Da diversi anni aziende e infrastrutture di tutto il mondo sono soggette ad attacchi informatici da parte di gruppi criminali o parastatali. Questi gruppi sono solitamente composti da persone provenienti dall’est Europa, soprattutto da stati ex-sovietici o dalla Russia, oppure dall’Asia, con una grande percentuale provenienti dalla Cina.
Le tipologie di attacco
Tante sono le tipologie di attacco che questi gruppi possono sferrare, uno dei primi casi, se non il primo, di malware ransomware moderno è stato CryptoLocker nel 2013, il quale utilizzava una coppia di chiavi di 2048bit per la cifratura dei dati delle vittime.
Il malware era distribuito dalla botnet Gameover Zeus e utilizzava il trojan omonimo per guadagnare l’accesso ai sistemi delle vittime.
Agli albori, il riscatto richiesto dagli attaccanti era di circa 300 dollari in bitcoin, ben diverso dalle cifre attuali, dove in alcuni casi si può arrivare a diversi milioni di dollari.
Un’ulteriore novità portata da CryptoLocker è stata l’introduzione di Bitcoin come valuta per il pagamento dei riscatti, grazie alla quale è stato possibile per i gruppi malevoli avere accesso ad un sistema di pagamento relativamente facile da utilizzare e potenzialmente anonimizzato, dando di fatto inizio al business dei ransomware.
L’evoluzione del ransomware
Nel corso degli anni, gli attacchi ransomware si sono evoluti da un cosiddetto metodo “spray and pray”, in cui il malware veniva diffuso casualmente all’interno del web e si sperava infettasse un’infrastruttura di rilievo per portare ad un riscatto sostanzioso, ad un cosiddetto metodo “Big Game Hunting” in cui, come suggerisce il nome, si punta direttamente a delle “grosse prede” con attività di reconnaissance mirate.
Proprio per questo, i gruppi criminali odierni preferiscono effettuare gli attacchi ransomware contro un numero limitato di grosse organizzazioni invece che contro tante organizzazioni minori. In questo modo si ha la possibilità di ottimizzare il tempo richiesto per l’analisi delle strutture informatiche degli obiettivi e di avere la certezza che la vittima abbia a disposizione i soldi per pagare il riscatto.
La necessità di effettuare azioni di reconnaissance sulle infrastrutture informatiche delle grandi aziende ha richiesto lo sviluppo di sistemi sempre più sofisticati e la creazione di team sempre più numerosi.
Ransomware, il decalogo per una difesa adeguata: serve un nuovo approccio
Chi si nasconde dietro i gruppi ransomware
Proprio a causa della quantità di risorse economiche richieste per mettere in piedi e mantenere queste strutture, la maggior parte dei gruppi ransomware sono parzialmente o totalmente finanziati da stati oppure nascondono quelli che sono a tutti gli effetti entità statali, come agenzie o gruppi militari.
Con l’afflusso di sempre maggior denaro, tra finanziamenti e riscatti sempre più costosi, questi threat actor si sono strutturati come delle vere e proprie aziende, suddivise in più dipartimenti.
Oltre al reparto tecnico che si occupa fisicamente di effettuare le operazioni di attacco verso le vittime, i grandi gruppi ransomware sono dotati di un reparto marketing, che si occupa di interfacciarsi con le vittime e di sponsorizzare il gruppo sui vari forum nel dark web, di un reparto finance, che si occupa del riciclaggio del denaro e della gestione dei soldi, di un reparto HR, che si occupa del reclutamento e dell’onboarding dei nuovi arrivati e di un reparto di Business Development che ha il compito di negoziare i riscatti delle vittime.
Cosa abbiamo imparato dal leak di Conti Ransomware
Uno sguardo più interessante all’interno di un gruppo ransomware ci arriva dal data leak subìto da Conti Ransomware quasi un anno fa, in quello che viene considerato una sorta di Panama Papers dei gruppi criminale informatici.
Conti è stato uno dei threat actor di maggiore successo nel 2020 e nel 2021, arrivando ad essere tra i primi per numero di vittime colpite.
In quello che sembra essere stato un atto di vendetta verso Conti per aver pubblicamente appoggiato il governo russo e la sua invasione dell’Ucraina, il gruppo ha dovuto interrompere le sue attività e disperdere i propri membri verso altri gruppi ransomware.
All’interno del leak, oltre al codice sorgente del malware utilizzato da Conti, sono state trovate anche numerose chat interne utilizzate dai “dipendenti” del gruppo.
Da queste chat emerge come i membri di questi gruppi lavorano a tutti gli effetti come dei dipendenti, pagati in bitcoin invece che in euro o dollari, con bonus in base alle loro performance.
Altre note interessanti che emergono dalle chat esfiltrate da Conti sono, ad esempio, la possibilità di diventare l’Impiegato del mese, con conseguente bonus sullo stipendio mensile, o il fatto che, come in una vera e propria azienda lecita, i lavoratori possano prendere ferie accordandosi con i propri superiori, in base ai progetti che hanno da seguire e che hanno concluso.
Proprio per questo funzionamento molto simile ad un’azienda lecita e reale, c’è la possibilità che alcuni dei lavoratori che operano in queste realtà non siano completamente a conoscenza del fatto di lavorare per un gruppo criminale, ma bensì pensano che si tratti di normali società di sicurezza informatica.
Il riciclaggio dei proventi delle attività criminali
I soldi ottenuti dai gruppi attraverso queste attività criminali vengono solitamente riciclati attraverso l’utilizzo di criptovalute.
Nonostante la maggior parte dei riscatti siano ancora richiesti in bitcoin, questi vengono poi convertiti in altre criptovalute che garantiscono un maggiore anonimato, come ad esempio monero.
I gruppi ransomware sono soliti ricevere i soldi del riscatto su uno o più wallet bitcoin, per poi convertirli in monero e trasferirli su wallet della blockchain monero. Questi token vengono a loro volta trasferiti su un altro wallet della stessa blockchain e infine convertiti in denaro “reale” su degli exchange situati in stati con legislazioni più blande e che permettono di mantenere l’anonimato e la non tracciabilità.
Monero, come altri token come Dash o Zcash, hanno la funzionalità di offuscare diversi dati compromettenti, come ad esempio del wallet di invio e ricezione, permettendo quindi a chi li utilizza di rendere molto complicato, se non impossibile, il tracciamento del flusso di denaro dei gruppi criminali.
L’utilizzo Mixer come Tornado Cash o Sinbad
Un altro sistema utilizzato per il riciclaggio dei bitcoin ottenuto da attività illecite è l’utilizzo di Mixer come Tornado Cash o Sinbad.
I Mixer utilizzano un protocollo zero-knowledge proofs e non richiedono nessun sistema di autenticazione, permettendo di fatto a chiunque il loro utilizzo, senza la necessità di rivelare la propria identità.
Semplificando, queste soluzioni permettono l’invio di criptovalute che verranno a loro volta suddivise su più wallet interni contenenti anche i token di altri utenti.
Una volta che i soldi vengono uniti e di fatto reso impossibile creare un collegamento tra il wallet mittente e il wallet destinatario, i soldi possono essere prelevati.
Il Mixer più famoso è probabilmente Tornado Cash, che è stato utilizzato, tra gli altri, da Lazarus Group, gruppo parastatale nord coreano, che ha riciclato circa 7 miliardi di dollari dal 2019 al 2022, anno in cui il dipartimento del tesoro americano l’ha inserito nei “Specially Designated Nationals and Blocked Persons”, blacklist contenente persone o servizi con cui i cittadini americani non possono interagire.
Il blocco dell’accesso a Tornado Cash risulta essere controverso poiché il servizio viene pensato come sistema per rendere rintracciabile il denaro e proteggere l’identità delle persone, soprattutto per persone che si trovano in nazioni con una stretta censura o in cui la libertà personale è limitata, ma è evidente che questa soluzione possa essere sfruttata da gruppi malevoli per il proprio tornaconto.
