Cerca

L’evoluzione dei ransomware as-a-service: decine di gang di ransomware collaborano con gli hac

Le squadre di ransomware-as-a-service (RaaS) sono attivamente alla ricerca di affiliati per dividere i profitti ottenuti in attacchi ransomware esternalizzati rivolti a organizzazioni pubbliche e private di alto profilo. I servizi RaaS sono visti da alcuni come un servizio di noleggio di ransomware in cui gli autori delle minacce che violano le reti degli obiettivi pagano una tariffa per utilizzare il malware del team RaaS. In realtà, solo il ransomware di qualità più bassa viene affittato o venduto in questo modo.

I NUOVI PROGRAMMI DI AFFILIAZIONE

Le bande di ransomware più note gestiscono  dei veri e propri programmi di affiliazione ​​in cui gli affiliati possono presentare domande e curriculum per richiedere l’adesione. Per gli affiliati accettati nel programma, gli sviluppatori di ransomware ricevono quota del 20-30% e un affiliato riceve il 70-80% dei pagamenti di riscatto che generano.

Per crittografare i sistemi delle vittime, gli affiliati richiederanno i servizi di un hacker che ottiene l’accesso alle reti dei target, ottiene i privilegi di amministratore del dominio, raccoglie ed esfiltra i file, quindi passa tutte le informazioni necessarie per ottenere l’accesso e crittografa i dati agli affiliati . I profitti derivanti dai riscatti pagati in seguito a ciascuno degli attacchi verranno quindi suddivisi tra il team di RaaS, gli hacker che hanno violato la rete (compromettente) e l’affiliato ransomware, di solito in parti uguali.

Livelli di gang di ransomware

Al momento, ci sono oltre due dozzine di gang attive di ransomware-as-a-service che stanno attivamente cercando di esternalizzare gli attacchi di estorsione agli affiliati di ransomware.  Da un rapporto pubblicato oggi della società di intelligence sulle minacce Intel 471, risulta che ci sono anche bande private note che operano in circoli criminali stretti e affiatati che utilizzano canali di comunicazione diretti e privati ​​di cui si ha poca visibilità.

Le gang di ransomware che Intel 471 ha osservato durante lo scorso anno possono essere classificate in tre diversi gruppi (o livelli) in base alla loro notorietà e al tempo per cui sono stati attivi. Si va da gruppi ben noti che sono diventati sinonimo di ransomware, a varianti appena formate che sono passate dai fallimenti del vecchio, a varianti completamente nuove che possono avere la capacità di spodestare le attuali cabale di alto livello.

LIVELLO 1

Le gang appartenenti al livello1 ransomware sono gruppi che hanno rastrellato con successo centinaia di milioni di persone in riscatti nel corso degli ultimi anni.

La stragrande maggioranza di loro utilizza anche schemi di estorsione aggiuntivi di cui parliamo spesso, come il furto di informazioni sensibili dalle reti delle loro vittime e minacciando di trapelarle a meno che non venga pagato il riscatto.

All’interno del livello 1 troviamo nomi noti come:

DopplePaymer (utilizzato negli attacchi a Pemex, Bretagne Télécom, Newcastle University, Düsseldorf University), Egregor (Crytek, Ubisoft, Barnes & Noble), Netwalker / Mailto (Equinix, UCSF, Michigan State University, Toll Group) e REvil / Sodinokibi (Travelex, aeroporto di New York, governo locale del Texas).  Ryuk è in cima alla classifica, con i suoi payload rilevati in circa uno su tre attacchi ransomware durante l’ultimo anno, tra cui quello recordi di 45$M di cui abbiamo parlato nel nostro precedente post.

LIVELLO 2

Le operazioni RaaS del livello 2 sono cresciute lentamente fino a raggiungere un numero maggiore di affiliati durante il 2020 e sono state coinvolte in diversi attacchi confermati. I gruppi di ransomware inclusi in questo livello sono SunCrypt, Conti, Clop, Ragnar Locker, Pysa / Mespinoza, Avaddon, DarkSide (ritenuto una scheggia di REvil) e altri. Come i “cugini” di livello 1 anche loro usano la tattica di estorsione del furto di dati come metodo di estorsione secondario.

LIVELLO 3 

Gli appartenenti al livello 3 sono i nuovi arrivati ma, secondo Intel 471, “non ci sono informazioni limitate su attacchi riusciti, volume di attacchi, pagamenti ricevuti o costi di mitigazione”. I gruppi etichettati come bande di livello 3 emergenti includono Nemty, Wally, XINOF, Zeoticus, CVartek.u45, Muchlove, Rush, Lolkek, Gothmog ed Exorcist.

Altri gruppi RaaS attivi

Non finisce qui! Oltre alle gang di ransomware elencate da Intel 471 come partner alla ricerca attiva, ci sono altre squadre RaaS importanti ed emergenti, di cui abbiamo già parlato. Ad esempio, Dharma è un RaaS di lunga durata che esiste dal 2017 e noto come un ramo del ransomware Crysis, che ha iniziato a funzionare nel 2016.

Dharma non utilizza siti di fuga di dati e non ci sono ampie segnalazioni di furto di dati. I riscatti raccolti dai loro affiliati possono variare da migliaia a centinaia di migliaia di dollari USA.

LockBit, un’altra operazione RaaS di alto profilo, è emersa a settembre 2019 come operazione privata rivolta alle imprese e successivamente osservata da Microsoft mentre veniva utilizzata in attacchi sanitari e servizi critici. La banda LockBit ha collaborato con Maze per creare un cartello di estorsioni per condividere la stessa piattaforma di fuga di dati durante gli attacchi, nonché per scambiare tattiche e intelligence. Gli attori del ransomware LockBit impiegano anche un minimo di cinque minuti per distribuire i payload dopo aver ottenuto l’accesso alla rete della vittima.

Altre operazioni RaaS lasciate al di fuori dei livelli di Intel 471 sono Ragnarok, CryLock, ProLock, Nefilim e Mount Locker, tutti noti per essere attivi e coinvolti in attacchi recenti.

Non vorremo sembrare logorroici ma i dati e i fatti non mentono .. gli attacchi non vengono fatti da singoli hackers che nell’immaginario collettivo sono rinchiusi in stanze bunker alla ricerca di chi attaccare, ma sono gruppi e società ben strutturate ed organizzate che continua a proliferare, allacciare accordi, allargare la network e sviluppare attacchi sempre più evoluti.

Le soluzioni di cybersecurity standard non sono più sufficienti, bisogna seguire approcci evoluti e dotarsi di soluzioni in grado di contrastare gli attacchi noti ma anche quelli non noti , soluzioni come Deceptive Bytes e la metodologia della Deception