giusta che può essere ulteriormente migliorato tenendo conto delle peculiarità di ogni infrastruttura. L’accento posto sulla sicurezza delle supply chain e la necessità di costruire inventari aggiornati sono altre indicazioni CISA fondamentali.
La questione della sponsorizzazione statale
Anche alla luce della invasione russa dell’Ucraina, un problema che merita però una riflessione più approfondita è quello della sponsorizzazione statale. Da tempo ci si sta interrogando sulla esistenza di un supporto ai gruppi criminali cyber da parte di alcune nazioni. In alcuni casi non vi sono più molti dubbi.
Tipico esempio è quello dei gruppi nordcoreani impegnati nel furto di valuta per rimediare alle ritorsioni internazionali contro il loro paese. Riorganizzazioni di gruppi criminali cosi vaste da un lato e veloci dall’altro come quelle a cui stiamo assistendo sono un forte supporto all’ipotesi di una qualche forma di coordinamento centralizzato tra i gruppi e, almeno, di una doppia natura di alcune attività.
Pensiamo ad esempio alla tecnica di doppia estorsione in cui un’azienda attaccata deve pagare il riscatto anche quando dispone di un efficiente sistema di backup per evitare che le informazioni cifrate diventino pubbliche. È ovvio che alcune di queste informazioni potrebbero essere di interesse di qualche Stato e che questo Stato può essere disposto ad acquistarle o a riceverle in cambio di una qualche forma di impunità. Considerazioni simili si possono fare per l’accesso ad un sistema. Nel momento in cui un accesso o la persistenza in un sistema è in vendita non è facile capire come si può impedire che uno stato le acquisti.
Una possibile conferma della relazione dei vari gruppi con alcuni Stati ci viene dal provvedimento sanzionatorio contro Evil Corp dell’OFAC. Quando descrive le responsabilità di Maksim Yakubets, figura chiave del gruppo, il provvedimento ricorda che ha lavorato per FSB, il servizio federale per la sicurezza dello Stato russo, ed era stato coinvolto nel furto di informazioni confidenziali in operazioni condotte per conto di FSB. Non è quindi assurdo ipotizzare una permeabilità tra alcuni gruppi criminali e gruppi state sponsored o per citare OFAC “dell’arruolamento da parte dello Stato di membri di gruppi criminali”.
