Ransomware discount: quando il Cyber Crime è per tutti

Non è difficile affermare come il Ransomware sia la minaccia cyber principale per ogni tipo di organizzazione – pubblica e privata - al momento. Il trend di continua crescita che abbiamo osservato almeno nell'ultimo quinquennio è sicuramente stato impressionante e non sono mancati i casi da prima pagina che hanno visto protagonista questo tipo di malware.

Da minaccia padroneggiata da pochi, il fenomeno si è trasformato in un vero e proprio mercato a sé stante, con programmi di affiliazione, profit sharing e campagne marketing… Quindi potrebbe sembrare che notizie che ci raccontano della chiusura di gruppi dediti a questa pratica siano da accogliere con grande ottimismo. Ma purtroppo la realtà potrebbe non essere così rosea.

Ma andiamo per gradi, partendo dal caso Avaddon, uno dei "cartelli" Ransomware che esemplificano meglio come operano questi Criminal Hacker altamente organizzati.

Questa operazione ransomware-as-a-service è stata ufficialmente chiusa il venerdì 11 di giugno. In corrispondenza di questo evento, il threat group ha anche reso disponibili oltre 2.900 chiavi crittografiche per tutte le vittime colpite dall'attività criminale. Le chiavi sono state verificate e legittimate da Emsisoft e Coveware che hanno reso disponibile un programma di decriptazione gratuito che può essere usato da tutte le vittime per riottenere possesso dei file.

Cos'era Avaddon?

Avaddon era una famiglia di ransomware rilevata per la prima volta nel giugno dello scorso anno. L'attività relativa a questo malware è stata incessante e ha coinvolto anche aziende del nostro Paese. Per moltiplicare il ritorno economico, l'attività ha assunto l'approccio del ransomware-as-a-service, con la creazione di un programma di affiliazione che ha consentito all'organizzazione di ampliare i propri orizzonti, sfruttando il lavoro e l'expertise di collaboratori esterni.

Lo schema d'azione è quindi molto simile ad altri gruppi cyber criminali come Ryuk e Revil, poiché prevede la messa a disposizione del codice del malware, oltre a un "kit" di strumenti specifici (anche legittimi e sviluppati da terze parti) in cambio di una percentuale degli utili generati dall'attività criminale data in appalto.

Il business viene così "scalato", come avviene in altri ambiti dell'affiliate marketing, sfruttando il lavoro della struttura piramidale, frammentando la responsabilità e rendendo più complessa l'attività investigativa.

Il percorso di Avaddon

L'attività di questa organizzazione criminale ha avuto inizio, come già detto, nel giugno del 2020. Ma almeno nella fase embrionale, non prevedeva un arsenale di strumenti complesso come quello visto nel periodo finale. Infatti, la prima campagna associata ad Avaddon, era stata un'azione di phishing piuttosto semplice (il corpo del messaggio era una semplice emoticon che faceva l'occhiolino) ma in grado di farsi notare dagli addetti ai lavori anche per l'efficacia con la quale convinceva i destinatari ad aprire l'allegato dannoso.

Ma col tempo, l'attività si è ampliata, passando al ramo dei ransomware, uno fra i più profittevoli degli ultimi anni. Ne abbiamo già parlato in passato, ma è bene ricordare che l'ammontare complessivo dei riscatti pagati in seguito al rilascio di ransomware è arrivato a superare i 350 milioni di dollari nel 2020. Sono state coinvolte aziende di ogni settore, posizione geografica e fatturato, non lasciando scampo nemmeno a organizzazioni no-profit e agenzie governative.

L'annuncio della chiusura delle operazioni è suggellato dal fatto che tutti i siti Tor di Avaddon non sono più raggiungibili, e dalla tendenza degli ultimi giorni, ravvisata dagli addetti ai lavori (ransomware negotiation firm, specializzate nei negoziati a seguito di richiesta di riscatto) a premere sul pagamento e finalizzare le questioni rimaste in sospeso con le vittime che non avevano ancora ceduto (la richiesta media di pagamento era pari a 600.000 dollari).

Le cause di questa scelta

Sebbene non sia ancora chiaro il motivo per cui Avaddon abbia deciso di chiudere i battenti, molto probabilmente la pressione esterna e l'attenzione sempre maggiore posta dalle forze dell'ordine di molti Paesi verso il fenomeno dei ransomware hanno giocato un ruolo fondamentale.

I recenti attacchi a infrastrutture fondamentali per l'economia di Paesi interi, come i casi della Colonial Pipeline e di JPS, hanno costretto le istituzioni a prendere una posizione ancora più rigida verso un fenomeno già allarmante.

Un evento isolato?

Già nelle settimane scorse era giunta la notizia della chiusura dell'attività di DarkSide, un'altra cyber gang specializzata nell'uso di ransomware, a seguito del sequestro di un conto contenente criptovaluta. Proprio DarkSide si era macchiata del devastante attacco alla Colonial Pipeline che ha provocato enormi disservizi alla rete energetica statunitense. E se anche una gang considerata di "serie B" come Avaddon decide di interrompere la propria attività, queste due buone notizie sembrano voler indicare una tendenza positiva.

A livello macro, però, il fenomeno non sembra destinato a interrompersi, vista l'efficacia degli schemi offensivi a tripla estorsione e i ritorni economici cospicui che spingono sempre più organizzazioni a tentare la fortuna nonostante i rischi.

La sindrome dell'Idra

La riprova del fatto che l'ottimismo deve essere molto cauto è il caso di Maze.

Questo cartello Ransomware, una volta chiusi i battenti, non si era disperso con i suoi operatori pronti a viversi i "guadagni" in una spiaggia dei Caraibi…

Questo perché MAZE operava in maniera simile a un cartello della droga con vari affiliati.

Questi, probabilmente, chiuso il capitolo MAZE, hanno guardato altrove per mettere a frutto le proprie "competenze" criminali.

Anzi, non è neppure una questione ipotetica.

Sappiamo già che MAZE aveva rapporti stretti con altri due gruppi di Criminal Hacker: LockBit e Ragnar Locker, oltre ad essere più volte stato accostato per metodologia e codice a Egregor.

Due gruppi, questi ultimi, che hanno già mietuto vittime eccellenti in Italia.

Insomma, lo scenario più plausibile è che nessuno sia veramente "andato in pensione" o abbia deciso di dedicare il proprio tempo ad attività che non comprendessero il Cyber Crime.

Chi accoglie con un sospiro di sollievo la chiusura di Avaddon e Darkside, sarà costretto a ricredersi.

Tagliata una testa probabilmente ne nasceranno altre. Questo perché tutte le competenze dei Criminal Hacker di questi gruppi non sono andate perse né tantomeno tolte dal mercato.

Sono state suddivise e trasmesse in altri gruppi che hanno ricominciato proprio da dove Avaddon o Darkside hanno deciso di interrompersi: colpendo organizzazioni piccole e grandi e causando enormi danni economici e di brand reputation.

Concretamente – con molta probabilità - non cambierà quasi nulla, i Criminal Hacker e i ransomware saranno sempre "là fuori" e continueranno a prendere di mira organizzazioni pubbliche e private con il loro vasto arsenale di tattiche e tecniche affinate in anni e anni di esercizio.

Ransomware per tutti?

A questo potremmo aggiungere un altro risvolto, il ransomware "gratuito".

Una gang che promuove la sua operazione ransomware-as-a-service (RaaS) sul suo sito web è Himalaya, un gruppo di Criminal Hacker che ha iniziato la sua attività quest'anno.

Tranne che per l'uso del loro sito per diffondere la parola, Himalaya non sembra diverso da altri programmi ransomware.

Pubblicizzano una commissione del 70% per gli affiliati e un "FUD [Fully UnDetectable] già configurato e compilato" che cripta i file.

Come si vede dall'annuncio qui sotto, Himalaya stabilisce una regola rigorosa sugli obiettivi e apparentemente non permette di attaccare organizzazioni sanitarie, pubbliche e no-profit.

Il tutto però senza chiedere alcun anticipo ai propri futuri affiliati!