Cybergang
I ransomware, ovvero gli ormai tristemente noti malware ricattatori, sono sempre più frequenti e dannosi.
Esiste un mercato estremamente fiorente generato e alimentato grazie ai pagamenti dei riscatti in seguito a questa infezione.
Non si tratta certo di qualche adolescente smanettone che tenta di arrotondare la paghetta bensì di vere e proprie organizzazioni criminali.
Basti pensare che, secondo il report trimestrale redatto da Swascan nel 2022 siano proprio le bande ransomware a spiccare nel panorama delle minacce cibernetiche, tanto da essere definite il nemico numero 1 per la sicurezza informatica.
Sommario
Non tutti i ransomware sono uguali.
Alcuni possiedono un algoritmo di decriptazione che permette di recuperare i file in modo sicuro e senza pagare il riscatto, alcuni esfiltrano i dati, altri li cancellano e via dicendo. Questo perché sono diverse le persone dietro ai diversi malware.
Gli esperti hanno individuato 3 andamenti nell’evoluzione di questa minaccia e quindi nel modo di agire delle cybergang.
-
Le cybergang puntano ad utilizzare lo stesso malware contro un numero elevato di dispositivi. Ovvero ottimizzano il loro codice in modo che possa attaccare diversi obiettivi simultaneamente anche se con diversi sistemi operativi.
-
I gruppi criminali di hacker si riorganizzano per disorientare gli investigatori dandosi nuovi nomi e implementando tecniche di esfiltrazioni più rapide e algoritmi di crittografia più efficaci. Alcuni di essi hanno studiato dei toolkit simili a quelli delle aziende che vendono software legali
-
Il conflitto Russia-ucraina ha aggiunto degli attacchi motivati da fini politici che si affiancano agli altri, finalizzati ad un profitto economico, rendendo, nel complesso, la situazione della sicurezza informatica ancora più critica
Come già noto nel 2022 il ransomware è la minaccia informatica per eccellenza, ma non tutti i gruppi sono attivi nello stesso modo.
Secondo alcune ricerche condotte nei primi due trimestri dell’anno il primo posto in classifica è senza dubbio di LockBit: la gang di criminali informatici che ha messo a segno circa il 30% del totale degli attacchi avvenuti tra aprile e giugno nel 2022.
In questo modo, la gang supera definitivamente l’altro collettivo: Conti, che è stato per molti mesi tra i più temibili in circolazione.
Nei primi sei mesi del 2022 dai dati fino ad ora analizzati possiamo constatare che il numero di attacchi gravi si suddividono in questo modo fra le diverse cybergang:
-
LockBit con 434 attacchi
-
Conti con 171 attacchi
-
BlackCat con 125 attacchi
Di seguito offriamo una panoramica delle informazioni note riguardo a queste e altre gang ransomware.
Pare che l’estate 202a coincida con il termine dell’attività di questa cybergang.
Questo però non è necessariamente un dato rassicurante, perché se da un lato questo collettivo diventa inattivo, dall’altro i suoi membri si sono ridistribuiti andando ad ingrossare le fila di qualche altra gang che probabilmente formerà il prossimo astro nascente del ransomware.
Gruppo Conti, ha all’attivo circa 860 attacchi ransomware, un record che è da poco stato battuto da poco da LockBit.
Tra le vittime dei loro attacchi ci sono anche il governo ucraino e costaricano.
Il gruppo RaaS è riuscito a creare un malware multipiattaforma che utilizza la doppia estorsione per ricattare le vittime. Ovvero cripta di dati solo dopo averli esfiltrati e ricatta il malcapitato di cancellare i dati e divulgarli ( o rivenderli) se il riscatto non sarà pagato nei termini e nei modi stabiliti.
Gli affiliati avevano quindi la possibilità di personalizzare alcune righe di codice per rendere poi l’esecuzione del programma più efficace, erano loro a distribuire i ransomware, compresa una delle ultime varianti, che prendeva di mira Linux.
DeadBolt è un ransomware scritto in un linguaggio multipiattaforma che ha come obiettivo i sistemi QNAP NAS.
Il suo codice è una combinazione di tre linguaggi: Bash, HTML e Golang. Ovvero usa come linguaggio di programmazione Golang ma usa un file HTML per richiedere il riscatto, dopo aver sostituito il file di indice standard di QNAP NAS. Infine è uno script Bash ad avviare la decriptazione una volta che si ha in mano la giusta chiave.
Questo ultimo dettagli fa si che non ci sia necessità di una interazione diretta con gli aggressori in quanto la chiave viene fornita direttamente in un campo di transazione Bitcoin.
BlackCat è il collettivo che si autodefinisce “la nuova generazione“ e che è apparso nel dicembre 2021 per la prima volta.
Nato dalle ceneri di GandCrab/REvil, BlackMatter/DarkSide e molti altri. I suoi affiliati sostengono di aver preso i vantaggi di tutti i gruppi e aver eliminato i loro difetti
Anche questo gruppo ha seguito il trend adottando un ransomware multipiattaforma. Le sue caratteristiche sono:
- E’ il primo ad utilizzare Rust
- Utilizza diverse routine di crittografia
- Si diffonde tra computer
- E’ altamente personalizzabile
La protagonista assoluta del momento nel panorama ransomware è LockBit il gruppo attivo dal 2019, che ha da poco lanciato un’ulteriore nuova versione del suo malware. Tra le novità, la possibilità di pagare con la criptovaluta Zcash e addirittura la messa in palio di ricompense per chi individui e comunichi alla “azienda” delle vulnerabilità nel codice, ma anche in cambio di semplici idee su come migliorare il “servizio”.
Si presenta con funzionalità innovative come il bottone “estendi il countdown” nel pannello di riscatto, o quello che permette di distruggere la copia illegale dei dati ma non di decriptare quella originale, dietro pagamento di una somma più contenuta del riscatto completo.
Suona effettivamente ridicolo o forse stupefacente ma questo gruppo RaaS si autogestisce come fosse una azienda estremamente proattiva, offrendo servizi personalizzati, puntando a migliorare la sua tecnologia, curando la sua reputazione con azioni di marketing, aggiornando e manutenendo l’infrastruttura.
La cybergang ha subito anche diversi attacchi informatici che l’hanno spinta a proteggere i loro asset in modo sempre più efficace. E’ forse questo che fa si che da 2020, quando è iniziata l’affiliazione, questo rimanga uno dei ransomware che ha avuto il maggior successo di sempre.
Un’altra faccia della medaglia, quando si parla di gruppi hacker è quella degli hacker politicamente motivati, è il caso di Anonymous e di altri gruppi di hacktivisti o di hacker politicamente orientati.
Vista la attualità dell’argomento presentiamo brevemente due di questi collettivi: Anonymous e Legion
Si tratta di un gruppo composto da hacker russi specializzati in attacchi ai siti istituzionali e di aziende occidentali.
Il 28 aprile 2022 hanno dichiarato sul loro nuovo canale Telegram che il loro obiettivo è attaccare i paesi Nato e l’Ucraina.
Si tratta di un gruppo di hacktivisti filo-russi che ha già attaccato massivamente molti siti web italiani a metà dello scorso maggio tecnica di attacco DDoS.
In più ha minacciato già diverse volte la stampa italiana tramite, definendo gli attacchi subiti finora come delle semplici esercitazioni.
Anonymous è un collettivo di cyber attivisti attivo dal 2003 che ha sostenuto già molte campagne negli ultimi anni.
La più famosa è forse quella ai danni della chiesa Scientology.
Lo scorso marzo ha dichiarato guerra alla Russia intervenendo con moltissimi attacchi, arrivando a far trasmettere immagini della guerra e canzoni popolari ucraine su tutte le emittenti russe.
Da quel momento, il collettivo Anonymous si è scontrato più volte con Legion e Killnet, altro collettivo filo russo.
I ransomware rappresentano globalmente il più grave rischio di sicurezza informatica. Solo nel secondo trimestre del 2022 si sono registrati 707 attacchi, il 36.9% in più rispetto allo stesso periodo nel 2021 e del 30% rispetto al trimestre precedente.
Il successo di questa minaccia dipende in larga parte dal fatto che sono state fondate delle cybergang, strutturate e gestite come vere e proprie aziende e che si occupano di vendere ai loro affiliati i codici che hanno scritto. E’ una situazione al limite dell’incredibile, con aggiornamenti periodici e personalizzazioni del malware per ogni vittima.
Tra i gruppi più pericolosi attualmente vince la medaglio d’oro LockBit, dopo la sostanziale scomparsa di Conti.
Ma si registrano ben tre nuove gang emergenti e il ritorno di Revil, forse frutto di una riorganizzazione dei malviventi.
L’Italia risulta essere il quarto paese più colpito al mondo… insomma la situazione è tutto fuorché rosea.
Chi è Onorato Informatica?
Azienda specializzata in sicurezza informatica da oltre 15 anni, certificata ISO 9001 e 27001
Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni.
Forniamo servizi di Vulnerability Assessment e Penetration Test a oltre 4500 clienti in tutta Italia.
Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001, ISO 27001 e azienda etica.
Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.
- Autore articolo
- Ultimi articoli
Laureata in Fisica, sta proseguendo gli studi in “Fisica dell’atmosfera, climatologia e meteorologia” presso l’università di Roma Tor Vergata. Nel frattempo, unisce la sua passione per la scrittura a quella per la cybersecurity per promuovere la consapevolezza digitale attraverso il blog di Onorato Informatica.
