Everest: chi è e come agisce la gang del ransomware che ha rubato l’archivio dati della SIAE - Cyber Security 360

L'ANALISI TECNICA

Everest: chi è e come agisce la gang del ransomware che ha rubato l’archivio dati della SIAE

L’attacco hacker alla SIAE ha acceso i riflettori sul gruppo ransomware Everest, un impianto malware che generalmente prende di mira entità di alto profilo. Ecco un’analisi approfondita del contesto in cui agisce e del suo modus operandi

21 Ott 2021
D
Emanuele De Lucia

Director of Cyber Intelligence presso Cluster25

Everest Ransomware è un impianto malware nato come variante del ransomware “Everbe Ransomware 2.0” e che generalmente prende di mira entità di alto profilo: recentemente la gang criminale ha messo il proprio marchio sull’attacco che ha portato al furto di un intero archivio contenente 28 mila documenti riservati appartenenti alla SIAE, la Società Italiana Autori ed Editori.

Bucata la Siae, rubati dati degli artisti: 3 milioni di riscatto. “Non pagheremo”

Come agisce il gruppo ransomware Everest

Gli operatori Everest adottano diverse strategie per la diffusione dei loro impianti fra le quali campagne di spear-phishing, acquisto di credenziali di accesso da operatori I.A.B (Initial Access Broker) nel deep/dark web nonché sfruttamento diretto di vulnerabilità di servizi esposti.

WHITEPAPER
Suggerimenti e strumenti pratica per difendersi dagli attacchi informatici
Sicurezza
Cybersecurity

L’ingegneria sociale è un fattore determinante nella loro strategia di negoziazione. L’attore è particolarmente focalizzato nel mantenere elevati livelli di pressione sulle vittime utilizzando stratagemmi come quello di commentare i dati campione esfiltrati dalle vittime allorché inseriti sul proprio DLS (Data Leak Site) esprimendo opinioni del tipo “… forse non si sono ancora resi conto dell’accaduto…” oppure direttamente nei messaggi di negoziazione con commenti tipo “… adesso cosa dirai ai tuoi clienti…”.

Il contesto in cui agisce la gang criminale

Everest è un ransomware relativamente recente classificato come variante indipendente nel dicembre 2020. Esso deriva da Everbe 2.0 apparso per la prima volta nel marzo del 2018.

I suoi operatori hanno già preso di mira società di costruzioni di alto profilo, catene di vendita al dettaglio, entità legali, aeroporti e un grande istituto finanziario.

Il profilo del threat actor Everest Ransomware

Sulla base della matrice delle vittime, Everest si rivolge in genere a grandi società e studi legali con poche eccezioni come una banca, un aeroporto, una compagnia aerea ed enti pubblici.

Le attività di ricerca indicano che le società compromesse solitamente hanno ricavi da milioni di dollari, il che pone di diritto l’attore fra quelli che perseguono strategie BGH (Big Game Hunting o “caccia grossa”) nell’identificazione degli obiettivi.

Nel tempo, tuttavia, fra le vittime sono state osservate anche realtà poco conformi ai soliti schemi e prese di mira semplicemente perché la loro postura di sicurezza era particolarmente scadente. Questo identifica Everest dunque anche come operatore ransomware opportunista.

Ad accesso avvenuto, di solito, le prime operazioni che eseguono mirano a disabilitare (o scavalcare) i software di sicurezza presenti per poi istallare uno strumento di accesso remoto (RAT) e muoversi lateralmente per trovare dati, server di backup e altre informazioni.

Il ransomware Everest, potenzialmente, può utilizzare accessi o esecuzioni programmate per rimanere attivo all’interno di un sistema o di una rete.

Al medesimo attore possono inoltre essere associate tecniche per lo “sniffing” di rete utile a valutare la configurazione della stessa, accrescere la visibilità interna per eventuali vulnerabilità da sfruttare e identificare servizi critici dove muoversi per ottenere accessi.

Data collection ed esfiltrazione: il modus operandi

Gli operatori Everest prendono solitamente di mira tutti i dati sensibili presenti all’interno delle reti che impattano.

Solitamente esfiltrano informazioni dalle seguenti sorgenti interne:

  • sistemi locali
  • unità di rete
  • archivi locali e remoti
  • backup
  • NAS

Per eseguire tali attività può avvalersi di interpreti di comandi o automatizzare il processo tramite funzioni in impianti RAT.

Il flusso dati in uscita risulta solitamente offuscato per trasportare dati e proteggere le comunicazioni con i centri di comando e controllo.

Everest in genere crittografa i dati sensibili precedentemente esfiltrati dalla vittima via AES 256. L’attore, solitamente, si concentra nell’impattare informazioni di identificazione personale (PII), strategie e metodi aziendali proprietari, proprietà intellettuale, procedimenti legali, documenti di ricerca o informazioni relative a terze parti.

Talvolta gli operatori consentono alla vittima di decifrare tre documenti “non importanti” al fine di dimostrare di poterlo fare e dunque spingere al pagamento del riscatto.

Conclusioni

Everest fa parte di una sempre crescente tendenza del panorama ransomware che tende a coinvolgere quanti più soggetti possibile nelle operazioni ransomware mediante modelli Ransomware-as-a-Service (RaaS) facendo leva sui ritorni di investimento derivanti da campagne di successo.

In considerazione di fattori come la facilità di utilizzo e di accesso a tali programmi nonché il numero sempre crescente di partecipanti, è possibile prevedere in futuro una crescita dei rischi generali associati a tale categoria di malware.

WHITEPAPER
Strategie e tecniche di difesa dagli attacchi: come cambia il Network Security
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 2