I report di cybersecurity dei diversi vendor e degli analisti concordano nel documentare come il 2020 abbia rappresentato l’ennesimo “annus horribilis” per la sicurezza. Il cybercrime ha sfruttato le emergenze in corso, non solo quella sanitaria, per sferrare attacchi mirati, alle aziende, come alla forza lavoro distribuita per lo smart working. Come è sempre accaduto anche in passato poi, l’emergenza – in questo caso Covid-19 – ha contribuito a convogliare l’attenzione delle persone sul fenomeno, e gli hacker ne hanno approfittato per studiare campagne di phishing mirate, sui temi legati alla pandemia, senza riguardi anche per quei settori sensibili, come per esempio quello sanitario. Attraverso il phishing gli attaccanti possono facilmente avere accesso ai dati aziendali che vengono crittografati e quindi resi inaccessibili. L‘evoluzione degli attacchi di ransomware però, non solo prevede il pagamento di un riscatto per sperare di poter decrittografare le informazioni, ma chi decide di non cedere al ricatto può essere minacciato di vedere i propri dati pubblicati nel dark Web, subendo di fatto un danno maggiore rispetto alla semplice perdita dei dati. E’ in questo contesto che il threat intelligence team di Palo Alto Networks, Unit 42, ha stilato la sua top ten sulle minacce ransomware riscontrate nel corso del 2020. La ripercorriamo.
Governo, sanità, energia e high tech, sono presi di mira con successo dal ransomware Ryuk (1) e nel 2020 si è registrato un aumento significativo degli attacchi attraverso questo ransomware con obiettivi l’istruzione, la sanità, le organizzazioni governative e militari soprattutto negli Stati Uniti, ma anche in UK e Canada. La pressione cui sono state sottoposte le organizzazioni sanitarie nel corso di tutto l’anno ne hanno fatto obiettivi d’elezioni con richieste di riscatto tra i 600mila e i 10 milioni di dollari, da pagare in Bitcoin, sulla base di richieste di riscatto comunicate utilizzando l’account Protonmail.
Sono state invece in media di 4,8 milioni di dollari, quelle per Maze (2), con un aumento significativo rispetto all’importo medio di oltre 847mila dollari per tutte le famiglie di ransomware nel 2020. In questo caso la comunicazione diretta con gli operatori avveniva attraverso un sito Web Tor. Maze è una delle varianti della famiglia di ransomware Chacha. “Isolato” per la prima volta nel maggio 2019, con l’inizio del 2020 è stato utilizzato in modo massiccio prendendo di mira organizzazioni a livello globale in molti settori, tra cui finanza, sanità, trasporti e logistica, high tech, telecomunicazioni, edilizia e ingegneria, media e comunicazione e molti altri negli Usa, in UK, in Canada, Francia e Svizzera. A fine anno il gruppo di attacco operativo con Maze ha annunciato il ritiro “dalle scene”, ma l’eredità sembra essere stata raccolta dai gruppi che utilizzano oggi il ransomware Egregor, con modelli di azione simili a quelli utilizzati dal gruppo Gandcrab (ritiratosi nel 2019 ed oggi riconoscibile ancora operativo sotto il cappello Revil).
Ancora più antico è invece Defray777, conosciuto anche con i nomi Ransomexx e Target777 (3). Stessi obiettivi, dal 2017 funesta Stati Uniti, Canada, Australia, Giappone, Francia e Brasile. Viene eseguito utilizzando Cobalt Strike dopo l’installazione di malware backdoor, come Vatet, e, dopo aver crittografato i file li rinomina utilizzando un’estensione di tipo .ID unico-numero esadecimale a otto cifre o contenente 777 o .txd0t. Costa tra 16mila e 42mila dollari in Bitcoin poter riaccedere alle informazioni.
E’ invece entrato in scena intorno a metà 2020 Wastedlocker (4) utilizzato in diversi verticali, soprattutto quelli con numero di asset elevato (ha preso di mira i settori informatico, legale, farmaceutico, manifatturiero e dei trasporti e logistica negli Usa e in Uk), per riscatti superiori ai 10 milioni di dollari. Il suo utilizzo è associato all’attività del gruppo Evil Corp, lo stesso responsabile delle attività di Dridex e BitPaymer.
Singolare il caso invece dell’utilizzo di Gandcrab (5). Dopo “l’annunciato ritiro” a maggio 2019, nel 2020 in eguito all’arresto di un distributore del ransomware è stato reso disponibile uno strumento di decifrazione per diverse versioni di Gandcrab, ma sono proseguiti i tentativi di infezione. Di fatto questo ransomware copre circa il 45% delle varianti osservate dalla telemetria Unit 42 e prevede richieste di Bitcoin o Monero per importi tra 18mila e 1,3 milioni di dollari. E’ proprio questo il caso di utilizzo di un ransomware anche per esercitare una doppia estorsione, per cui nel caso in cui le vittime non avessero pagato il riscatto avrebbero visti esposti pubblicamente i dati rubati).
Netwalker (6) invece entra in scena ad agosto 2019 e prende di mira governo, sanità, settore manifatturiero, trasporto e logistica ed energia in tutto il Nord America, in Arabia Saudita, Francia, Germania, Australia, Nuova Zelanda, Svezia, Pakistan, India, Thailandia, Regno Unito, Emirati Arabi Uniti, Colombia e Sud Africa. Le organizzazioni vittime hanno ricevuto richieste di riscatto da 100mila a 2 milioni di dollari in Bitcoin. A volte indicato come Mailto di fatto si tratta dell’ennesima variante ransomware che ha esposto i dati delle vittime compromesse sul dark web, facendo trapelare le informazioni di oltre 100 organizzazioni all’inizio del 2021.
Che il 2020 sia stato l’anno delle “varianti” è documentato anche dall’utilizzo di Doppelpaymer (7), discendente del più noto Bitpaymer. Anche in questo caso gli attaccanti hanno sfruttato il sistema della doppia estorsione, messa in atto anche tramite il lancio di un sito di leak, l’apertura di un account Twitter per la pubblicazione, e la minaccia di vendere i dati sul dark web. Colpita con frequenza anche l’Italia in questo caso, oltre a Stati Uniti, Canada, Messico, Sud Africa e, in Europa, Belgio, Norvegia e Germania. Sono stati presi di mira governi statali e locali, oltre al settore retail, manifatturiero, finanziario, assicurativo, trasporto e logistica, high tech, hospitality e immobiliare con richieste di riscatto in Bitcoin fino a 1,5 milioni di dollari.
Dharma (8) invece rappresenta una delle famiglie storiche di ransomware, utilizzata praticamente senza soluzione di continuità dal 2016 e con un buon seguito di varianti, tra cui per esempio Phobos (9), più recente (2019) che ha preso di mira le piccole e medie imprese nei settori della finanza, istruzione, manifattura, servizi professionali e legali, assicurazioni, high tech, costruzioni e ingegneria, sanità ed energia negli Stati Uniti, Portogallo, Brasile, Seychelles, Romania, Indonesia, Germania e Giappone, con “modeste” richieste di riscatto, fino a 50mila dollari. Anche il capofamiglia Dharma ha prodotto danni nel tempo su un tessuto di imprese di fatto assimilabile, attraverso richieste di riscatto da mille a 150mila dollari, richiesti tramite l’email inviata tramite servizi di posta elettronica gratuiti, come Tutanota, Gmail, Foxmail e ProtonMail, senza quindi ricorrere a servizi di anonimizzazione come Tor.
Ed infine Zeppelin (10), considerabile una variante di Buran/VegaLocker e utilizzato dal 2019, ha colpito i settori sanitario, high tech, manifatturiero, finanziario e immobiliare in Usa, Canada, Bulgaria, Giappone, Corea del Sud, Francia e Taiwan. Anche questo ransomware è stato utilizzato con funzionalità di doppia estorsione attraverso l’esfiltrazione dei documenti prima, o addirittura al posto, della crittografia per la vendita nel dark web, con richieste di riscatto relativamente costanti rispetto ai settori industriali attaccati, tra 13mila a 35mila dollari richiesti in Bitcoin.
© RIPRODUZIONE RISERVATA
