Gli ultimi attacchi informatici di alto profilo attribuiti alla banda del ransomware Clop non possono certo dirsi tradizionali (se “tradizionali” è la parola giusta per un sistema di estorsione che risale solo al 1989).
Gli attacchi ransomware tradizionali sono quelli in cui i vostri file vengono crittografati, la vostra attività si blocca completamente e appare un messaggio che vi informa che una chiave di decrittazione per i vostri dati è disponibile per una somma di denaro spesso esorbitante.
Evoluzione criminale
Come si può immaginare, dato che il ransomware risale all’epoca in cui non tutti avevano accesso a Internet (e quando chi era connesso aveva velocità di trasferimento dati che non si misuravano in gigabit o addirittura in megabit al secondo, ma spesso semplicemente in kilobit), l’idea di criptare i vostri file laddove si trovavano era un espediente per risparmiare tempo.
I criminali finivano per avere il pieno controllo sui vostri dati, senza dover prima caricare tutto e poi sovrascrivere i file originali su disco.
Ancora meglio per i criminali, essi potevano prendere di mira centinaia, migliaia o addirittura milioni di computer alla volta e non avevano bisogno di conservare tutti i dati nella speranza di “rivenderli”. (Prima che il cloud storage diventasse un servizio per i consumatori, lo spazio su disco per i backup era costoso e non poteva essere facilmente acquistato on-demand dall’oggi al domani).
Ironia della sorte, le vittime del ransomware che cripta i file finiscono per agire come inconsapevoli sequestratori dei loro stessi dati.
I loro file vengono lasciati a portata di mano, spesso con i loro nomi originali (anche se con un’estensione extra come. locked aggiunta alla fine, giusto per mettere il sale sulla ferita), ma sono totalmente incomprensibili per le applicazioni che normalmente li aprirebbero.
Ma nell’attuale mondo del cloud computing, gli attacchi informatici in cui i ladri di ransomware si appropriano di copie di tutti i vostri file essenziali, o almeno di molti di essi, non sono solo tecnicamente possibili, ma anche comuni.
Per essere chiari, in molti, se non nella maggior parte dei casi, gli aggressori criptano anche i vostri file locali, perché possono farlo.
Dopo tutto, criptare i file su migliaia di computer contemporaneamente è spesso molto più veloce che caricarli tutti nel cloud.
I dispositivi di archiviazione locale forniscono in genere una larghezza di banda di diversi gigabit al secondo per unità e per computer, mentre molte reti aziendali dispongono di una connessione Internet di poche centinaia di megabit al secondo, o anche meno, condivisa tra tutti.
Criptare tutti i vostri file su tutti i vostri laptop e server su tutte le vostre reti significa che gli aggressori possono ricattarvi e mandarvi in bancarotta se non riuscite a recuperare i vostri backup in tempo.
Oggi i criminali del ransomware spesso cercano di distruggere la maggior parte dei dati di backup che riescono a trovare prima di procedere alla crittografia dei file.
Il primo livello del ricatto dice: “Pagate e vi daremo le chiavi di decrittazione necessarie per ricostruire tutti i vostri file proprio dove si trovano su ogni computer, quindi anche se avete backup lenti, parziali o inesistenti, sarete presto di nuovo operativi; rifiutatevi di pagare e le vostre operazioni commerciali rimarranno dove sono, in un blocco totale”.
Allo stesso tempo, anche se i criminali hanno solo il tempo di rubare alcuni dei vostri file più interessanti da alcuni dei vostri computer più importanti, ottengono una seconda spada di Damocle da tenere sulla vostra testa.
Questo secondo livello di ricatto è del tipo: “Pagate e vi promettiamo di cancellare i dati rubati; rifiutatevi di pagare e non solo li terremo, ma ne faremo quello che vogliamo”.
I criminali spesso minacciano di vendere i dati ad altri criminali, di inviarli alle autorità di regolamentazione e ai media del vostro Paese o semplicemente di pubblicarli apertamente su Internet affinché chiunque possa scaricarli e trarne profitto.
Dimenticare la crittografia
In alcuni attacchi di cyber-estorsione, i criminali che hanno già rubato i vostri dati saltano la parte di crittografia del file o non sono in grado di eseguirla.
In questo caso, le vittime finiscono per essere ricattate solo per far tacere i criminali, non per riavere i loro file e far ripartire la loro attività.
Questo sembra essere ciò che è accaduto nei recenti attacchi di alto profilo a MOVEit, in cui la banda Clop, o i suoi affiliati, erano a conoscenza di una vulnerabilità zero-day sfruttabile all’interno di questo software, che si dà il caso sia dedicato al caricamento, alla gestione e alla condivisione sicura dei dati aziendali, compreso un componente che consente agli utenti di accedere al sistema semplicemente utilizzando il proprio browser web.
Sfortunatamente, la falla zero-day esisteva nel codice della versione web-based di MOVEit, consentendo a chiunque avesse abilitato l’accesso web-based di esporre inavvertitamente i database dei file aziendali a comandi SQL iniettati da remoto.
A quanto pare, si sospetta che più di 130 aziende abbiano subito un furto di dati prima che lo zero-day di MOVEit fosse scoperto e corretto.
Molte delle vittime sembrano essere dipendenti che hanno subito la violazione e il furto dei dati delle buste paga, non perché la loro società fosse cliente di MOVEit, ma perché lo era l’elaboratore di buste paga in outsourcing della loro azienda e i loro dati sono stati rubati dal database delle buste paga di quel fornitore.
Inoltre, sembra che almeno una parte delle organizzazioni che hanno subito tale violazione (direttamente attraverso la loro configurazione MOVEit o indirettamente attraverso uno dei loro fornitori di servizi) fossero enti pubblici statunitensi.
La ricompensa in gioco
Questa combinazione di circostanze ha indotto il team statunitense Rewards for Justice (RFJ), che fa parte del Dipartimento di Stato degli Stati Uniti (l’equivalente del vostro Paese potrebbe chiamarsi Affari Esteri), a ricordare a tutti su Twitter quanto segue:
Il sito web di RFJ stesso dice, come citato nel tweet qui sopra:
Advisory from @CISAgov, @FBI: https://t.co/jenKUZRZwt
Do you have info linking CL0P Ransomware Gang or any other malicious cyber actors targeting U.S. critical infrastructure to a foreign government?
Send us a tip. You could be eligible for a reward.#StopRansomware pic.twitter.com/fAAeBXgcWA
— Rewards for Justice (@RFJ_USA) June 16, 2023
Rewards for Justice offre una ricompensa fino a 10 milioni di dollari per informazioni che portino all’identificazione o alla localizzazione di qualsiasi persona che, agendo sotto la direzione o il controllo di un governo straniero, partecipi ad attività informatiche dannose contro le infrastrutture critiche degli Stati Uniti in violazione del Computer Fraud and Abuse Act (CFAA).
Non è chiaro se gli informatori possano ottenere diversi multipli di 10.000.000 di dollari se identificano più colpevoli, e ogni ricompensa è specificata come “fino a” 10 milioni di dollari piuttosto che 10 milioni di dollari non diluiti…
…ma sarà interessante vedere se qualcuno deciderà di provare a reclamare il denaro.
Lascia un commento