Un attacco ransomware dalla prospettiva di un cybercriminale

3 minuti di lettura

L’attacco ransomware alla Regione Lazio ha riportato all’attenzione dei media i rischi connessi ad attacchi di questo tipo. Si è discusso di modelli estorsivi, di attacchi a fornitori di servizi di terze parti e di credenziali disponibili nel dark web, ma cerchiamo di comprendere quali siano i modelli dietro l’impresa criminale che si rende responsabile di questi attacchi.

Partiamo dal concetto di Ransomware-as-a-Service (RaaS) e cerchiamo di comprendere cosa si intende quando parliamo di estorsione multipla.

Le principali gang criminali dietro la quasi totalità degli attacchi ransomware implementa un modello RaaS, ovvero offrono il proprio ransomware e servizi di personalizzazione dello stesso a una rete di affiliati il cui unico compito è quello di distribuire il codice malevolo per infettare il maggior numero di sistemi. Le bande criminali offrono il loro malware trattenendo per sé una frazione del riscatto, tipicamente una percentuale che oscilla dal 10 al 25 per cento del riscatto pagato dalle vittime.

Cosa accade se le vittime non pagano
Alla fine del 2019, un gruppo oggi defunto e conosciuto come Maze ha introdotto nell’ecosistema criminale il concetto di doppia estorsione. Il gruppo Maze rubava i dati dalle vittime prima di cifrarne i sistemi per poi minacciare di pubblicare le preziose informazioni online su siti web appositamente strutturati nel dark web e chiamati leak site.

La pratica serve per mettere pressione alle vittime qualora optino per ripristinare i propri backup invece di pagare un riscatto. La pubblicazione delle informazioni trafugate arreca molteplici danni alle vittime, da quello reputazionale a quello legale. Oggi quasi tutte le gang criminali implementano questo modello. 

L’evoluzione delle strategie
Il modello si è evoluto nel tempo e si è cominciato a parlare di tripla e quadrupla estorsione. Nel primo caso alcuni gruppi, come la gang REvil, hanno messo a disposizione dei propri affiliati un servizio per lanciare attacchi di DDoS rendendo più complessa la risposta a un incidente in corso. Parliamo di quadrupla estorsione quando alcuni criminali effettuano chiamate vocali ai partner commerciali delle vittime e ai giornalisti per mettere pressione sulle aziende colpite e costringere loro a pagare il riscatto. 

L’attacco alla Regione Lazio
Ritornando al caso della Regione Lazio, si è parlato della disponibilità delle credenziali di accesso alla rete della regione, ma di che si tratta? Abbiamo detto che il compito degli affiliati è quello di impiantare il ransomware all’interno delle reti delle aziende prese di mira e per far ciò è essenziale disporre di accessi privilegiati come credenziali Vpn o Rdp (remote desktop protocol) per connettersi da remoto.

Come procurarsi tali accessi? Ancora una volta l’impresa criminale è pronta a soddisfare questa esigenza, e si è andato consolidando un modello noto come Access-as-a-Service (AaaS).

Fulcro del modello AaaS sono mercati per “l’accesso remoto”, ovvero negozi online che consentono ai propri clienti di vendere/acquistare/scambiare credenziali di accesso a siti e servizi web compromessi. E qui che un gruppo di affiliati a un modello RaaS può acquistare le credenziali per accedere a un’organizzazione precedentemente compromessa da un altro gruppo criminale. Capirete che combinando i modelli RaaS ad AaaS diviene davvero semplice per un gruppo criminale privo di particolari competenze acquistare un ransomware che poi viene impiantato nelle reti di un’azienda per le quali erano disponibili le credenziali di accesso nel mondo underground criminale. 

L’accesso remoto può essere ottenuto in vari modi, gli attaccanti possono sfruttare credenziali Rdp, Vpn, Ssh, credenziali per accesso ai content management system (Cms) come WordPress o Magento, oppure web shell impiantate precedentemente nei sistemi da attaccare.

Il giro d’affari
Gli elevati guadagni dietro le campagne ransomware stanno spingendo un numero crescente di gruppi ad affiliarsi con le principali ransomware gang. Per avere un’idea del giro di affari dietro queste operazioni facciamo riferimento a un’analisi dell’azienda Elliptic specializzata in investigazioni su criptovalute. Elliptic ha analizzato l’attività della banda Darkside, quella che colpì Colonial Pipeline prima di scomparire, e ha scoperto che il gruppo ha guadagnato oltre 90 milioni di dollari dai pagamenti di riscatto delle sue vittime dall'ottobre 2020.

I ricercatori hanno esaminato i portafogli Bitcoin utilizzati dalla banda criminale per ricevere i pagamenti dei riscatti dalle vittime in un periodo di nove mesi e i dati emersi sono impressionanti. «In totale, a DarkSide sono stati effettuati poco più di 90 milioni di dollari in pagamenti di riscatto Bitcoin, provenienti da 47 portafogli distinti», si legge nel rapporto pubblicato da Elliptic. «Secondo DarkTracer, 99 organizzazioni sono state infettate dal malware DarkSide, il che suggerisce che circa il 47 per cento delle vittime ha pagato un riscatto e che il pagamento medio è stato di 1,9 milioni di dollari». Non vi è dubbio quindi di quanto proficua sia questa attività criminale.

Di seguito il grafico dei profitti nei vari mesi. Bisogna considerare inoltre che il 13 maggio il gruppo ha cessato le sue attività, altrimenti ci saremmo trovati dinanzi a un mese da incassi record.

Come affrontare questa minaccia
Darkside implementava un modello Ransomware-as-a-Service: il gruppo principale manteneva il 25 per cento dei riscatti pagati e la percentuale scendeva al 10 per cento se il riscatto era superiore a 5 milioni di dollari. In queste condizioni gli esperti di Ellittica ipotizzano che Darkside abbia guadagnato circa 15,5 milioni di dollari in pochi mesi, il restante è stato ripartito tra la rete degli affiliati. Se considerate che Darkside era una delle decine di gang che affollano il dark web e che propongono servizi di affiliazione potrete rendervi conto che il giro d’affari è nell’ordine di diversi miliardi di dollari.

L’esempio riportato fornisce un’idea dei guadagni milionari dietro la minaccia ransomware, introiti che spingono i principali gruppi a migliorare i propri malware rendendoli più evasivi e capaci di colpire un numero crescente di piattaforme per massimizzare l’impatto sulle vittime.

Non vi è dubbio, in futuro avremo un numero crescente di attori criminali che fruirà del modello RaaS per le proprie attività illecite, per questo motivo è necessario un approccio olistico al problema fondato sulla condivisione di informazioni circa la crescente minaccia.