Sei mesi fa, secondo il Dipartimento di Giustizia degli Stati Uniti (DOJ), il Federal Bureau of Investigation (FBI) si è infiltrato nella banda del ransomware Hive e ha iniziato a “rubare” le chiavi di decrittazione per le vittime i cui file erano stati colpiti.
Come quasi certamente, e purtroppo, saprete, gli attacchi ransomware di questi tempi coinvolgono in genere due gruppi associati di criminali informatici.
Questi gruppi spesso si “conoscono” solo con dei soprannomi e si “incontrano” solo online, utilizzando strumenti di anonimato per evitare di conoscere (o rivelare, per caso o per progetto) le identità e le posizioni reali degli altri.
I membri principali della banda rimangono in gran parte in secondo piano, creando programmi dannosi che crivellano (o bloccano in altro modo l’accesso a) tutti i file importanti, utilizzando una chiave di accesso che tengono per sé dopo che il danno è stato fatto.
Gestiscono anche una o più “pagine di pagamento” su darkweb, dove le vittime, in senso lato, vanno a pagare un ricatto in cambio di quelle chiavi di accesso, consentendo così di sbloccare i loro computer congelati e di far ripartire le loro aziende.
Crimeware-as-a-Service
Questo nucleo centrale è circondato da un gruppo di “affiliati”, possibilmente numeroso e in continua evoluzione: partner nel crimine che si introducono nelle reti altrui per impiantare i “programmi di attacco” del nucleo centrale il più ampiamente e profondamente possibile.
Il loro obiettivo, motivato da una “commissione” che può arrivare fino all’80% del totale del ricatto pagato, è quello di creare un’interruzione così diffusa e improvvisa di un’attività commerciale da poter richiedere non solo un pagamento estorsivo da capogiro, ma anche di lasciare alla vittima poca scelta se non quella di pagare.
Questo accordo è generalmente noto come RaaS o CaaS, abbreviazione di ransomware (o crimeware) as-a-service, un nome che ricorda ironicamente che la malavita informatica è felice di copiare il modello di affiliazione o franchising utilizzato da molte aziende legittime.
Recuperare senza pagare
Ci sono tre modi principali in cui le vittime possono rimettere in piedi le loro aziende senza pagare dopo un attacco di file-lockout di rete riuscito:
- Avere un piano di recupero solido ed efficiente. In generale, ciò significa non solo disporre di un processo di backup di prim’ordine, ma anche sapere come tenere almeno una copia di backup di tutto al sicuro dagli affiliati del ransomware (non c’è niente di meglio che trovare e distruggere i vostri backup online prima di scatenare la fase finale del loro attacco). È inoltre necessario aver fatto pratica su come ripristinare tali backup in modo affidabile e rapido, tanto da renderlo un’alternativa valida al semplice pagamento.
- Individuare una falla nel processo di blocco dei file utilizzato dagli aggressori. Di solito, i criminali del ransomware “bloccano” i vostri file criptandoli con lo stesso tipo di crittografia sicura che potreste usare voi stessi per proteggere il vostro traffico web o i vostri backup. Occasionalmente, tuttavia, la banda principale commette uno o più errori di programmazione che possono consentire di utilizzare uno strumento gratuito per “decifrare” la crittografia e recuperare i file senza pagare. Tenete presente, tuttavia, che questo percorso di recupero avviene per fortuna, non per progetto.
- Entrate in possesso delle password o delle chiavi di recupero in qualche altro modo. Anche se questo è raro, ci sono diversi modi in cui può accadere, come ad esempio: identificare un voltagabbana all’interno della banda, che farà trapelare le chiavi in un impeto di coscienza o di dispetto; trovare un errore nella sicurezza della rete che permetta un contrattacco per estrarre le chiavi dai server nascosti dei criminali; oppure infiltrarsi nella banda e ottenere l’accesso sotto copertura ai dati necessari nella rete dei criminali.
L’ultimo di questi, l’infiltrazione, è ciò che il DOJ afferma di essere riuscito a fare per almeno alcune vittime di Hive dal luglio 2022, apparentemente cortocircuitando richieste di ricatto per un totale di oltre 130 milioni di dollari, relative a più di 300 attacchi individuali, in soli sei mesi.
Presumiamo che la cifra di 130 milioni di dollari si basi sulle richieste iniziali degli aggressori; i truffatori di ransomware a volte finiscono per accettare pagamenti più bassi, preferendo prendere qualcosa piuttosto che niente, anche se gli “sconti” offerti spesso sembrano ridurre i pagamenti solo da inaccessibili a enormi cifre. La richiesta media basata sui dati sopra riportati è di 130 milioni di dollari/300, ovvero quasi 450.000 dollari per vittima.
Ospedali considerati bersagli giusti
Come sottolinea il DOJ, molte bande di ransomware in generale, e il gruppo Hive in particolare, trattano tutte le reti come un gioco da ragazzi per il ricatto, attaccando organizzazioni finanziate con fondi pubblici come scuole e ospedali con lo stesso vigore che usano contro le aziende commerciali più ricche:
[Il gruppo di ransomware Hive […] ha preso di mira più di 1500 vittime in oltre 80 Paesi del mondo, tra cui ospedali, distretti scolastici, aziende finanziarie e infrastrutture critiche.
Sfortunatamente, anche se infiltrarsi in una moderna banda di criminali informatici potrebbe darvi fantastiche intuizioni sulle TTP (strumenti, tecniche e procedure) della banda e, come in questo caso, darvi la possibilità di interrompere le loro operazioni sovvertendo il processo di ricatto su cui si basano quelle richieste di estorsione da capogiro…
… conoscere anche solo la password dell’amministratore di una banda per l’infrastruttura informatica basata sul darkweb dei criminali, in genere, non vi dice dove si trova quell’infrastruttura.
Pseudoanonimato bidirezionale
Uno dei grandi/terribili aspetti del darkweb (a seconda del motivo per cui lo si usa e da che parte si sta), in particolare della rete Tor (abbreviazione di onion router) che è ampiamente favorita dai criminali di ransomware di oggi, è quello che si potrebbe definire il suo pseudoanonimato bidirezionale.
Il darkweb non si limita a proteggere l’identità e la posizione degli utenti che si connettono ai server ospitati su di esso, ma nasconde anche la posizione dei server stessi ai clienti che li visitano.
Il server (almeno per la maggior parte) non sa chi siete quando vi connettete, il che attira clienti come gli affiliati della criminalità informatica e gli aspiranti acquirenti di droga del darkweb, perché tendono a pensare che saranno in grado di tagliare e scappare in modo sicuro, anche se gli operatori della banda principale vengono arrestati.
Allo stesso modo, gli operatori di server disonesti sono attratti dal fatto che, anche se i loro clienti, affiliati o i loro stessi sysadmin vengono arrestati o denunciati o hackerati dalle forze dell’ordine, non saranno in grado di rivelare chi sono i membri della banda principale o dove ospitano le loro attività online dannose.
Finalmente il ritiro
Sembra che il motivo del comunicato stampa di ieri del Dipartimento di Giustizia sia che gli investigatori dell’FBI, con l’assistenza delle forze dell’ordine in Germania e nei Paesi Bassi, hanno ora identificato, localizzato e sequestrato i server darkweb utilizzati dalla banda Hive:
Infine, il Dipartimento ha annunciato oggi[2023-01-26] che, in coordinamento con le forze dell’ordine tedesche (la Polizia criminale federale tedesca e il Comando di polizia di Reutlingen-CID di Esslingen) e con l’Unità nazionale olandese per il crimine ad alta tecnologia, ha sequestrato il controllo dei server e dei siti web che Hive utilizza per comunicare con i suoi membri, interrompendo la capacità di Hive di attaccare ed estorcere vittime.
Cosa fare?
Abbiamo scritto questo articolo per applaudire l’FBI e i suoi partner europei per essere arrivati a questo punto…
… indagando, infiltrandosi, facendo ricognizione e infine colpendo per far implodere l’attuale infrastruttura di questa famigerata banda di ransomware, con le loro richieste di ricatto da mezzo milione di dollari in media e la loro volontà di eliminare gli ospedali con la stessa facilità con cui attaccano le reti di chiunque altro.
Purtroppo, probabilmente avrete già sentito il luogo comune secondo cui il crimine informatico aborre il vuoto, e questo è tristemente vero per gli operatori di ransomware così come per qualsiasi altro aspetto della criminalità online.
Se i membri della banda principale non vengono arrestati, potrebbero semplicemente rimanere inattivi per un po’, per poi ricomparire con un nuovo nome (o forse addirittura far rivivere deliberatamente e con arroganza il loro vecchio “marchio”) con nuovi server, accessibili ancora una volta sul darkweb ma in una nuova e ora sconosciuta posizione.
Oppure altre bande di ransomware aumenteranno semplicemente le loro operazioni, sperando di attirare alcuni degli “affiliati” che sono stati improvvisamente lasciati senza il loro lucroso flusso di entrate illegali.
In ogni caso, i tagli di questo tipo sono qualcosa di cui abbiamo urgente bisogno, di cui dobbiamo rallegrarci quando si verificano, ma che difficilmente riusciranno a intaccare più che temporaneamente la criminalità informatica nel suo complesso.
Per ridurre la quantità di denaro che i truffatori del ransomware stanno succhiando via dalla nostra economia, dobbiamo puntare alla prevenzione del crimine informatico, non solo alla cura.
Rilevare, rispondere e quindi prevenire potenziali attacchi ransomware prima che inizino, o mentre si stanno svolgendo, o anche all’ultimo momento, quando i criminali tentano di scatenare il processo finale di distruzione dei file sulla vostra rete, è sempre meglio dello stress di cercare di recuperare da un attacco vero e proprio.