GENNAIO 2025
Un attacco informatico ransomware si verifica quando viene utilizzato un software dannoso per negare a un utente o a un'azienda l'accesso a un sistema informatico o ai dati. Il malware tipicamente richiede un pagamento per lo sblocco dei file. L’evoluzione dei ransomware è costante e se inizialmente questo tipo di software malevolo utilizzava un’unica forma di minaccia per ottenere un pagamento (mediante crittografia di file e servizi) , nel corso degli anni ha raddoppiato e addirittura triplicato la pressione sulle vittime per forzarle al pagamento: non più solo blocco dei sistemi, ma anche l’esfiltrazione dei dati con minaccia di rivendita nel dark web, fino a minacciare il contatto con i clienti e informarli direttamente della falla che coinvolge anche i loro dati, con un effetto disastroso sulla reputazione della vittima principale.
Gli attacchi ransomware hanno registrato complessivamente una recrudescenza nel 2023, con una focalizzazione particolare sui settori sanitario internazionale, a livello di governo locale e istruzione a fronte di una diminuzione in altri settori chiave. Secondo i dati Recorded future sul 2023 infatti, a dicembre 2023 le bande di ransomware hanno pubblicato 356 vittime sui loro siti di estorsione, in calo rispetto alle 369 vittime del mese precedente, ma ben al di sopra delle 241 vittime pubblicate a dicembre 2022. In particolare, gli esperti dell’azienda di sicurezza affermano che c'è stato un "aumento del 70% negli attacchi ransomware segnalati anno dopo anno. Una mappa aggiornata degli attacchi ransomware dal 2018 a oggi per gli Stati Uniti è fornita dall’azienda Comparitech. Per l’Italia è il progetto italiano DRM – Dashboard Ransomware Monitor, che tiene sotto controllo in tempo reale tutti i gruppi criminali ransomware. Dalla dashboard selezionando il paese “Italy” è possibile avere evidenza delle rivendicazioni avvenute in Italia.
Fra i ransomware di nuova generazione a cui prestare attenzione possiamo annoverare: Dark-Power, Cactus 3AM, senza dimenticare Luna e Black Basta.
Il ransomware Dark Power, un ceppo di ransomware relativamente nuovo, è stato lanciato all'inizio di febbraio 2023. Si tratta di una razza rara di ransomware, poiché è stata scritta nel linguaggio di programmazione Nim. Il ransomware prende di mira le piattaforme Microsoft Windows e alcuni servizi specifici sul computer della vittima disabilitandoli, inclusi i servizi di backup e anti-malware. Anche il servizio Copia Shadow del volume (VSS) viene interrotto per impedire al ransomware di rilevare file bloccati durante il processo di crittografia. La richiesta di riscatto di Dark Power è un file PDF, creato utilizzando Adobe Illustrator 26.0. La nota afferma che tutti i file nel backup, nel server Outlook e nei database sono stati crittografati e che è possibile ripristinare tutto, ma le vittime devono seguire le istruzioni fornite. La richiesta di riscatto avverte il destinatario di non tentare di modificare i file da solo, di utilizzare software di terze parti per ripristinare i propri dati o soluzioni antivirus poiché ciò potrebbe danneggiare la chiave privata e comportare la perdita di tutti i dati. La richiesta di riscatto richiede un pagamento di $ 10.000 USD a un indirizzo blockchain Monero, con un sito Web Tor (power[redacted].onion) fornito per il pagamento e la comunicazione.
CACTUS è stato scoperto a maggio 2023 dai ricercatori dell'azienda di sicurezza Kroll. La particolarità della minaccia è che, a differenza di quelle precedenti analizzate, riesce ad eludere le difese degli antivirus perché si insedia nei dispositivi da infettare già crittografata. Cactus non viene rilevato dai software di difesa che non vedono in lui alcuna problematica di sicurezza. Un altro elemento distintivo di Cactus è la sua capacità di cambiare continuamente l'estensione ai file presi di mira dal processo di crittografia, un'operazione che permette di guadagnare più tempo, rallentando il lavoro di scoperta dei file cifrati da parte degli antivirus, per cercare di salvare le informazioni ancora intatte. (fonte Ansa).
Il Ransomware denominato 3AM sembra essere di una famiglia di malware completamente nuova. Scritto in Rust, un linguaggio di programmazione (sviluppato da Mozilla) noto per la sua robustezza e prestazioni, il malware tenta di interrompere numerosi servizi, tra cui i software di sicurezza e i tool per il backup dei dati, cercando di compromettere il sistema il più possibile. Anche 3AM cerca di eliminare le copie dei dati Volume Shadow (VSS), rendendo estremamente difficile il recupero dei file criptati. Il suo nome deriva dal fatto che attua un terzo livello di pressione sulla vittima: condivide infatti, la notizia di una fuga di dati con i follower dei social media della vittima e utilizza bot per rispondere ad account di alto rango su X (ex Twitter) con messaggi che puntano a fughe di dati. Inoltre, i file criptati da 3AM presentano l’estensione “. threamtime”. L'attività del gruppo di ransomware 3AM è stata documentata pubblicamente per la prima volta a metà settembre 2023.
È di ottobre 2023 invece, la notizia che il gruppo ransomware Rhysida era arrivato a manifestarsi in Italia. Rhysida, una variante ransomware emergente, utilizzata prevalentemente contro i settori dell'istruzione, della sanità, della produzione, dell'informatica e della pubblica amministrazione da maggio 2023. L’agenzia americana CISA ha dedicato un’intera scheda al gruppo e alle sue modalità d’azione. Le informazioni contenute nell’avviso dell’agenzia americana derivano dalle relative indagini di risposta agli incidenti e dall'analisi del malware di campioni scoperti sulle reti delle vittime. Rhysida sembra essere un ransomware-as-a-service (RaaS) per cui gli strumenti e le infrastrutture del ransomware vengono affittati secondo un modello di condivisione degli utili ed eventuali riscatti pagati vengono poi suddivisi tra il gruppo e gli affiliati. Gli attori di Rhysida sfruttano servizi remoti rivolti all'esterno per accedere inizialmente e persistere all'interno di una rete. I servizi remoti, come le reti private virtuali (VPN), consentono agli utenti di connettersi alle risorse di rete aziendali interne da posizioni esterne. Gli attaccanti Rhysida si autenticano su punti di accesso VPN interni con credenziali valide compromesse, in particolare a causa delle organizzazioni in cui l'MFA non è abilitato per impostazione predefinita.
Altri ransomware particolarmente temibili del 2023 sono stati Luna e Black Basta: il primo scoperto a giugno 2023, scritto in Rust (come 3AM), è in grado di criptare sia dispositivi Windows che Linux, così come immagini di macchine virtuali ESXi. Il secondo, è stato scoperto per la prima volta a febbraio 2023 e ad oggi, ne sono state scoperte due versioni: una per Windows e una per Linux che prende di mira principalmente le immagini delle macchine virtuali ESXi. Una caratteristica distintiva della versione per Windows è che avvia il sistema in modalità provvisoria prima di criptarlo, il che permette al malware di eludere il rilevamento da parte delle soluzioni di sicurezza, molte delle quali non funzionano in modalità provvisoria (Fonte kaspersky). L’agente malevolo Black Basta è stato responsabile di oltre 300 attacchi documentati ed ha fruttato ai suoi creatori oltre 100 milioni di dollari in riscatti. Da gennaio 2024 fa un po’ meno paura perché è stato reso disponibile gratuitamente un decryptor per le sue vittime. I ricercatori di SRLabs hanno individuato un punto debole nell’algoritmo di crittografia del ransomware riuscendo a recuperare una chiave da 64 byte, attraverso cui è stato possibile creare uno strumento, poi distribuito a titolo gratuito, che permette di recuperare almeno una parte dei file presi di mira dai cybercriminali. Il tool in questione è disponibile al download dal sito GitHub. Tuttavia, il decryptor è efficace solo in caso di attacco precedente allo scorso Natale perché i criminali informatici, sembra abbiano già corretto la vulnerabilità nel ransomware che è tornato efficace.
Le informazioni sull'esatto vettore di infezione utilizzato di Dark Power, non sono ancora disponibili, ma per infettare i computer, gli attaccanti di qualsiasi ransomware utilizzano solitamente una serie di tattiche per ingannare gli utenti. I metodi comuni includono l'invio di e-mail contenenti allegati o collegamenti dannosi o l'utilizzo di pagine Web che ospitano software piratato, strumenti di cracking e generatori di chiavi. Inoltre, i criminali informatici sfruttano reti P2P, downloader di terze parti, siti Web di hosting di file gratuiti, programmi di installazione ingannevoli e strumenti di aggiornamento software falsi per convincere gli utenti a scaricare ed eseguire ransomware. I file utilizzati per distribuire malware includono documenti MS Office e PDF dannosi, file JavaScript, eseguibili, file ISO e archivi contenenti file dannosi.
Per difendersi dagli attacchi ransomware è utile consultare il sito del no more ransom project che offre consigli di prevenzione e strumenti di decrittazione per evitare di dover pagare.
In generale è consigliabile restare aggiornati sui nuovi ransomware e sulle loro tecniche e tattiche e procedure di attacco attuando difese preventive.
Alessia Valentini
(Newletter AIIC n. 07 (2024))
