I recenti attacchi ransomware definiscono la nuova era del malware

Il boom dei ransomware sembrava aver raggiunto il picco ne 2018. Negli ultimi 24 mesi, i cambiamenti nelle tattiche degli hacker hanno portato a nuovi attacchi ransomware più mirati e aggressivi

ransomware

Il ransomware esiste da anni. Nel 1991 un biologo ha diffuso PC Cyborg, il primo ransomware, inviando floppy disk tramite posta ordinaria ad altri scienziati e ricercatori. Nei primi anni 2000 Archiveus è stato il primo ransomware a utilizzare la crittografia; è stato sconfitto da molto tempo e sulla sua pagina Wikipedia si può trovare la sua password. All’inizio del 2010 è apparsa una serie di pacchetti di ransomware “police”, così chiamati perché si presentavano come avvertimenti delle forze dell’ordine su presunte attività illecite delle vittime e chiedevano il pagamento di “multe”; hanno iniziato a sfruttare la nuova generazione di servizi di pagamento anonimi per riscuotere pagamenti senza essere scoperti.

Negli anni 2010 è emersa una nuova tendenza ransomware: l’uso delle criptovalute come metodo di pagamento di riscatto preferito dai criminali informatici. Il motivo è chiaro, dato che le criptovalute sono specificamente progettate per fornire un metodo di pagamento anonimo non rintracciabile. La maggior parte degli hacker richiedeva il pagamento in bitcoin, la criptovaluta di più alto profilo, anche se alcuni hanno iniziato a spostare le loro richieste verso altre valute, poiché la popolarità del bitcoin ha reso il suo valore più volatile.

Gli attacchi sono aumentati a livelli di crisi a metà degli anni 2010. Ma entro il 2018 il successo dei ransomware sembrava in declino, mentre emergeva un altro modo illecito per guagnare bitcoin che non richiedeva alle vittime di capire cosa fosse un portafoglio bitcoin: il criptojacking. I cryptojacker seguono il copione che gli spammer e gli aggressori DDoS usano da anni: ottenere surrettiziamente il controllo dei computer senza che i loro proprietari lo sappiano.

adv
Cloud Communication Business

Nell’era digitale il centralino va in Cloud

La telefonia di nuova generazione è in software-as-a-service: non richiede di installare centralini hardware, gestisce fisso e mobile, e consente di attivare nuove linee o filiali con un clic, abilitando Smart Working e Unified Communication. SCOPRI DI PIÙ >>

Nel caso del cryptojacking, le macchine compromesse diventano piattaforme di mining di bitcoin, generando silenziosamente criptovaluta in background e divorando cicli di elaborazione inattivi mentre la vittima non ne è al corrente. Gli attacchi di ransomware sono diminuiti nel corso del 2018, mentre gli attacchi di criptojacking sono aumentati del 450%.

Gli attacchi ransomware oggi

Negli ultimi due anni, tuttavia, il ransomware è tornato in modo aggressivo. Mounir Hahad, responsabile dei Juniper Threat Labs di Juniper Networks, vede due grandi driver dietro questa tendenza.

Il primo ha a che fare con i capricci del prezzo delle criptovalute. Molti cryptojacker stavano usando i computer delle loro vittime per estrarre la valuta open source Monero; con la caduta dei prezzi di Monero, “gli autori della minaccia hanno capito che il mining di criptovalute non sarebbe stato redditizio quanto il ransomware”, spiega Hahad. E poiché gli aggressori avevano già compromesso i computer delle loro vittime con downloader di Trojan, era semplice lanciare un attacco ransomware al momento giusto. “Sinceramente speravo che questo scenario si sarebbe realizzato tra due o tre anni”, afferma Hahad, “ma ci sono voluti da circa un anno a 18 mesi per fare l’inversione a U e tornare all’attacco originale”.

L’altra tendenza è stata che più attacchi si sono concentrati su server aziendali che contengono dati mission-critical. “Se attacchi un PC portatile a caso, a un’azienda potrebbe interessare poco”, sottolinea Hahad. “Ma se si arriva ai server che sostengono le sue attività quotidiane, l’impatto è molto più importante”.

Questi tipi di attacchi richiedono maggiore raffinatezza, non necessariamente in termini di codice ransomware stesso, ma nelle competenze necessarie agli aggressori per infiltrarsi in sistemi meglio protetti per installare il malware. “Una tattica con attacchi a caso non darà loro molto ritorno sugli investimenti”, prosegue Hahad. “Attacchi più mirati con una buona capacità di movimento laterale li porteranno al bersaglio giusto, e la maggior parte delle volte il movimento laterale non è automatico. Si tratta in realtà di ottenere punti di intrusione iniziali, e quindi entrare manualmente e analizzare la rete, spostare file, aumentare i privilegi, ottenere le credenziali per alcuni amministratori, potenzialmente per accedere a un’altra macchina da remoto”.

Cinque famiglie di ransomware: obiettivi e metodi di attacco

In questa nuova era del ransomware, si distinguono cinque famiglie di malware particolarmente aggressivo e raffinato. Ecco le loro caratteristiche.

1. SamSam

Gli attacchi con software noto come SamSam sono comparsi alla fine del 2015 e sono aumentati molto negli anni successivi, colpendo bersagli di alto profilo, tra cui il Dipartimento dei trasporti del Colorado, la città di Atlanta e numerose strutture sanitarie statunitensi. SamSam è l’esempio perfetto di come l’abilità organizzativa degli attaccanti sia tanto importante quanto le loro capacità di programmazione. SamSam non cerca indiscriminatamente una specifica vulnerabilità, come fanno alcune altre varianti di ransomware, ma piuttosto opera come ransomware as-a-service i cui controller sondano attentamente gli obiettivi preselezionati per individuare i punti deboli. Una volta all’interno del sistema, gli aggressori lavorano diligentemente per aumentare i privilegi e garantire che quando iniziano a crittografare i file, l’attacco sia particolarmente dannoso.

Sebbene la convinzione iniziale tra i ricercatori sulla sicurezza fosse che SamSam avesse origine nell’Europa orientale, la stragrande maggioranza degli attacchi di SamSam ha preso di mira istituzioni negli Stati Uniti. Alla fine del 2018, il Dipartimento di Giustizia degli Stati Uniti ha incriminato due iraniani che sostengono di essere autori gli attacchi. L’accusa affermava che quegli attacchi hanno comportato perdite per oltre 30 milioni di dollari. Non è chiaro se tale cifra rappresenta il riscatto effettivamente pagato; ad un certo punto i funzionari della città di Atlanta hanno fornito ai media locali schermate di messaggi di riscatto che includevano informazioni su come comunicare con gli aggressori, il che ha portato alla chiusura di quel portale di comunicazione, forse impedendo ai funzionari di pagare il riscatto anche se lo avessero voluto.

2. Ryuk

Ryuk è un’altra variante di ransomware mirato che ha colpito molto nel 2018 e nel 2019, con vittime scelte specificamente tra le aziende con poca tolleranza per i tempi di inattività. Tra queste ci sono quotidiani e un servizio idrico della Carolina del Nord alle prese con le conseguenze dell’uragano Florence. Il Los Angeles Times ha scritto un resoconto abbastanza dettagliato di quello che è successo quando i loro sistemi sono stati infettati. Una caratteristica particolarmente subdola in Ryuk è che può disabilitare l’opzione “Ripristino configurazione di sistema” di Windows su computer infetti, rendendo ancora più difficile recuperare i dati crittografati senza pagare un riscatto. Le richieste di riscatto erano particolarmente elevate, coerentemente con l’alto profilo delle vittime prese di mira; un’ondata di attacchi durante le festività natalizie ha mostrato che gli aggressori non avevano paura di rovinare il Natale per raggiungere i loro obiettivi.

Gli analisti ritengono che il codice sorgente Ryuk derivi in gran parte da Hermes, che è un prodotto del gruppo Lazarus della Corea del Nord. Tuttavia, ciò non significa che gli stessi attacchi Ryuk siano stati gestiti dalla Corea del Nord; McAfee ritiene che Ryuk sia stato costruito sul codice acquistato da un fornitore di lingua russa, in parte perché il ransomware non viene eseguito su computer la cui lingua è impostata su russo, bielorusso o ucraino. Non è chiaro come questa fonte russa abbia acquisito il codice dalla Corea del Nord.

3. PureLocker

PureLocker è una nuova variante di ransomware che è stata oggetto di un documento pubblicato congiuntamente da IBM e Intezer nel novembre 2019. Operativo su macchine Windows o Linux, PureLocker è un buon esempio della nuova ondata di malware mirato. Piuttosto che mettere radici su macchine tramite attacchi di phishing ad ampio raggio, PureLocker sembra comportarsi come more_eggs, un malware backdoor associato a diversi gruppi di criminali informatici. In altre parole, PureLocker viene installato su macchine che sono già state compromesse e sono abbastanza ben comprese dai loro aggressori, quindi procede a una serie di controlli sulla macchina in cui si trova prima di attivarsi, piuttosto che crittografare i dati ovunque possibile .

IBM e Intezer non hanno rivelato quanto fossero diffuse le infezioni PureLocker, ma hanno dichiarato che la maggior parte ha avuto luogo su server aziendali, che sono ovviamente obiettivi di alto valore. A causa del controllo umano altamente qualificato che questo tipo di attacco comporta Michael Kajiloti, ricercatore di sicurezza presso Intezer, ritiene che PureLocker sia un modello di ransomware as-a-service disponibile solo per i gruppi criminali che possono pagare bene e in anticipo.

4. Zeppelin

Zeppelin era un discendente evolutivo della famiglia nota come Vega o VegasLocker, un’offerta ransomware as-a-service che ha causato il caos in società finanziarie in Russia e in Europa orientale. Zeppelin contiene alcuni nuovi trucchi tecnici, soprattutto quando si tratta di configurabilità, ma ciò che lo distingue dalla famiglia Vega è la sua natura mirata. Laddove Vega si diffuse in qualche modo indiscriminatamente e operò principalmente nel mondo di lingua russa, Zeppelin è specificamente progettato per non funzionare su computer installati in Russia, Ucraina, Bielorussia o Kazakistan. Zeppelin può essere distribuito in diversi modi, tra cui un EXE, una DLL o un caricatore di PowerShell, ma sembra che almeno alcuni dei suoi attacchi provengano da provider di servizi gestiti di sicurezza compromessi, il che dci fa tremare.

Zeppelin è apparso sulla scena a novembre 2019 e, come ulteriore prova della sua differenza rispetto a Vega, i suoi obiettivi sono stati scelti con cura. Le vittime si trovavano principalmente nei settori della sanità e della tecnologia in Nord America ed Europa, e alcune delle richieste di riscatto furono scritte in modo specifico per le aziende bersaglio. Gli esperti di sicurezza ritengono che il passaggio dal comportamento di Vega sia il risultato della base di codice utilizzata da un nuovo e più ambizioso attore di minacce, probabilmente in Russia. Il numero di infezioni non è così elevato, ma alcuni ritengono che ciò che abbiamo visto finora sia solo un proof of concept per un più ampio numero di attacchi.

5. REvil/Sodinokibi

Sodinokibi, noto anche come REvil, è emerso per la prima volta nell’aprile del 2019. Come Zeppelin, Sodinokibi sembrava essere il discendente di un’altra famiglia di malware, chiamata GandCrab; aveva anche un codice che gli impediva di essere eseguito in Russia e in diversi paesi adiacenti, nonché in Siria, indicando che la sua origine è in quella regione. Aveva diversi metodi di propagazione, incluso lo sfruttamento di vulnerabilità nei server Oracle WebLogic o Pulse Connect Secure VPN.

La diffusione di Sodinokibi indica un ambizioso team di comando e controllo dietro esso, che probabilmente offre un ransomware as-a-service. È stato responsabile della chiusura di oltre 22 piccole città del Texas a settembre, ma ha davvero raggiunto lo status di notorietà a Capodanno 2019, quando ha smantellato il servizio di cambio valuta inglese Travelex, costringendo le postazioni di cambio negli aeroporti a ricorrere a carta e penna. Gli aggressori hanno richiesto uno straordinario riscatto di 6 milioni di dollari; la compagnia rifiuta di confermare o negare di aver pagato.

L’evoluzione del ransomware

Secondo Junhad Hahad, il ransomware più pericolo del 2019 è stato Sodinokibi, perché c’è qualcosa di nuovo in questi attacchi.

Il gruppo dietro Sodinokibi ha adottato un nuovo approccio. Non solo ha chiesto alle vittime di pagare un riscatto, ma ha anche minacciato di pubblicare online i dati riservati o venderli al miglior offerente. Ciò porta l’approccio ransomware al livello successivo nel loro modello di business”, spiega Hahad. “La nuova era del ransomware iper-mirato e ‘su misura’ sta quindi raggiungendo un nuovo livello di pericolosità”.

AUTOREJosh Fruhlinger
FONTECSO
CWI.it
Con 12 milioni di lettori in 47 paesi, Computerworld è la fonte di informazione e aggiornamento per tutti coloro che progettano, implementano o utilizzano la tecnologia in azienda.