CYBER MINACCE

Evoluzione delle tecniche estorsive, ora i gruppi ransomware usano gli NFT

La pressione mediatica, legislativa e investigativa ha portato alla nascita di nuovi attori ransomware e alla sparizione o rebranding di altri, ma ha prodotto anche una spinta evolutiva verso nuove tecniche estorsive come quelle basate sugli NFT che consentono di eludere i problemi normativi con il pagamento dei riscatti. Ecco i dettagli

15 Dic 2021
F
Enrico Frumento

Cybersecurity Senior Domain Expert, Cefriel - Politecnico di Milano

Con la stretta legislativa e investigativa recentemente imposta dall’amministrazione Biden, la vita per gli operatori ransomware si sta facendo incrementalmente meno facile. Non dico ancora difficile perché le aree di impunibilità sono ancora enormi, ma sicuramente meno leggera.

In particolare, la volontà degli Stati Uniti di applicare sanzioni non solo contro i cyber criminali, ma anche a chi permette le transazioni dei loro profitti in criptovaluta, ha spinto le gang criminali a studiare nuove tecniche estorsive utili a eludere qualsiasi problema normativo con il pagamento di un riscatto: ad esempio, con l’uso degli NFT. Proviamo ad analizzarne i motivi.

USA, sanzioni agli exchange di criptovalute per contrastare i ransomware: i possibili impatti

L’evoluzione dei gruppi ransomware

È importante osservare, innanzitutto, che la pressione mediatica, legislativa e investigativa ha prodotto una spinta evolutiva che ha portato alla nascita o crescita di nuovi attori e la sparizione o rebranding di altri.

WHITEPAPER
Cosa fare per migliorare l’analisi dei contenuti abbassando i costi operativi?
Datacenter
Software

Nel panorama ransomware molti nomi spariscono per indagini o catture o sizedown ma altri appaiono. Recentemente sono scomparsi Avaddon, DarkSide, Noname, il relativamente nuovo Prometeo e REvil, alias Sodinokibi, BABUK e per ultimo pure BlackMatter.

Sempre nel terzo trimestre 2021, però, sono apparsi CryptBD, Grief, Hive, Karma, Thanos, Pysa e Vice Society. Anche se, a vedere le similitudini tecniche, appare assai probabile che molti siano rebrand di precedenti gruppi. Altri attori, invece, crescono come GandCrab, Conti e LockBit.

Ad esempio, recentemente, un’operazione congiunta condotta da Europol, dalla polizia norvegese e da altre autorità ha portato all’arresto di dodici persone per attacchi ransomware contro organizzazioni in tutto il mondo, compresi gli operatori di infrastrutture critiche. I sospetti sono stati coinvolti in più di 1.800 attacchi ransomware contro le vittime in 71 paesi, gli attori delle minacce si sono concentrati sulle grandi aziende. Gli arrestati appartenevano ad un gruppo fra le cui vittime figurava anche il gigante norvegese Norsk Hydro, colpito nel 2019.

Da una parte, la questione di questi ripetuti takedown conferma la validità del modello Ransomware-as-a-Service (RaaS) come parafulmine per i veri operatori. Questo perché durante le recenti azioni investigative nessuno è andato a perseguire o conosce i veri operatori dell’attacco. Ricordo, infatti, che nel modello RaaS di REvil, il gruppo intasca(va) il 20-30% di tutti i pagamenti dei riscatti, mentre il resto va agli affiliati. Chi siano gli affiliati responsabili nessuno lo sa.

Dall’altra parte, il ritmo dell’evoluzione del crimine informatico sta accelerando. È un dato di fatto. Anche la sicurezza informatica deve accelerare. Evolvi o muori. Questo vale da entrambe le parti. Le principali minacce della criminalità informatica includono programmi di affiliazione ransomware, malware mobile più sofisticato e nuovi tipi di frode online.

Fra le nuove strategie c’è sicuramente l’evoluzione delle tecniche estorsive. Già ho avuto modo di parlarne in un recente articolo a proposito del gruppo SnapMC che ha adottato tecniche estorsive che non prevedono la cifratura dei dati del clienti ed la conseguente “starvation”, cioè la negazione/interruzione dei servizi che da quei dati dipendono.

NFT e ransomware: i vantaggi per le gang criminali

Un’ulteriore interessante evoluzione riguarda gli NFT (non-fungible token) creati dai gruppi ransomware.

Ora un’organizzazione in seguito ad un attacco ransomware ha un’ulteriore opzione per dimostrare, tramite blockchain, all’attaccante che ha violato l’azienda, di aver pagato il riscatto.

In pratica funziona in questo modo. L’attaccante, prima di lanciare la sua campagna di ransomware, crea e mette in vendita un’opera NFT, su uno dei tanti marketplace dedicati, oppure, complice il fatto che questi siti non fanno controlli, trafuga un’opera vera al suo legittimo proprietario e la mette in vendita, a sua insaputa.

Successivamente l’attaccante lancia la sua campagna ransomware e, quando un’organizzazione viene compromessa, invece che chiedere un normale riscatto, chiede l’acquisto ad un prezzo stabilito dell’opera NFT precedentemente preparata.

L’organizzazione ottiene in questo modo la chiave di decifratura dei dati, ma anche un’opera d’arte NFT, spesso di bassa qualità o comunque trafugata e quindi di poco valore. Il vantaggio è che gli NFT non sono ancora acquisti tracciati.

I possibili scenari futuri

Questo è sicuramente un modo “creativo” per eludere qualsiasi problema normativo con il pagamento di un riscatto, gli avvocati delle vittime possono sempre nascondere l’evidenza dichiarando che non hanno pagato un riscatto, ma hanno investito in un NFT.

La cosa è possibile anche perché i principali market NFT hanno al momento difese anti scam deboli, cioè si possono vendere opere digitali rubate, sul mercato NFT, anche all’insaputa del vero autore o opere originali ma create con un intento criminale come quello detto.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4