Negli anni ’60 e ’70, il mercato delle armi da fuoco degli Stati Uniti registrò un forte aumento di pistole importate a basso costo. I legislatori presero di mira la proliferazione di queste armi economiche e spesso inaffidabili, in quanto si riteneva che costituissero un rischio per i proprietari e facilitassero la criminalità. Naturalmente non si trattava di un problema esclusivo degli Stati Uniti o di quel periodo: nel Regno Unito, dove le armi da fuoco sono ora strettamente regolamentate, i criminali ricorrono spesso ad armi da fuoco riattivate, o addirittura fatte in casa o antiche.
Nonostante le “armi spazzatura” siano spesso imprecise e soggette a malfunzionamenti, acquistarle o crearle presenta dei vantaggi per un aspirante criminale. È improbabile che queste armi finiscano nel mirino delle forze dell’ordine e possono essere difficili da rintracciare. Tendono a essere poco costose, il che riduce il costo di accesso al possesso e all’uso illecito. Inoltre, spesso possono essere fabbricate o ottenute senza dover accedere a reti criminali complesse.
Nel corso di una recente indagine su alcuni forum clandestini di criminalità informatica, in particolare quelli frequentati da aggressori poco qualificati, Sophos X-Ops ha scoperto qualcosa di interessante: un ransomware equivalente alle armi spazzatura.
Abbiamo trovato numerosi esempi di ransomware prodotti in modo indipendente, economici e costruiti grossolanamente, per lo più venduti come acquisto una tantum piuttosto che con i tipici modelli di Ransomware-as-a-Service (RaaS) basati su affiliazioni (e nessuno dei “ransomware spazzatura” che abbiamo trovato compare nell’indice del gruppo ransomwatch al momento in cui scriviamo). Questo sembra essere un fenomeno relativamente nuovo (anche se, ovviamente, gli aggressori creano e vendono RAT e altro malware a basso costo e di bassa qualità da decenni). Ci siamo imbattuti anche in altri aggressori, un gradino o due più in basso nella scala delle competenze, esprimere interesse per lo sviluppo di nuovi ransomware, scambiandosi consigli su linguaggi, tecniche di evasione, obiettivi e modelli di licenza.
A prima vista, la prospettiva di singoli individui che producono e vendono ransomware da strapazzo non sembra rappresentare una minaccia significativa; è ben lontana dai gruppi di ransomware noti e ben organizzati che di solito vengono in mente. In questo caso, non ci sono siti di fuga di notizie; non ci sono gli IAB (Initial Access Broker); non ci sono affiliati; non ci sono gerarchie di tipo aziendale; non ci sono richieste di riscatto multimilionarie; non ci sono trovate pubblicitarie; non ci sono obiettivi di alto profilo; non c’è malware sofisticato destinato a sconfiggere i prodotti EDR avanzati; non si cercano titoli di giornale e attenzione da parte dei media; e ci sono poche analisi approfondite da parte dei ricercatori.
Ma scavando più a fondo, abbiamo scoperto alcune informazioni preoccupanti. Alcuni individui hanno affermato di aver utilizzato il ransomware junk-gun in attacchi reali, completando l’intera catena di attacco da soli, senza IAB. Altri sostengono di averlo utilizzato per attaccare piccole aziende e privati, obiettivi che probabilmente Cl0p e ALPHV/BlackCat non considererebbero utili, ma che potrebbero comunque generare profitti significativi per un singolo aggressore. Alcuni utenti hanno affermato di preferire il ransomware standalone perché non devono condividere i profitti, come in molti modelli RaaS, o fare affidamento su infrastrutture sviluppate e gestite da altri.
Lontano dalla complessa infrastruttura del ransomware moderno, il junk-gun ransomware consente ai criminali di entrare in azione in modo economico, facile e indipendente. Possono prendere di mira piccole aziende e privati, che difficilmente hanno le risorse per difendersi o rispondere efficacemente agli incidenti, senza dover pagare nessun altro.
Naturalmente, il ransomware “junk-gun” può occasionalmente ritorcersi contro gli aggressori: può essere difettoso, far scattare gli allarmi, o essere neutralizzato perché parte di una truffa, oppure la stessa mancanza di esperienza degli attaccanti può portare al fallimento o al rilevamento. Nella loro mente, tuttavia, questi sono probabilmente rischi accettabili, anche perché l’uso di ransomware spazzatura può portare a opportunità di lavoro più redditizie con bande di ransomware di spicco.
In questo articolo riveleremo le nostre scoperte, condivideremo i dettagli del ransomware spazzatura che abbiamo trovato e discuteremo le implicazioni per le organizzazioni, il pubblico in generale e la comunità della sicurezza.
Continua a leggere qui.
Lascia un commento