“We want to play a game” dicono i malviventi che si nascondono dietro al ransomware Grief,
un malware decisamente pericoloso apparso nella seconda metà del 2021.

Un gioco in cui però è solo una delle parti a divertirsi.
Ci sono in palio milioni di dollari in criptovalute, a volte più di quello che la vittima può permettersi.

Proprio questo atteggiamento tipico delle cybergang, quello di voler apparire come  giocatori in un mondo in cui non esistono buoni o cattivi, la caratteristica che contraddistingue questo gruppo. Questa tecnica estorsiva, come le altre messe a punto da Grief, trasformano un ransomware tecnicamente avanzato in una cyber minaccia quasi irrisolvibile.

grief ransomware

I ransomware come grief sembrano essere solo un’anteprima di quello che ormai sembra essere diventata la tendenza del mondo ransomware.

Qualche info tecnica sul ransomware grief

Grief ransomware è un tipo di malware che cifra i file sul tuo computer e richiede un pagamento di riscatto per sbloccarli.
Il nome “Grief” deriva dal fatto che questo ransomware è stato progettato per causare grande frustrazione alle sue vittime.

Il ransomware Grief utilizza solitamente tecniche di ingegneria sociale per diffondersi, come ad esempio email di phishing, invio di link malevoli o file allegati infetti. Una volta che si è infiltrato nel sistema, il malware inizia a cifrare i file presenti sul computer e su tutte le unità di archiviazione collegate.

Una volta che i file sono stati cifrati, il ransomware Grief mostra un messaggio di richiesta di riscatto, che spiega che i dati verranno sbloccati solo se viene effettuato un pagamento di una certa somma di denaro, solitamente in Bitcoin o altre criptovalute. Tuttavia, non è garantito che i criminali cibernetici dietro a questo attacco onoreranno la loro parola e sbloccheranno i tuoi dati anche dopo aver pagato il riscatto.

Rispetto alla maggior parte dei ransomware, Grief si distingue per alcune caratteristiche peculiari.
Innanzitutto, non elimina le copie shadow, questo è curioso in quanto, un utente che riesca a mettere mano alle copie shadow potrebbe ripristinare i dati perduti. La motivazione dietro a questa scelta tecnica è ovviamente sconosciuta ma potrebbe indicare che gli hacker prevedevano di distruggerle manualmente.

Un’altra caratteristica inusuale, è che Grief ransomware modifica le impostazioni di sistema in modo tale che sia possibile l’avvio della macchina solo in modalità provvisoria. Così da rendere disponibili solo i servizi minimi indispensabili per la trattazione e il pagamento del riscatto, per cui anche la connessione internet risulta impossibile.

Un’ultima particolarità si può notare nel sito web utilizzato per la pubblicazione delle vittime e degli estratti dei dati rubati.
Esso implementa una protezione “anti-crawl” che impedisce l’indicizzazione automatica dei contenuti con piattaforme di intelligence delle minacce informatiche.

Una lunga storia di rebranding, l’evoluzione di Grief ransomware

Resta ormai noto come le gang ransomware cambino nome e struttura sistematicamente per sfuggire alle autorità che tentano di fermarli.
Così facendo, riescono a perpetrare i loro attacchi attraverso tecniche di hacking sempre più innovative. Di passaggio in passaggio però, alcune caratteristiche rimangono comuni ed è così che si può ricostruire l’evoluzione dei gruppi e dei malware ad essi associati.

Nel caso di Grief ransomware, i ricercatori avevano inizialmente ipotizzato che si trattasse di un fenomeno ransomware completamente nuovo.

Solo successivamente, a Luglio 2021, l’efficienza di questo ransomware ha indotto le autorità a sospettare che dietro questa minaccia si nascondesse ben più di un gruppo di neofiti. Sono stati necessari diversi mesi per notare delle somiglianze tra Grief e DoppelPaymer (e quindi con BitPaymer, il suo predecessore del 2017) in alcune parti del codice, nelle note di riscatto e nei metodi di pagamento.

Il successo di questo rebranding è però un campanello di allarme per quanto riguarda la rapidità con cui una cybergang può cambiare volto, modificando pratiche e aggiornando gli attacchi tanto da risultare irriconoscibile ai più comuni strumenti di analisi.

Strategie di pressione sulle vittime di ransomware Grief

Come se non fosse già sufficiente il ricatto paga o perdi i tuoi file, questa banda criminale ha escogitato altre strategie per far crollare le vittime designate.
Le tattiche preferite puntano a convincere l’utente che cedere al ricatto ransomware sia la soluzione più conveniente, o meglio, che avvalersi di aiuti alternativi per risolvere il problema, comporterebbe conseguenze più dannose/onerose rispetto al “semplice” pagamento del “riscatto”.

Come fanno? Con due semplici strategie:

Spaventare la vittima riguardo le possibili conseguenze legali dell’attacco

In aggiunta a questo approccio, già terrificante di suo, il gruppo ha pubblicato sul suo blog un riferimento all’articolo 33 del GDPR, ovvero alla norma europea di riferimento per la gestione e la tutela dei dati soggetti alla privacy. In particolare, appaiono dei banner con messaggi del tipo: “Il GDPR all’articolo 33 richiede che, in caso di violazione dei dati personali, i titolari del trattamento debbano informare l’autorità di controllo competente senza indebito ritardo e, ove possibile, non oltre di 72 ore dopo esserne venuto a conoscenza” o anche “I danni economici del down time superano anche di 10 volte il costo del riscatto”.

Una tattica studiata per spingere gli imprenditori a cedere al ricatto ed evitare di incappare in problemi legali e nelle conseguenti sanzioni milionarie. Come prova della validità di questo strumento di pressione, ricordiamo che l’autorità che controlla l’applicazione del GDPR può arrivare a multare un’azienda fino al 4% del suo fatturato totale annuo.

Screditare le società di sicurezza informatica

In secondo luogo i criminali hanno deciso di puntare sulla diffamazione delle aziende di sicurezza informatica specializzate nell’assistenza ad aziende vittime di attacco hacker. In un post hanno spiegato il “loro punto di vista”.

I cybercriminali sostengono che le uniche parti interessate in un attacco hacker siano la società hackerata e il gruppo pirata. Dipingono un ritratto delle società che si occupano di recupero dati come fossero organizzazioni che lucrano indebitamente a fronte di un lavoro non garantito, in quanto pretendono un compenso anche nel caso in cui risulti impossibile recuperare i dati persi; e comunque non possono, in nessun caso, impedire la pubblicazione dei dati esfiltrati. Gli esperti del recupero dati vengono screditati con l’accusa di non avere interesse a trovare delle vere e proprie soluzioni, considerando che riceveranno il loro compenso ugualmente. Il 13 settembre 2021, per rimarcare ancora la loro posizione, sul sito dedicato alla pubblicazione di notizie relative al ransomware, Grief ha dichiarato l’intenzione di cancellare la chiave di decriptazione nel caso in cui la vittima si rivolga ad una società di sicurezza informatica.

Chi sono le vittime preferite da questi criminali

Come ogni cybergang di alto livello, non sceglie casualmente le sue vittime ma ha come target preferito una certa categoria di organizzazioni. In questo caso sembra che la minaccia sia rivolta preferibilmente a ospedali, scuole, associazioni no profit che si occupano di beneficienza.

Attacchi andati a segno, una lista tragicamente lunga e in continua evoluzione

Anche in questo caso le organizzazioni colpite sono state svariate in tutto il mondo, tra esse troviamo:

  • Home Decor GB Ltd: una società inglese che si occupa della produzione di mobili
  • Comune di Porto Sant’Elpidio: Un comune marchigiano
  • La Concha: una azienda messicana che lavora in ambito alimentare
  • Puntacana Group: Una organizzazione della Repubblica dominicana che si occupa di servizi
  • Mobile County: Una contea dello stato americano dell’Alabama
  • NordFish SRL: Una azienda italiana di grossisti di generi alimentare (in particolare ittici) con sede a Codroipo, in provincia di Udine e un giro di affari fiorente in tutto il mondo. Gli sono stati indebitamente sottratti dati su clienti e fornitori.
  • Il comune di Salonicco: la seconda città più grande della Grecia a cui è stato chiesto un riscatto di 20 milioni di dollari
  • National Rifle Association: la più antica associazione statunitense per la difesa dei diritti civili, questa volta ad essere esfiltrati sono stati, alcuni verbali del consiglio di amministrazione e alcuni accordi di sovvenzione
  • Garmin: Società tecnologica americana

La miglior difesa: la prevenzione contro Grief ransomware

Nella quasi totalità dei ransomware, la crittografia utilizzata per gli attacchi è praticamente impossibile da decifrare senza l’apposita chiave di decriptazione. Grief non fa eccezione da questo punto di vista. Se è vero che è comunque stato possibile, in alcuni casi, recuperare i dati, questa non è una regola a validità generale. An ogni modo non si tratta di un processo fai da te ma del risultato del lavoro di molti operatori di sicurezza informatica.
Ancora una volta occorre ricordare due verità assolute per quello che riguarda gli attacchi ransomware:

  1. É sempre meglio diffidare delle soluzioni “troppo facili”;
  2. L’unico modo per avere mitigare gli effetti di questo tipo di malware è quello di stabilire misure di prevenzione efficaci, complete ed aggiornate che si occupino in vostra vece di tenere la situazione sotto controllo.

Alcune considerazioni finali

I numeri parlano chiaro.
Solo nei primi quattro mesi di attività il Grief ransomware ha fruttato ai criminali oltre 10 milioni di dollari. Se ci aggiungiamo che i cyber ricattatori cercano ora di far apparire i loro affari loschi come un semplice business si può toccare davvero con mano la gravità della situazione.

Le aziende che cadono nella trappola vanno incontro a danni reputazionali, economici dovuti all’interruzione dei servizi, legali dovuti all’inadempimento dei doveri di tutela della privacy. Basta un semplice click per costringere una azienda a dichiarare il fallimento, per impedire ad un ospedale fornire le cure necessarie ai pazienti e per esporre i dati sensibili dei cittadini sul dark web alla mercè di chiunque.

A questo punto una avvertenza è doverosa: la forza delle tecniche di pressione psicologica risiede nel fatto che le aziende sono davvero nella situazione di dover pagare milioni per il data recovery e sanzioni.
La vera domanda è:

I dati dimostrano che sarebbe la soluzione più vantaggiosa, ora sta alle aziende scegliere.