SICUREZZA INFORMATICA

L’evoluzione delle gang criminali: dal ransomware al pizzoware

Un recente post sul blog di Microsoft illustra le nuove caratteristiche che gli attacchi ransomware stanno assumendo e ci permette di ricavare alcune indicazioni su possibili evoluzioni, e difese, di questa tipologia di attacchi

17 Mag 2022
B
Fabrizio Baiardi

Professore Ordinario di Informatica, Responsabile gruppo ICT risk assessment and management, Università di Pisa

I ransomware sono una tipologia di malware tra le più temibili e il principale motivo della loro pericolosità sta nella continua evoluzione. Chiaro, dunque, che il settore della cyber security tenga sotto osservazione ogni minimo trend o mutazione che si riscontri in qualsiasi variante. 

Le nuove caratteristiche dei ransomware hanno due principali origini:

  1. Un’evoluzione dell’ecosistema degli attacchi ransomware.
  2. I nuovi comportamenti degli attacchi.

Partiamo dai cambiamenti generati dalle evoluzioni dell’ecosistema criminale del ransomware. Il post di Microsoft evidenzia che i vari attori nell’ecosistema si stanno specializzando e che per questa ragione stanno emergendo tre tipi di gruppi di criminali:

  1. gli operator, gruppi criminali che sviluppano il payload per implementare gli attacchi ransomware che poi cedono ai loro affiliati in un contesto di ransomware-as-a-service;
  2. gli access broker, gruppi criminali che realizzano l’attacco iniziale che ha come risultato un accesso iniziale ad un potenziale sistema target;
  3. gli affiliati, cioè i gruppi che usano il payload prodotto da un operator e ed un accesso fornito da un access broker.

Cyber security, ecco le quattro tecnologie che la stanno rivoluzionando

I protagonisti del mondo ransomware

Un affiliato esegue una catena di attacchi che parte dall’accesso acquistato e aumenta i suoi privilegi sul sistema target. Ottenuti i diritti necessari lancia il payload per l’attacco fornito da un operator, conduce le trattative e incassa il riscatto. Questo viene poi suddiviso in percentuali diverse tra i tre gruppi coinvolti in uno stesso attacco.

candidatura
Passione per il diritto dell’informatica? Candidati per il team Legal di P4I!
Legal
Privacy

Gli access broker e gli affiliati effettuano anche una selezione sui possibili bersagli in base sia al fatturato, e quindi al potenziale riscatto, sia alle difese nel sistema target, che determinano la probabilità di successo dell’attacco. Il rapporto tra potenziali bersagli e attacchi con successo può essere anche di uno a mille.

In una situazione come questa, che è dominata da ransomware-as-a-service degli operator e access-as-a-service degli access broker, è estremamente difficile attribuire un attacco ransomware a partire da un’analisi del software prodotto da un operator o dalle tattiche, tecniche e procedure per l’accesso iniziale usate dall’access broker. Infatti questi sono gruppi diversi da quello di un affiliato che lancia l’ultimo step, che comprende i movimenti laterali e la privilege escalation nel sistema target, l’esecuzione del payload e la conduzione della trattativa per il riscatto.

La suddivisione dei compiti nelle cyber gang criminali

Il post considerato evidenzia che la suddivisione del lavoro utilizzata impedisce una completa automazione dell’intrusione, perché l’access broker deve selezionare i sistemi dove eseguire l’accesso iniziale da mettere poi sul mercato. Ciò richiede che un esperto umano analizzi il potenziale target per valutare la complessità delle azioni dell’affiliato, che dovrà evitare le difese e accedere ai punti migliori per eseguire il payload.

Questa complessità potrebbe determinare il costo dell’accesso messo in vendita. Altre attività umane hanno luogo quando interviene l’affiliato, che spesso opera non solo per lanciare il ransomware ma anche per esfiltrare le informazioni su un proprio sistema. Esfiltrare le informazioni è fondamentale per realizzare quella che viene ormai indicata come doppia estorsione, ovvero l’acquisto della chiave per decifrare e quella per riacquistare le informazioni cifrate e garantirsi che non verranno rese pubbliche.

Anche quando il sistema target potrebbe essere ripristinato a partire dai backup disponibili, la minaccia di rivelare le informazioni esfiltrate è un fattore che può spingere un azienda o un ente al pagamento del riscatto.

Cyber gang: chi sono e come agiscono i gruppi criminali più pericolosi

La doppia estorsione

La doppia estorsione è estremamente efficace nel caso di furto di dati protetti dal GDPR, perché in questo caso l’attaccato è suscettibile di sanzioni per aver diffuso, o mal difeso, dei dati protetti. È anche altrettanto efficace nel caso di proprietà intellettuale o di informazioni finanziarie. In ognuno dei casi precedenti, è utile ricordare che non è possibile dimostrare a terzi di aver cancellato una informazione, o meglio tutte le possibili copie di una informazione, in proprio possesso. Quindi chi cede ad una doppia estorsione si fida ciecamente del gruppo criminale che lo sta attaccando.

L’adozione di una strategia di doppia estorsione aumenta la redditività di un attacco ransomware, perché aumenta la probabilità che la vittima paghi, ma aumenta anche la complessità dell’attacco. Un attacco di doppia estorsione è infatti molto più simile a un attacco tradizionale dei precedenti attacchi ransomware che si limitavano sostanzialmente a lanciare il payload per cifrare le informazioni.

Differenze tra ransomware vecchi e nuovi

La similitudine tra nuovi attacchi ransomware e un attacco tradizionale aumenta anche perché spesso l’attaccante vuole sia esfiltrare le informazioni, sia garantirsi la persistenza, cioè ottenere un accesso permanente al sistema attaccato. Per esempio, ciò si può realizzare creando un account o installando un proprio rootkit. L’accesso permanente permette di ripetere più volte un attacco alle stesse risorse o a risorse diverse di uno stesso sistema target. Se l’attaccante ha ottenuto la persistenza, massimizzerà il rendimento di quanto investito pagando l’access broker e l’operator implementando più attacchi ed imponendo nuovi riscatti. Per ottenere la garanzia che non ci saranno ulteriori richieste di riscatti, non basta perciò pagare il riscatto, ma occorre sradicare dal proprio sistema gli strumenti utilizzati dall’attaccante per persistere sul sistema stesso.

Personalmente penso che la doppia estorsione e la capacità di sfruttare la persistenza per ripetere più attacchi sono chiari sintomi del passaggio dell’ecosistema criminale da una forma di remunerazione basata sul riscatto a una basata sul pizzo, ovvero sulla estorsione periodica di una cifra basata sul fatturato per garantire che le proprie informazioni non diventino pubbliche.

Come nel mondo reale, il criminale che richiede il pizzo può essere sconfitto solo controllando il proprio ambiente, nel nostro caso occorre controllare il proprio sistema. Estorsioni basate su pagamenti periodici sono di particolare interesse nell’economia italiana perché possono rendere convenienti anche attacchi a un numero elevato di piccole e medie imprese, che non possono quindi ritenersi al sicuro perché il loro fatturato non permette il pagamento del riscatto elevato che rende conveniente il singolo attacco ransomware.

L’affiliato che si muove lateralmente in un sistema target e lancia l’attacco ransomware capisce che non è necessario cifrare o esfiltrare tutto, ma basta codificare solo alcune informazioni, alcuni database critici per l’azienda o i boot record di alcuni server, oppure che è necessario cancellare un back up o una shadow copy. Quindi, in ogni attacco, l’affiliato esegue delle personalizzazioni per minimizzare il suo sforzo o aumentare la probabilità che il riscatto venga pagato. Spesso l’affiliato non deve nemmeno utilizzare il ransomware e gli basta esfiltrare alcuni file per estorcere il ricatto. Oltre ad uno sforzo minimo, in questo caso l’affiliato non deve nemmeno versare una royalty al ransomware operator.

Attacchi ransomware personalizzati

La conseguenza più importante di tutti questi cambiamenti nell’ecosistema criminale del ransomware è però un’altra. In passato, l’attacco ransoware era un attacco automatizzato e di massa, cioè era fondamentalmente realizzato lanciando un payload, un modulo software che si comportava nello stesso modo qualunque fosse il suo bersaglio. Da questi attacchi era possibile proteggersi con politiche di backup e con strumenti basati su “protection by detection” cioè strumenti di rilevazione di attacchi basati sulla rilevazione delle firme dei diversi payload utilizzati dalle varie gang criminali. Ora non è più cosi, e l’attacco di massa e automatizzato ha lasciato il passo ad un attacco personalizzato per ogni bersaglio. La personalizzazione è permessa da un “tocco umano” che precede e personalizza l’utilizzo del ransomware e, talvolta, permette di non usarlo. Questo nuovo modus operandi criminale sfrutta le vulnerabilità dei sistemi, gli errori di progetto e configurazione come un qualsiasi attacco per esfiltrare informazioni, installare malware e manipolare alcuni componenti del sistema target.

La presenza del “tocco umano” e il mancato utilizzo di un payload rende poco efficaci strumenti di difesa basati su “protection by detection” e, molto probabilmente, anche quelli basati su rilevazioni di anomalie, proprio perché il “tocco umano” è sempre diverso ed unico. Un esempio interessante del “tocco umano” può essere quello che permette di raggiungere una impianto di automazione industriale e lanciare in questa rete il payload ransomware. In altri termini, il “tocco umano” permette di raggiungere più facilmente sistemi di industria 4.0 e imporre un pizzo anche su questa classe di sistemi.

0-day sempre più usate nelle intrusioni: come sono sfruttate e come difendersi

La strategia di protection by detection

È difficile non essere d’accordo con il post Microsoft quando dice che contro questa evoluzione delle gang criminali occorre sostituire la strategia di difesa basata su “protection by detection” con una strategia proattiva, basata sulla valutazione del rischio cyber. Questa strategia deve integrare politiche di mitigazione del cyber risk basate su hardening dei componenti, politiche di patching e di backup. Contromisure ben note che devono essere configurate e coordinate in modo adeguato, senza invocare in modo sciamanico uno strumento taumaturgico di ultimissima generazione.

L’ultima parte del post fornisce informazioni di threat intelligence basate sull’analisi delle attività di sette gruppi criminali, delle loro strategie di sviluppo software e di scambio di informazioni e affiliati. Una prima considerazione d’obbligo su queste informazioni è quanto l’ampia cooperazione e integrazione tra gang criminali ostacoli l’attribuzione di un attacco ransomware. Gli ostacoli posti all’attribuzione sono dovuti per esempio a programmatori che passano da un gruppo ad un altro, a versioni diverse di uno stesso payload ognuna sviluppata da un diverso gruppo, o a gruppi che affittano ad altri le botnet che usano per attaccare. Per esempio, secondo Microsoft, il gruppo Conti è in realtà formato da più gruppi che operano con strategie e strumenti diversi. Le informazioni rese pubbliche su Conti e di cui parlava un articolo di Agendadigitale.eu, si riferirebbero solo a uno dei gruppi affiliati a Conti e che avrebbe sviluppato anche alcuni dei wiper utilizzati contro l’Ucraina.

I gruppi di affiliati analizzati cambiano il payload non appena un operator esce dal mercato criminale o alcuni dei suoi membri vengono arrestati. Lo stesso gruppo può utilizzare un vecchio payload sviluppato autonomamente o uno di un ransomware operator in base alle disponibilità finanziarie o al target di interesse. Un altro “tocco umano” di cui tener conto. Un’altra ragione per tornare a un vecchio payload è la disponibilità di strumenti pubblici per decifrare gli output del nuovo payload. Alcuni gruppi disabilitano gli antivirus che non sono adeguatamente protetti, ed usano Cobalt Strike per muoversi nella rete.

La varietà di tecniche utilizzate evidenziano, forse ancor più del “tocco umano”, che in uno scenario con questa diversità di comportamenti, tattiche e payload la “protection by detection” difficilmente può essere efficace contro tutti gli attaccanti e quindi ci resta solo la strategia proattiva basata sull’aumento di robustezza del sistema da difendere.

Qualche osservazione finale

Due ultime osservazioni. La prima riguarda l’unico gruppo criminale a cui Microsoft attribuisce la nazionalità cinese. Questo è l’unico tra i gruppi analizzati che gestisce autonomamente tutte le fasi di un attacco ransomware dallo sviluppo del payload all’incasso del riscatto. Resta da capire se, anche in gruppi di questa nazionalità, assisteremo alla specializzazione su singole fasi dell’attacco oppure se verrà privilegiata l’autonomia completa che per ora pare prevalere.

La seconda osservazione riguarda la presenza di gruppi criminali non particolarmente sofisticati la cui strategia di attacco è basata sul controllo delle credenziali di amministratore che poi usano per lanciare payload o modificare le configurazioni di componenti per semplificare un attacco. Il successo degli attacchi di questi gruppi è anche facilitato da una pessima pratica in uso in molti sistemi e che prevede di eseguire applicazioni critiche come processi di un account con i massimi privilegi esistenti. Ciò garantisce che l’applicazione potrà disporre di uno qualunque dei privilegi che potrebbe richiede. Ovviamente, l’applicazione disporrà anche di tutti i privilegi che non richiede ma che un attaccante saprà utilizzare al meglio. Questa cosciente violazione del privilegio minimo e della gestione delle credenziali di autenticazione è il tipico esempio delle cattive pratiche che semplificano il compito delle varie gang criminali.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 4