Una nuova entità ha fatto la sua comparsa nel luglio del 2023, emergendo dalle ombre con un’operazione di estorsione ransomware tanto sofisticata quanto inquietante: Inc. Ransomware. Questo gruppo di attaccanti si è distinto per la sua abilità nel posizionarsi come un doppio agente nel mondo del cybercrime: da una parte estorsori senza scrupoli, dall’altra improbabili ‘benefattori’ delle loro stesse vittime.

Threat Inc Ransomware Representation

La peculiarità di Inc. Ransom risiede nella sua promessa di fungere da servizio per le vittime.
Le vittime vengono indotte a pagare un riscatto non solo per il recupero dei loro dati cifrati, ma anche con la promessa di ricevere informazioni sui metodi di attacco utilizzati, in teoria per rendere i loro sistemi più sicuri in futuro.
Tuttavia, questa promessa nasconde un’agghiacciante realtà: Inc. Ransomì non è solo un semplice ransomware, ma rappresenta un’operazione di estorsione multipla, che include il furto di dati sensibili con la minaccia di divulgarli pubblicamente nel caso in cui le richieste non vengano soddisfatte.

Bersagli del gruppo ransomware e strumenti impiegati

La pericolosità di Inc. Ransomware risiede non solo nella sua abilità tecnica, ma anche nella sua indiscriminata scelta di bersagli.
Questi cyber criminali hanno dimostrato di avere poca o nessuna preferenza per un settore specifico, colpendo un’ampia gamma di industrie che includono:

  • settore sanitario
  • settore scolastico
  • entità governative

Al momento dell’analisi, il blog TOR-based di Inc. Ransom elenca diverse vittime, evidenziando come nessun settore sia realmente al sicuro.

L’arsenale di tattiche di attacco di Inc. Ransomware si presenta anch’esso variegato e sofisticato.
Un metodo comunemente osservato è l’utilizzo di email di spear-phishing, mirate a ingannare i destinatari inducendoli a compromettere i propri sistemi.
Oltre a ciò, gli attaccanti si avvalgono di tecniche più tecniche come l’exploit di vulnerabilità nei servizi, come dimostrato dall’uso dell’exploit CVE-2023-3519 in Citrix NetScaler.

Una volta ottenuto l’accesso, Inc. Ransomì utilizza una varietà di strumenti, sia commerciali sia progettati ad hoc, per effettuare una ricognizione interna e muoversi lateralmente all’interno della rete.
Tra gli strumenti identificati e impiegati dal gruppo ci sono:

  1. NETSCAN.EXE per la scansione di reti
  2. MEGAsyncSetup64.EXE per la sincronizzazione e la condivisione di file
  3. ESENTUTL.EXE, una utility Microsoft per la gestione e il recupero di database
  4. AnyDesk.exe per la gestione remota e il controllo del desktop.

Approfondimento sulle tecniche di attacco

Uno degli aspetti distintivi di Inc. Ransomware è il suo metodo di criptazione dei file.
I file colpiti dal ransomware vengono rinominati con l’estensione “.INC“, trasformando, ad esempio, un file “documento.pdf” in “documento.pdf.INC“. Questo marchio di fabbrica non solo cripta i file, ma serve anche come segnale inequivocabile della presenza di Inc. Ransomware.

Il ransomware lascia inoltre delle note di riscatto, denominati “INC-README.txt” e “INC-README.html“, in ogni cartella che contiene file criptati. Queste note contengono istruzioni per contattare gli aggressori e negoziare il pagamento del riscatto. Interessante notare che gli operatori di Inc. Ransomware offrono anche di fornire dettagli sul metodo di attacco utilizzato e consigli sulla sicurezza della rete.

Dal punto di vista tecnico, Inc. Ransomware utilizza sia strumenti commerciali (“Commercial off the Shelf” o COTS) sia strumenti nativi del sistema operativo (conosciuti come “Living off the land binaries” o LOLBINs). Questi includono gli strumenti già sopracitati come

  1. Scanner di rete come NETSCAN.EXE, applicazioni per il file sharing
  2. MEGAsyncSetup64.EXE, applicazioni per il file sharing
  3. utility di gestione database come ESENTUTL.EXE
  4. strumenti di amministrazione remota come AnyDesk.exe.

L’uso di strumenti legittimi rende più difficile per i sistemi di sicurezza rilevare l’attività malevola.

La combinazione di queste tecniche e strumenti evidenzia la natura sofisticata e adattabile di Inc. Ransomware.
Ogni attacco è calibrato per massimizzare l’impatto e la pressione sulla vittima, rendendo Inc. Ransomware una minaccia formidabile.

L’attacco a Yamaha Motor Philippines

Un esempio emblematico dell’audacia e della pericolosità di Inc. Ransomware è l’attacco subito dalla filiale di produzione di moto Yamaha Motor nelle Filippine. Questo episodio, avvenuto nell’ottobre del 2023, è stato un chiaro segnale dell’abilità di Inc. Ransomware di penetrare anche organizzazioni ben strutturate e con difese sulla carta apparentemente solide.

Il gruppo hacker è riuscito a violare un server gestito da Yamaha Motor Philippines, Inc. (YMPH), portando al furto e alla divulgazione di informazioni personali dei dipendenti. Yamaha Motor ha avviato un’indagine immediatamente dopo la rilevazione della violazione, coinvolgendo esperti di sicurezza esterni.
Il danno è stato contenuto a un singolo server, senza impatti significativi sull’operatività della sede centrale o su altre filiali del gruppo Yamaha Motor. Tuttavia, l’attacco ha avuto risonanza significativa, data la natura dei dati compromessi e l’importanza dell’entità colpita.

Gli attori della minaccia hanno guadagnato l’accesso tramite email phishing e l’uso dell’exploit Citrix NetScaler CVE-2023-3519, secondo quanto riportato da SentinelOne. Dopo aver ottenuto l’accesso, hanno proseguito muovendosi lateralmente attraverso la rete, esfiltrando file sensibili come parte della loro strategia di attacco, per poi procedere con la distribuzione del payload ransomware per criptare i sistemi compromessi.

Le conseguenze dell’attacco non si sono limitate alla crittografia dei dati: Inc. Ransom ha pubblicato circa 37 GB di dati rubati contenenti informazioni riservate sull’ID dei dipendenti, file di backup, e informazioni aziendali e di vendita sul loro sito di divulgazione sul dark web.

Prevenzione attacchi ransomware

La prevenzione degli attacchi ransomware come quelli condotti da Inc. Ransomware richiede una vigilanza costante e un’attenzione particolare alla gestione delle vulnerabilità. Le organizzazioni devono assicurarsi di tenere aggiornati tutti i sistemi e le applicazioni, chiudendo tempestivamente le eventuali falle di sicurezza che potrebbero essere sfruttate dagli attaccanti per entrare in rete.

Questo include:

  • l’applicazione regolare di patch di sicurezza,
  • l’aggiornamento dei firmware,
  • la disattivazione di servizi o protocolli non necessari.

Un controllo efficace delle vulnerabilità si rivela fondamentale non solo per bloccare le vie d’accesso preferite da questi criminali informatici, ma anche per limitare la loro capacità di muoversi lateralmente all’interno di una rete una volta all’interno. Combinando queste pratiche con un solido piano di messa in sicurezza della rete e un piano di recupero dei dati, le organizzazioni possono migliorare significativamente le loro difese contro minacce complesse e sofisticate come Inc. Ransomware.