sicurezza informatica

Come funziona il business del ransomware: le strutture dei gruppi criminali, il riciclaggio

Dalla comparsa di CryptoLocker nel 2013, gli attacchi ransomaware sono diventati sempre più frequenti, tanto da richiedere sistemi sofisticati e team sempre più numerosi. I gruppi che li sferrano sono organizzati come vere e proprie aziende e dietro le loro attività si celano entità statali o militari. Ecco cosa sappiamo

Pubblicato il 22 Mar 2023

Andrea Saturnino

ICT Security Specialist di Sababa Security

ransomware

Da diversi anni aziende e infrastrutture di tutto il mondo sono soggette ad attacchi informatici da parte di gruppi criminali o parastatali. Questi gruppi sono solitamente composti da persone provenienti dall’est Europa, soprattutto da stati ex-sovietici o dalla Russia, oppure dall’Asia, con una grande percentuale provenienti dalla Cina.

What is ransomware? – Proofpoint Education Series

What is ransomware? – Proofpoint Education Series

Guarda questo video su YouTube

Le tipologie di attacco

Tante sono le tipologie di attacco che questi gruppi possono sferrare, uno dei primi casi, se non il primo, di malware ransomware moderno è stato CryptoLocker nel 2013, il quale utilizzava una coppia di chiavi di 2048bit per la cifratura dei dati delle vittime.

Il malware era distribuito dalla botnet Gameover Zeus e utilizzava il trojan omonimo per guadagnare l’accesso ai sistemi delle vittime.

Agli albori, il riscatto richiesto dagli attaccanti era di circa 300 dollari in bitcoin, ben diverso dalle cifre attuali, dove in alcuni casi si può arrivare a diversi milioni di dollari.

Un’ulteriore novità portata da CryptoLocker è stata l’introduzione di Bitcoin come valuta per il pagamento dei riscatti, grazie alla quale è stato possibile per i gruppi malevoli avere accesso ad un sistema di pagamento relativamente facile da utilizzare e potenzialmente anonimizzato, dando di fatto inizio al business dei ransomware.

L’evoluzione del ransomware

Nel corso degli anni, gli attacchi ransomware si sono evoluti da un cosiddetto metodo “spray and pray”, in cui il malware veniva diffuso casualmente all’interno del web e si sperava infettasse un’infrastruttura di rilievo per portare ad un riscatto sostanzioso, ad un cosiddetto metodo “Big Game Hunting” in cui, come suggerisce il nome, si punta direttamente a delle “grosse prede” con attività di reconnaissance mirate.

Proprio per questo, i gruppi criminali odierni preferiscono effettuare gli attacchi ransomware contro un numero limitato di grosse organizzazioni invece che contro tante organizzazioni minori. In questo modo si ha la possibilità di ottimizzare il tempo richiesto per l’analisi delle strutture informatiche degli obiettivi e di avere la certezza che la vittima abbia a disposizione i soldi per pagare il riscatto.

La necessità di effettuare azioni di reconnaissance sulle infrastrutture informatiche delle grandi aziende ha richiesto lo sviluppo di sistemi sempre più sofisticati e la creazione di team sempre più numerosi.

Ransomware, il decalogo per una difesa adeguata: serve un nuovo approccio

Chi si nasconde dietro i gruppi ransomware

Proprio a causa della quantità di risorse economiche richieste per mettere in piedi e mantenere queste strutture, la maggior parte dei gruppi ransomware sono parzialmente o totalmente finanziati da stati oppure nascondono quelli che sono a tutti gli effetti entità statali, come agenzie o gruppi militari.

Con l’afflusso di sempre maggior denaro, tra finanziamenti e riscatti sempre più costosi, questi threat actor si sono strutturati come delle vere e proprie aziende, suddivise in più dipartimenti.

Oltre al reparto tecnico che si occupa fisicamente di effettuare le operazioni di attacco verso le vittime, i grandi gruppi ransomware sono dotati di un reparto marketing, che si occupa di interfacciarsi con le vittime e di sponsorizzare il gruppo sui vari forum nel dark web, di un reparto finance, che si occupa del riciclaggio del denaro e della gestione dei soldi, di un reparto HR, che si occupa del reclutamento e dell’onboarding dei nuovi arrivati e di un reparto di Business Development che ha il compito di negoziare i riscatti delle vittime.

Cosa abbiamo imparato dal leak di Conti Ransomware

Uno sguardo più interessante all’interno di un gruppo ransomware ci arriva dal data leak subìto da Conti Ransomware quasi un anno fa, in quello che viene considerato una sorta di Panama Papers dei gruppi criminale informatici.

Conti è stato uno dei threat actor di maggiore successo nel 2020 e nel 2021, arrivando ad essere tra i primi per numero di vittime colpite.

In quello che sembra essere stato un atto di vendetta verso Conti per aver pubblicamente appoggiato il governo russo e la sua invasione dell’Ucraina, il gruppo ha dovuto interrompere le sue attività e disperdere i propri membri verso altri gruppi ransomware.

All’interno del leak, oltre al codice sorgente del malware utilizzato da Conti, sono state trovate anche numerose chat interne utilizzate dai “dipendenti” del gruppo.

Da queste chat emerge come i membri di questi gruppi lavorano a tutti gli effetti come dei dipendenti, pagati in bitcoin invece che in euro o dollari, con bonus in base alle loro performance.

Altre note interessanti che emergono dalle chat esfiltrate da Conti sono, ad esempio, la possibilità di diventare l’Impiegato del mese, con conseguente bonus sullo stipendio mensile, o il fatto che, come in una vera e propria azienda lecita, i lavoratori possano prendere ferie accordandosi con i propri superiori, in base ai progetti che hanno da seguire e che hanno concluso.

Proprio per questo funzionamento molto simile ad un’azienda lecita e reale, c’è la possibilità che alcuni dei lavoratori che operano in queste realtà non siano completamente a conoscenza del fatto di lavorare per un gruppo criminale, ma bensì pensano che si tratti di normali società di sicurezza informatica.

Il riciclaggio dei proventi delle attività criminali

I soldi ottenuti dai gruppi attraverso queste attività criminali vengono solitamente riciclati attraverso l’utilizzo di criptovalute.

Nonostante la maggior parte dei riscatti siano ancora richiesti in bitcoin, questi vengono poi convertiti in altre criptovalute che garantiscono un maggiore anonimato, come ad esempio monero.

I gruppi ransomware sono soliti ricevere i soldi del riscatto su uno o più wallet bitcoin, per poi convertirli in monero e trasferirli su wallet della blockchain monero. Questi token vengono a loro volta trasferiti su un altro wallet della stessa blockchain e infine convertiti in denaro “reale” su degli exchange situati in stati con legislazioni più blande e che permettono di mantenere l’anonimato e la non tracciabilità.

Monero, come altri token come Dash o Zcash, hanno la funzionalità di offuscare diversi dati compromettenti, come ad esempio del wallet di invio e ricezione, permettendo quindi a chi li utilizza di rendere molto complicato, se non impossibile, il tracciamento del flusso di denaro dei gruppi criminali.

L’utilizzo Mixer come Tornado Cash o Sinbad

Un altro sistema utilizzato per il riciclaggio dei bitcoin ottenuto da attività illecite è l’utilizzo di Mixer come Tornado Cash o Sinbad.

I Mixer utilizzano un protocollo zero-knowledge proofs e non richiedono nessun sistema di autenticazione, permettendo di fatto a chiunque il loro utilizzo, senza la necessità di rivelare la propria identità.

Semplificando, queste soluzioni permettono l’invio di criptovalute che verranno a loro volta suddivise su più wallet interni contenenti anche i token di altri utenti.

Una volta che i soldi vengono uniti e di fatto reso impossibile creare un collegamento tra il wallet mittente e il wallet destinatario, i soldi possono essere prelevati.

Il Mixer più famoso è probabilmente Tornado Cash, che è stato utilizzato, tra gli altri, da Lazarus Group, gruppo parastatale nord coreano, che ha riciclato circa 7 miliardi di dollari dal 2019 al 2022, anno in cui il dipartimento del tesoro americano l’ha inserito nei “Specially Designated Nationals and Blocked Persons”, blacklist contenente persone o servizi con cui i cittadini americani non possono interagire.

Il blocco dell’accesso a Tornado Cash risulta essere controverso poiché il servizio viene pensato come sistema per rendere rintracciabile il denaro e proteggere l’identità delle persone, soprattutto per persone che si trovano in nazioni con una stretta censura o in cui la libertà personale è limitata, ma è evidente che questa soluzione possa essere sfruttata da gruppi malevoli per il proprio tornaconto.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2