Ransomware Darkside, organizzazione e affiliazione: il core business dei nuovi attacchi informatici - Cyber Security 360

SICUREZZA INFORMATICA

Ransomware Darkside, organizzazione e affiliazione: il core business dei nuovi attacchi informatici

La variante 2.0 del ransomware Darkside è l’occasione per analizzare l’evoluzione delle attività di organizzazione e affiliazione del malware, alla luce del core business dei nuovi attacchi informatici basato sul modello Ransomware-as-a-Service. Ecco il modus operandi e le soluzioni di mitigazione

13 Apr 2021
B
Giorgia Benatti

Focus team Legal Tech SC Avvocati Associati e team Compliance di SCnet Compliance&Corporate

C
Vittorio Colomba

Avvocato esperto di diritto delle nuove tecnologie

Darkside è un ransomware relativamente nuovo che ha fatto la sua prima apparizione nel mese di agosto 2020 e ora sarebbe pronto a colpire nuovamente con una versione 2.0 già rilasciata e annunciata dai suoi stessi creatori, così come riportato da Hack Forums.

Pur presentandosi come giocatore relativamente nuovo nel mondo dei malware, il team che si cela dietro Darkside si è creato una reputazione quasi fiabesca, che lo disegna come la versione moderna del leggendario eroe inglese che rubava ai ricchi per donare ai poveri.

L’accensione dei riflettori su Darkside

I riflettori si sono accesi sul fenomeno Darkside nell’ottobre 2020 quando due onlus – Children International e The Water Project – si sono viste beneficiarie di una donazione dal valore di 0,88 bitcoin, pari – allora – a dieci mila dollari. La notizia è stata diffusa direttamente dal gruppo criminale artefice della donazione che, affermando “No matter how bad you think our work is, we are pleased to know that we helped changed someone’s life”, ha pubblicato sulla propria pagina nel Dark Web gli screenshot delle transazioni.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

Brett Callow, analista presso la società di sicurezza informatica Emsisoft, ha ammesso alla BBC[1] che le vere intenzioni di Darkside non siano per nulla chiare, ma che di certo è la prima volta che un gruppo criminale compie un passo così insolito donando parte dei propri profitti in beneficenza. Parrebbe, infatti, che il business del cyber crime, nel caso di Darkside, vada di pari passo con la volontà di contribuire a rendere il mondo “un posto migliore”.

Vi è da dire, tuttavia, che le azioni “fair” del gruppo criminale non hanno riscosso l’effetto sperato. Prontamente, infatti, Children International ha affermato di non voler accettare denaro frutto di attività criminali e The Giving Block, la piattaforma utilizzata per le donazioni, si è attivata per tutti i controlli del caso.

Ma cerchiamo di delineare, con due specifici focus, come Darkside si muove, come struttura i propri attacchi e quali possono essere le prese di posizione delle vittime.

Darkside: il modus operandi del ransomware

Nel panorama internazionale del cyber crime, il gruppo Darkside si distingue per un particolare egocentrismo manifestatosi con quello che potremmo chiamare un manifesto d’intenti “Attacchiamo soltanto società che possano permettersi di pagare la somma che chiediamo” e un codice di condotta che vieta gli attacchi contro ospedali, strutture scolastiche, organizzazioni senza scopo di lucro e agenzie governative.

Questo contesto “narrativo”, tuttavia, nasconde un team professionale e organizzato che non solo ha istituito un numero di telefono e un help desk per facilitare i negoziati con le vittime, ma che ha anche fatto dichiarazioni – nel novembre 2020 – in merito allo sviluppo di un sistema di archiviazione distribuito in Iran per memorizzare e far trapelare i dati sottratti alle vittime.

Dal punto di vista tecnico, il modus operandi di Darkside rientra nel modello della double extortion (doppia estorsione): gli attaccanti non solo crittografano i dati della vittima, ma prima estrapolano i dati, poi minacciano di renderli pubblici nel proprio website ospitato sulla rete Tor ovvero attraverso il nuovo sistema di archiviazione se la richiesta di riscatto non viene pagata.

Ma cerchiamo di scandire per punti la realizzazione del disegno criminoso di Darkside[2]:

  1. Parrebbe che prima di ogni attacco, gli hacker di Darkside analizzino scrupolosamente le proprie vittime con un occhio di riguardo non solo all’infrastruttura informatica e all’organizzazione al fine di delineare attacchi ransomware personalizzati, ma anche ai bilanci per determinare ad hoc la somma per il riscatto. In questa prima fase, dopo aver guadagnato un punto d’appoggio iniziale nella rete, gli attaccanti raccolgono informazioni sulla società e procedono con il vero e proprio attacco informatico solo laddove il potenziale obiettivo non sia nella lista di soggetti esclusi alla luce del codice di condotta.
  2. Gli aggressori utilizzano la PowerShell[3] per scaricare il binario Darkside come update.exe utilizzando il comando di download e abusando di programmi integrati nei sistemi operativi come Certutil.exe e Bitsadmin.exe[4]. L’attaccante crea anche una cartella condivisa sulla macchina infetta e utilizza la PowerShell per scaricare una copia del malware.
  3. Dopo aver ottenuto con successo un punto d’appoggio su una macchina nell’ambiente della vittima, l’attaccante inizia a muoversi silenziosamente, con l’obiettivo principale di conquistare il Domain Controller (DC) o, in ogni caso, iniziare a raccogliere credenziali, dati, informazioni e file sensibili.
  4. Gli attaccanti utilizzano la PowerShell per scaricare il binario Darkside dalla cartella condivisa creata sull’host precedentemente infettato, procedendo alla creazione di un’ulteriore cartella condivisa sul DC stesso con copia del binario Darkside. Nello stadio successivo dell’attacco, avvenuta l’esfiltrazione, gli aggressori utilizzano Bitsadmin.exe per distribuire il binario ransomware dalla cartella condivisa ad altre attività nell’ambiente al fine di massimizzare il danno. Dunque, dopo aver esfiltrato, gli attaccanti mediante un’attività pianificata danno avvio all’esecuzione del ransomware[5], l’ultimo anello dell’attacco malevolo che rende definitivamente edotta la vittima di aver subito un attacco informatico.
  5. Darkside, quindi, interrompe diversi servizi relativi alle soluzioni di sicurezza e di backup, crea una stringa User_id univoca per la vittima e la aggiunge all’estensione dei file crittografati (che risultano rinominati ad esempio File_name>. {user_id}). Infine, il malware potrebbe cambiare le icone dei file crittografati, modificare lo sfondo del desktop e terminare il proprio attacco lasciando una nota di riscatto: README. {userid}. TXT.

A fronte dei tentativi delle autorità e degli operatori di cyber-security di bloccare i veicoli di pubblicazione dei dati esfiltrati, pare che il gruppo Darkside preveda di istituire un sistema di archiviazione distribuito in Iran volto a memorizzare (per sei mesi) e pubblicare i dati sottratti alle vittime.

In tal modo, la conservazione avverrebbe mediante una continua replicazione dei dati tra più server ed ogni tentativo volto a bloccare uno di questi non sarà in grado di eliminare i dati, che rimarranno accessibili mediante gli altri server.

Il modello Ransomware-as-a-Service (Raas)

Il nuovo ceppo di ransomware, che pare essere sulla strada di una versione 2.0. dotata della crittografia più veloce sul mercato, si caratterizza anche per la sua familiarità con il modello di Ransomware-as-a-Service (RaaS).

Tale modello è la naturale evoluzione (se così possiamo definirla) di uno storico commercio di software malevoli personalizzati che si celava in forum criminali o in pagine del dark web. Il paradigma informatico dell’Everything-as-a-Service ha portato, infatti, ad un’evoluzione anche nella fornitura di questo tipo di servizio, al quale oggi è possibile accedere in due modi: assoldando un hacker per la scrittura e la programmazione di un malware con specifici requisiti, ovvero utilizzando direttamente una piattaforma Ransomware-as-a-Service.

In questo contesto, il malware può presentarsi non solo come un vero e proprio prodotto “pronto all’uso” venduto nei black marketplace, ma può essere personalizzato direttamente dall’acquirente guidato da tools e piattaforme online create dagli hacker stessi. La vera innovazione, infatti, è rappresentata dalle numerose malware-as-a-service platform[6] che, grazie a funzionalità in grado di rispondere ad ogni esigenza, permettono anche ad utenti principianti di creare codici malevoli, personalizzarli e distribuirli[7].

Il grande successo che sta riscontrando il modello di business RaaS non è solo la causa diretta del continuo diversificarsi dei ceppi ransomware, ma sta ampliando il numero e la natura di attori nel dark web rendendo sempre più concreta la possibilità di diventare artefici di cyber-estorsioni senza avere particolari competenze tecniche.

Infatti, il Ransomware-as-a-Service è fortemente redditizio per entrambe le parti coinvolte:

  1. gli sviluppatori hanno importanti possibilità di allargare e diversificare i vettori di infezione e le potenziali vittime, includendo anche quelle che non sarebbero in grado di raggiungere con le modalità tradizionali;
  2. gli acquirenti o gli affiliati RaaS possono ottenere un ransomware semplicemente configurando alcune funzionalità e ricoprire materialmente il ruolo di attaccanti informatici distribuendo il malware alle proprie vittime.

L’attività di Darkside si cala perfettamente in tale contesto: gli sviluppatori programmano il malware che è poi diffuso da hacker terzi secondo un accordo che riserverebbe il 10-25% delle somme ottenute dai riscatti agli sviluppatori e il 75-90% agli “esecutori materiali” degli attacchi.

Su tale linea, nel novembre scorso, in un forum hacker russo è apparsa una vera e propria campagna di reclutamento, nella quale gli hacker candidati al ruolo di collaboratori dovrebbero sostenere un colloquio rispondendo alle domande degli sviluppatori Darkside.

A sostegno delle proprie affermazioni, il gruppo Darkside avrebbe depositato sul forum 20 Bitcoin affinché possano essere trasferiti ad altri membri per acquistare software, servizi o informazioni.

Come reagire ad una richiesta di riscatto

La frustrazione generata dalla nuova modalità di cyber estorsione (minaccia di pubblicazione dei dati esfiltrati) non può essere placata attraverso gli strumenti già ampiamente adottati nei casi di incidenti informatici.

Primi fra tutti i sistemi di backup offline e sistemi avanzati di identification e detection della minaccia che risultano spesso decisivi, ma nei soli contesti di single extortion. Non è d’aiuto nemmeno l’implementazione di misure tecniche e buone prassi che risultano fondamentali in vista di una piena tutela pro futuro[8], ma non sono risolutive per l’attacco in corso.

I fattori che entrano inevitabilmente in gioco sono il vantaggio che i concorrenti possono trarre dalla visione dei propri dati pubblicati, il danno di immagine nei confronti di clienti e fornitori, l’esposizione di ogni struttura, prassi e organizzazione interna, nonché i rischi e i possibili danni ai quali si espongono dati personali e dati soggetti a segreti professionali piuttosto che industriali. Tutti questi elementi incidono pesantemente sulle determinazioni del management in merito alla richiesta di riscatto.

In tale contesto la vittima deve, tuttavia, tenere in conto anche la concreta fattibilità e legittimità del pagamento del riscatto anche alla luce della particolare attenzione che le Autorità stanno riservando ai temi dei virtual asset in connessione con attività ransomware.

Infatti, le Autorità antiriciclaggio nazionali e internazionali hanno sollecitato i soggetti obbligati al rispetto della normativa di settore affinché vi sia una maggiore attenzione al fenomeno di circolazione di proventi illeciti connessi ad attività di ransomware.

Anche secondo le recenti istruzioni del Financial Crimes Enforcement Network (FinCEN) statunitense sia l’estorsione che la frode informatica sono qualificati come reati presupposto del riciclaggio e in tale contesto le istituzioni finanziarie giocano un ruolo centrale nella riscossione dei pagamenti dei riscatti.

La Financial Intelligence Unit, su tale linea, ha identificato alcuni red flags indicators (indicatori di anomalia) per supportare i soggetti obbligati nell’attività volta ad individuare e segnalare operazioni sospette.

Fra questi identificatori si annoverano quelli derivanti da informazioni che collegano il cliente o la controparte ad attività di ransomware; la giustificazione dell’operazione finanziaria come pagamento di un attacco ricevuto; l’effettuazione di transazioni in valuta virtuale di importi rilevanti da parte di un cliente che detenga dati informatici particolarmente sensibili, ovvero da un cliente che abbia mostrato una conoscenza limitata delle valute virtuali convertibili.

A fronte della certa rilevanza penale delle condotte di violazione dei sistemi informatici e della particolare attenzione degli intermediari agli indicatori di anomalia, la vittima deve considerare anche la possibile punibilità nel nostro ordinamento della condotta costituita dal pagamento del riscatto.

Una prima ipotesi configurabile in astratto potrebbe essere quella del reato di favoreggiamento, alla luce del quale il pagamento del riscatto integrerebbe l’aiuto nell’assicurare il prodotto o il profitto o il prezzo di un reato.

Senza dimenticare che in ambito societario, sarà necessario tenere a mente quanto previsto dal D.lgs. 231/2001 in merito ai reati commessi nell’interesse e a vantaggio dell’ente. E così, nello specifico, i reati tributari, i reati di false comunicazioni sociali, ostacolo all’esercizio delle funzioni dell’autorità di vigilanza, impedito controllo o autoriciclaggio nel caso in cui il denaro utilizzato per il pagamento sia proveniente da attività illecita.

A ciò si aggiunga che il pagamento del riscatto potrebbe costituire altresì una violazione di principi cristallizzati nel Codice Etico che, nell’economia delineata dal D.lgs. 231/2001, mira a raccomandare, promuovere o vietare determinati comportamenti e può contenere un apparato sanzionatorio disciplinare tarato in base alla gravità delle eventuali infrazioni commesse.

Conclusioni

La continua evoluzione tecnologica e la decentralizzazione di ogni operazione avente ad oggetto dati e (cripto) valute non solo stanno rivoluzionando la nostra società, ma stanno mutando profondamente anche la realtà “sotterranea” del cyber crime. Dovremo sempre più modificare lo stereotipo tradizionale dell’hacker come esperto informatico nascosto dietro un pc, verso un’idea molto più complessa di una vera e propria organizzazione criminale strutturata, dotata di capitale e di diverse figure operative. Di un’organizzazione che, muovendosi in un proprio mercato caratterizzato da una forte concorrenza, tenderà a sviluppare tecniche e approcci sempre nuovi che le vittime potranno solo tentare di prevedere.

NOTE

  1. Tidy J., Mysterious ‘Robin Hood’ hackers donating stolen money, in BBC News, 20 ottobre 2020, Mysterious ‘Robin Hood’ hackers donating stolen money – BBC News.
  2. Per una descrizione dettagliata si veda il contributo di Rochberger L., “Cybereason vs. DarkSide Ransomware”, in Securityboulevard.com, primo aprile 2021.
  3. La PowerShell è una soluzione di automazione di attività eseguita in Windows, Linux e macOS. È costituita da una Shell di comandi che include una vastissima gamma di funzionalità, da un linguaggio di scripting e da un Framework di gestione della configurazione, che consente di governare l’infrastruttura aziendale con la configurazione come codice.
  4. Si tratta di file eseguibili contenenti codice macchina completamente integrati nei sistemi operativi che consentono, ad esempio, il download di file o certificati digitali e la memorizzazione sul computer.
  5. Dalle descrizioni riportate sul web, parrebbe che il ransomware Darkside non crittografi i file sui sistemi con determinate lingue installate: Russian – 419, Azerbaijani (Latin) – 42C, Uzbek (Latin) – 443, Uzbek (Cyrillic) – 843, Ukranian – 422, Georgian – 437, Tatar – 444, Arabic (Syria) – 2801, Belarusian – 423, Kazakh – 43F, Romanian (Moldova) – 818, Tajik – 428, Kyrgyz (Cyrillic) – 440, Russian (Moldova) – 819, Armenian – 42B, Turkmen – 442, Azerbaijani (Cyrillic) – 82C.
  6. L’evoluzione delle piattaforme di Ransomware-as-a-Service è costante ed è volta a garantire, a fronte di semplicità di utilizzo, sempre maggiori funzionalità e potenzialità. Fra le tante piattaforme si segnala RaaSberry che permette, mediante un pannello di controllo, di verificare in tempo reale le attività relative alla diffusione del ransomware e, in particolare, il numero di utenti infettati e di ransomware che l’utente ha messo in circolazione, nonché l’ammontare di denaro raccolto in virtù dei riscatti pagati.
  7. Il tema è affrontato in modo puntuale nel paper “ZLAB Malware Analysis Report Ransomware-as-a-Service platforms” redatto da Cse Cybsec Enterprise SPA.
  8. Si rimanda alle raccomandazioni descritte nel report “Ransomware 2018-2020” frutto dell’analisi dei ransomware nel biennio 2018-2020 divulgato da Kaspersky.

WHITEPAPER
Come implementare nel digital workspace una piattaforma di lavoro sicura e intelligente?
Istruzione
Networking
@RIPRODUZIONE RISERVATA

Articolo 1 di 5