Dove vanno a finire tutti i soldi provenienti dal crimine informatico?

CorporateRansomware

La domanda sorge spontanea: “Dove vanno a finire tutti i soldi provenienti dal crimine informatico?”

Quando una vittima di ransomware consegna una quantità di Bitcoin in gran parte anonima, per lo più non rintracciabile, ad esempio, per pagare una richiesta di ricatto multimilionaria nella speranza di recuperare i propri file inutilizzabili…

…cosa succede a quei soldi?

La domanda, come posta sopra, è retorica, dato che tutti possiamo azzardare le nostre ipotesi su cosa fanno i criminali con quei soldi.

Ci è già capitato in passato di porci questa domanda, ad esempio quando diversi sospetti sono stati arrestati in Ucraina, presumibilmente in relazione ad attacchi ransomware attribuiti a una banda nota come “Clop”.

In quel caso, pare che almeno una parte del denaro fosse stata spesa per auto di lusso.

I video della polizia di quegli arresti mostrano collezioni impressionanti di telecomandi per auto raccolte come prove e numerose auto che vengono caricate su carri attrezzi e confiscate.

Reinvestire nel business

In precedenza abbiamo trattato questo tema anche in relazione alle spese folli della banda REVil.

Si tratta della stessa operazione ransomware REvil che ha supervisionato il famigerato attacco ransomware “Independence Day Weekend 2021” lanciato contemporaneamente su più di 1000 reti tramite il software della società di gestione IT Kaseya.

Quell’attacco ha portato alla provocatoria “offerta commerciale” della banda REvil che, per un pagamento una tantum di $ 70 milioni in Bitcoin, avrebbe “risolto” l’intero incidente in un colpo solo rilasciando un unico strumento di decrittazione unificato che conteneva tutti i segreti di decodifica necessari per ripristinare qualsiasi computer su qualsiasi rete appartenente a qualsiasi vittima.

Presumibilmente consapevole del precedente attacco alla Colonial Pipeline in cui un riscatto di $ 4,4 milioni aveva portato a un decryptor che, sebbene dovesse funzionare in teoria, si era rivelato inutile nella pratica perché funzionava troppo lentamente, il team di REvil ha persino affermato allegramente che il suo cosiddetto “decryptor universale” avrebbe consentito a tutti di “riprendersi dall’attacco [sic] in meno di un’ora”.

$ 1 milione pagato in anticipo

L’anno scorso, REvil ha fatto notizia quando la banda ha pagato $ 1.000.000 di Bitcoin in un forum di cybercrime sotterraneo come pagamento anticipato per i servizi resi.

Il team di REvil non è riuscito a riavere indietro quei soldi: si trattava fondamentalmente di un esercizio flash-the-cash da un milione di dollari volto a dimostrare ai membri del forum che il denaro offerto era più di una semplice promessa: era già investito e sarebbe stato speso per ingaggiare “candidati al lavoro” di successo.

Bene, secondo l’investigatore della sicurezza informatica Pierluigi Paganini di Security Affairs, un altro attore anonimo del crimine informatico ha appena fatto qualcosa di simile.

A causa delle fluttuazioni del valore in dollari del Bitcoin, questo pacchetto flash-the-cash ora ha un valore molto più vicino a $ 888.888 che a un milione, ma è ancora un incredibile totale in contanti da pagare in anticipo: BTC 26.994602, secondo Paganini.

Quando REvil ha stanziato il suo milione di dollari, la banda ha affermato che stava cercando tecnici con una vasta gamma di competenze, incluso il linguaggio di programmazione C#, comunemente usato per creare app Microsoft .NET e molto popolare tra gli autori di strumenti e tecnologie malware, di virtualizzazione e backup.

(I criminali del ransomware con capacità di backup in sede e fuori sede possono servire a due scopi subdoli: trovare e cestinare tutti i backup già in possesso di una vittima; e fare silenziosamente backup fuori sede non autorizzati per conservare i dati rubati che possono essere utilizzati per estorsioni.)

Questo furfante, a quanto pare, ha altre idee e sta cercando di acquistare uno o più dei seguenti “articoli”, scelti tra un elenco più lungo:

Investire soldi del ransomware

Cosa significa?

Per decodificare il gergo sopra:

RAT è l’abbreviazione di Trojan di accesso remoto.

Conosciuti anche come bot (abbreviazione di robot software) o zombi, i RAT aprono accessi non autorizzati che consentono ai criminali di prendere il controllo remoto del computer a piacimento.

Alcuni RAT forniscono comandi di accesso remoto espliciti che attivano il keylogging, acquisiscono schermate, registrano audio e video o copiano file riservati.

Ma quasi tutti i RAT includono anche funzioni che aggiornano automaticamente il RAT stesso, che scaricano e installano automaticamente malware aggiuntivo o che chiudono e rimuovono rapidamente le tracce dell’attività del RAT originale.

La capacità di un RAT di trasformarsi in un’infezione malware completamente diversa su richiesta significa che i rischi posti da un RAT non rilevato sono praticamente senza limiti di tempo.

Software senza file che vive nel registro.

Tecnicamente, il software che “vive nel registro” non è veramente privo di file, perché il registro stesso è archiviato in un file sul disco rigido.

Ma la maggior parte del software che Windows lancia automaticamente all’avvio è elencato nel registro come nome file che contiene il programma che deve essere eseguito, quindi se quel programma è dannoso o indesiderato, una scansione regolare del disco rigido troverà il file dannoso e potrà rimuoverlo.

Se il riferimento al file viene lasciato nel registro, non viene fatto alcun danno perché il file non esiste più e quindi non potrà più essere eseguito.

Tuttavia, alcune voci del registro possono contenere lo script o il programma effettivo che Windows dovrebbe eseguire, codificato direttamente nei dati del registro.

Le minacce archiviate in questo modo non hanno un proprio file su disco, quindi sono generalmente più difficili da individuare e correggere.

LPE è l’abbreviazione di Local Privilege Escalation.

Negli articoli di Naked Security si fa generalmente riferimento a LPE con il suo sinonimo EoP, che è il termine utilizzato da Microsoft nei suoi bollettini sulla sicurezza.

Che si definisca escalation del privilegio locale o escalation dei privilegi, l’idea è la stessa: i truffatori non possono entrare nel tuo computer con una vulnerabilità LPE, ma se sono già presenti, possono utilizzare un exploit LPE per promuoversi da un normale account, come il tuo, a uno che può arrecare danni molto più gravi alla tua rete.

I privilegi dell’account che gli aggressori in genere cercano includono l’account di SISTEMA locale o l’amministratore di dominio, che li mette sullo stesso piano dei tuoi amministratori di sistema.

RCE è l’abbreviazione di Remote Code Execution.

Il nome RCE significa esattamente quello che dice, vale a dire che gli aggressori possono entrare nel tuo computer ed eseguire un programma a scelta, senza bisogno di un nome utente o una password per accedere.

Alcune vulnerabilità, come il famigerato bug PrintNightmare in Windows Print Spooler che è stato rivelato alla fine di giugno 2021, hanno combinato RCE con LCE/EoP, il che le rende ancora più utili per i criminali informatici perché significa che possono “entrare e salire” in una mossa sola.

Gli exploit 0-Day o zero-day sono quelli senza patch disponibile.

Il termine zero-day è stato preso in prestito dalla pirateria dei giochi per computer, dove la frase “a zero-day crack” si riferiva a un hack di protezione dalla copia trovato così rapidamente da uscire lo stesso giorno del gioco stesso, dando così al fornitore di software un tempo pari a giorni zero per proteggersi dalla pirateria.

Per quanto riguarda i bug del software, un exploit zero-day si riferisce generalmente a qualsiasi vulnerabilità che i criminali informatici sanno come sfruttare prima che i Good Guys abbiano un aggiornamento ufficiale per rimediare, in modo che ci siano letteralmente zero giorni in cui anche l’amministratore di sistema più informato possa correre ai ripari.

Gli attacchi 0-Click funzionano senza che sia richiesta alcuna azione da parte dell’utente.

Anche i cosiddetti attacchi 1-click o multi-click possono essere veramente pericolosi, soprattutto se quei clic non producono alcun avviso “Sei sicuro?” che potrebbe indicare che è in corso un attacco.

Ad esempio, un attacco con 1 clic che richiede solo l’apertura o l’anteprima di un’e-mail, senza ulteriori clic o l’apertura di alcun allegato, sarebbe dannoso perché la semplice lettura dell’e-mail è considerata incontrovertibile e dovrebbe essere sicura.

Ma un attacco 0-click in genere funziona non solo senza alcuna azione da parte dell’utente, ma anche se il computer è bloccato o anche se nessuno ha effettuato l’accesso, come spesso accade sui server.

Cosa fare?

Non diremo: “Mai, mai, pagare il riscatto”, perché per quanto ne sappiamo potrebbe essere l’unica possibilità, non importa quanto possa essere dannosa, per evitare un disastro aziendale che potrebbe mettere l’azienda e i dipendenti sull’orlo del collasso economico.

Ma se ti sei mai chiesto dove vanno a finire i soldi del ricatto e hai sempre considerato abbastanza innocente pagare la “tassa ransomware” solo per risparmiare tempo e fatica nell’attivare le procedure di backup e ripristino…

…beh, ora lo sai.

 

 

Leave a Reply

Your email address will not be published.