L'ANALISI

SnapMC: il gruppo di hacking che ruba dati sensibili e chiede il riscatto, ma senza ransomware

Si chiama SnapMC ed è un nuovo gruppo di hacking che ha nella rapidità d’azione (da cui il nome) il suo punto di forza: danneggiare asset intangibili di valore inestimabile (brevetti, reputazione, brand) rubando dati e chiedendo il riscatto, senza però usare alcun ransomware. Ecco tutti i dettagli

10 Nov 2021
Cesare Burei

Broker e consulente assicurativo

F
Enrico Frumento

Cybersecurity Senior Domain Specialist, Cefriel - Politecnico di Milano

Il mondo del cyber crime è sempre alla ricerca di nuove strategie di attacco, sia per differenziare le proprie attività in un mercato (quello degli operatori di ransomware) comunque competitivo, sia per evitare di attirare l’attenzione delle forze di Polizia: recentemente è emersa come degna di attenzione la strategia del gruppo SnapMC, il cui nome deriva dal loro tipico schema di attacco rapido.

Analizziamone le caratteristiche principali e il modus operandi che lo rendono di fatto unico nello scenario dei gruppi di hacking.

SnapMC: caratteristiche e modus operandi

Questo nuovo gruppo di hacking è caratterizzato da due elementi particolari che raccontano un cambio di strategia, una sorta di ritorno al passato. L’intento di SnapMC è duplice: danneggiare asset intangibili di valore inestimabile (brevetti, reputazione, brand) e non incappare nelle accuse di ransom che vengono sempre più pesantemente punite.

17 novembre, milano
Spalanca le porte all’innovazione digitale! Partecipa a MADE IN DIGItaly

Le principali caratteristiche del gruppo sono due:

  1. Ha uno scanner di vulnerabilità automatico e avanzato per penetrare una rete. Lo scanner testa più vulnerabilità nelle applicazioni web server e VPN per l’accesso iniziale e in genere compromette le reti delle vittime in meno di 30 minuti. Tecnicamente parlando questo è sicuramente l’asset di maggiore pregio del gruppo.
  2. Non fa attività bloccanti di ransomware ma solo esfiltrazione e riscatto per evitare la pubblicazione dei dati rubati. Il gruppo esfiltra i dati delle vittime per sfruttarli per l’estorsione, ma non utilizza ransomware o altri mezzi per interrompere le operazioni della vittima. SnapMC minaccia di pubblicare i dati rubati online a meno che non venga pagato un riscatto, fornisce alle vittime un elenco dei dati rubati come prova di violazione e persino dettagli su come riprodurre l’attacco.

Una volta che i dati sono stati esfiltrati, la storia cambia e inizia a sembrare un ricatto vero e proprio.

L’organizzazione vittima viene informata via e-mail del furto di dati e inizia l’estorsione: la vittima ha 24 ore per rispondere e 72 ore per negoziare.

Viene tipicamente incluso un elenco dei dati rubati e, se i tempi non vengono rispettati, i dati possono essere pubblicati su siti pubblicamente accessibili.

Una nuova strategia di attacco dei gruppi ransomware

In un certo senso l’attività estorsiva è stata già tentata da altri gruppi. Di qualche mese fa l’annuncio di BABUK, noto operatore ransomware, di un cambio di strategia. Il team aveva deciso di chiudere il programma di affiliazione RaaS e passare a un modello di estorsione che non si basa sulla crittografia dei computer delle vittime.

In sostanza, invece che usare ransomware as a service (RaaS), viene usato una più semplice e classica estorsione senza crittografia, chiedendo un riscatto per le informazioni rubate. Potremmo chiamarlo data breach hosting as a service (DB HaaS) o puro e semplice data brokerage. All’annuncio era seguito il lancio della piattaforma Payload Bin.

SnapMC: implicazioni in termini di cyber crime e assicurativo

La questione de gruppo SnapMC è interessante sotto alcuni punti di vista:

  1. Il primo perché è sintomo di una costante ricerca di nuovi piani di business. Dopotutto, anche i cybercriminali sono investitori e come noi fanno dei piani di business, accettano un rischio di impresa e cercano nuovi sbocchi commerciali.
  2. Il secondo, perché un sistema di questo tipo ha implicazioni assicurative, visto che non si profila come un attacco ransomware vero e proprio. Paradossalmente però, i costi nascenti dal caso descritto risultano più facilmente trasferibili all’assicurazione. Solitamente sono previste infatti garanzie per il ristoro dei costi di reazione ed indagine che nascono da una “violazione di sicurezza” o “incidente di sicurezza” che dir si voglia – purché la vittima sia in grado di documentare compiutamente quanto accaduto – togliendo l’assicurato dall’imbarazzo di dover dimostrare che non sia stata una azione involontaria interna (il “famoso” clic sulla mail).
  3. Il terzo, è interessante notare che non siano minimamente interessati ad uno schema di attacco APT, visto che addirittura danno indicazioni su come sono penetrati. La questione va letta anche lato business, non hanno paura di ridurre il numero di “vittime” a disposizione.

Cosa impariamo dall’analisi del gruppo SnapMC

La “lezione” generale che possiamo trarre è che gli attacchi arrivano dal nulla, le loro origini sono nascoste da strati di sofisticata tecnologia. Solo le vittime sono chiare.

Ma, ogni crimine ha il suo colpevole, individui o gruppi specifici seduti da qualche parte dietro tastiere e schermi con precisi piani di business.

Abbiamo superato da tempo l’era dell’hacker adolescente solitario che si rifugia nel seminterrato dei suoi genitori.

La criminalità informatica ora funziona come un business. I beni e servizi del cyber crime possono essere illeciti, ma è una industria altamente organizzata, complessa, guidata dal profitto e globalmente interconnessa.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3