Il 10 maggio 2021 l’FBI ha confermato che da venerdì 7 maggio DarkSide ha colpito con un attacco ransomware il principale oleodotto degli Stati Uniti, la pipeline Colonial.
Le operazioni di Colonial Pipeline, uno dei gasdotti più grandi degli Stati Uniti, sono state sospese a seguito di un attacco informatico. La struttura si occupa dell’erogazione del 45% delle forniture di carburante per la costa est degli USA, tra cui benzina, diesel, carburante per aerei, gasolio per il riscaldamento domestico e carburante per le forze armate statunitensi coprendo quasi la metà del fabbisogno energetico della East Coast, comprese Philadelphia, Boston, Washington DC e, soprattutto, New York e il suo porto.
A seguito dell’attacco, avvenuto venerdì 7 maggio, la società ha dichiarato che è stato necessario porre offline dal giorno 8 alcuni sistemi per poter contenere la minaccia. Questo ha comportato l’interruzione di tutte le operazioni del gasdotto, che giornalmente trasporta circa 2,5 milioni di barili di carburante lungo 8850 chilometri di condutture nelle città del Sud-est.
E’ di oggi 14 maggio l’annuncio che Colonial Pipeline, il gestore dell’oleodotto statunitense bloccato da venerdì scorso a causa di un attacco hacker, avrebbe ceduto, pagando quasi 5 milioni di dollari come riscatto per ripristinare i suoi sistemi informatici. La società ha pagato il pesante riscatto tramite criptovaluta a poche ore dall’attacco, sottolineando l’immensa pressione che l’attacco hacker ha esercitato sul più grande fornitore di gasolio e benzina dell’est degli Stati Uniti.
Una volta ricevuto il pagamento, come riporta Bloomberg, gli hacker hanno fornito al gestore uno strumento di decrypting per ripristinare il sistema informatico disabilitato. Lo strumento era così lento che l’azienda ha dovuto continuare a utilizzare i propri backup per riuscire a ripristinare il sistema in un minor tempo. Oltre al danno, quindi, la beffa.
L’azienda, in ogni caso, sarebbe dotata di un’assicurazione contro i cyber attacchi, stipulata con la compagnia Axa.
Cos’è e come funziona un ransomware
In sostanza, un ransomware altro non è se non un malware (programma informatico utilizzato per recare disturbo alle operazioni informatiche) che impedisce l’accesso ai dati personali o, più in generale, ai sistemi informatici e chiede il pagamento di un riscatto per renderli nuovamente accessibili.
Da un punto di vista più tecnico, i ransomware utilizzano e sfruttano per fini criminosi algoritmi di crittografia creati per tutelare la sicurezza delle comunicazioni legittime. A differenza dei software legittimi, dunque, il ransomware mantiene la chiave pubblica sul sistema dell’utente, mentre la chiave privata viene conservata su server remoti inaccessibili all’utente.
Il primo ransomware conosciuto risale al 1989 ed è noto come trojan AIDS. In questo caso, il virus criptava i file dell’hard disk e mostrava all’utente un messaggio in cui gli veniva segnalata la scadenza della licenza di un qualche programma installato sul suo computer, obbligandolo a corrispondere 189 dollari per sbloccare il sistema.
Purtroppo, i canali di diffusione di questi malware sono numerosi e, talvolta, insospettabili.
Come vettori d’infezione vengono spesso utilizzati:
- banner pubblicitari;
- e-mail di phishing;
- software da scaricare e che al loro interno hanno già un malware;
- siti compromessi su cui navigano le vittime.
Evitare i ransomware, così come altri malware, non è facile. Tuttavia, per scongiurare o quanto meno limitare attacchi di questo genere e tutelare i propri dati è utile ed opportuno essere prudenti e adottare alcuni accorgimenti.
Appena un destinatario apre un allegato maligno o fa clic su un link compromesso, il malware viene scaricato nel sistema dell’utente e inizia il suo lavoro di crittografia dati.
Per quanto banale, il primo consiglio è quello di adottare un antivirus affidabile, preferendo, tra i vari in commercio, quelli che dispongono di aggiornamenti costanti, che assicurano maggior protezione anche contro le nuove minacce, in continua evoluzione (quindi meglio uno a pagamento 😁; di seguito una analisi abbastanza dettagliata).
Per cercare di evitare il riscatto è poi opportuno, da un lato, eseguire backup con regolarità (anche qui con opportuni programmi a pagamento: citiamo Acronis, Macrium Reflect, Paragon HD) e, dall’altro lato, tenere sempre aggiornati i nostri software, sì da rendere più dura la vita dei criminali informatici.
Come detto prima, il canale preferenziale di diffusione dei ransomware è la posta elettronica: occorre dunque prestare particolare attenzione agli allegati delle e-mail e, in particolare, ai file ZIP e ai documenti Office. In questi casi è sempre opportuno disabilitare le Macro.
Sempre più spesso poi, sia i privati che le società, al fine di difendersi da attacchi informatici scelgono di stipulare quelle che vengono definite cyber assicurazioni, fornite da diverse compagnie e/o banche (es. Unicredit).
Attacco ransomware alla Colonial Pipeline in USA
Le modalità dell’attacco alla Colonial Pipeline , secondo quanto dichiarato dall’esperto di sicurezza informatica Matteo Flora ai microfoni di AGI, sarebbero “le solite”: un lavoratore dell’azienda avrebbe incautamente aperto una mail o un link, dando il via al processo di crittografia delle informazioni. “Se guardiamo a questo attacco – ipotizza Pierluigi Torriani, Security Engineering Manager presso l’azienda Check Point – possiamo dire che si tratta di un classico attacco ransomware di tipo Ryuk. Questa tipologia è particolarmente diffusa sul mercato statunitense, dove il 15% degli attacchi è di tipo Ryuk”.
Intanto, l’oleodotto è restato chiuso. Nel momento in cui si scrive il prezzo dei future sul WTI, cioè i titoli finanziari legati al petrolio “statunitense”, è rimasto stabile rispetto ai mesi scorsi. Ma il prezzo della benzina al dettaglio negli USA è in leggero aumento: l’American Automobile Association rileva che, nell’ultima settimana, la benzina è rincarata in media di 6 centesimi al gallone. Il costo al gallone ha così toccato quota 2,96 dollari. È il livello più alto da maggio 2018, vicino al record negativo del 2014. E la benzina in Europa e in Italia?
Qualora il blocco della Colonial dovesse protrarsi oltre questa settimana, potremmo assistere a effetti anche sul nostro mercato. Come precisato da IlSole24Ore, si tratta di un’ipotesi plausibile ma improbabile. Ciò sia per effetto di una serie di normative protezionistiche degli USA, che per gli effetti sulle quotazioni internazionali del petrolio che a loro volta provocherebbero ricadute sull’economia e sull’inflazione. Di fronte alla portata delle sue azioni, il gruppo DarkSide ha prontamente pubblicato uno statement sul darkweb nel quale afferma che: “[…] Il nostro obiettivo è fare soldi e non creare problemi alla società. Da oggi ci daremo una moderazione e controlleremo ogni azienda che i nostri partner vogliono crittografare per evitare conseguenze sociali in futuro”.
Potrebbe quindi essere stata una mail, o un click su un link ad aver fermato, tutto, tramite un semplice attacco informatico: un ransomware, ovvero un codice che si installa nel computer nel momento in cui viene scaricato un file infetto e che ‘protegge’ con una crittografia tutti i contenuti che incontra sulla sua strada: file, cartelle, documenti.
Ma come è stato possibile un attacco di simile portata, a un’infrastruttura così delicata?
Bene, non è detto che un’infrastruttura critica sia per forza meglio protetta rispetto alle altre. Anzi, spesso è vero il contrario, perché di frequente si tratta di vecchie infrastrutture, gestite da aziende nate in un mondo pre-digitale, che a un certo punto sono andate online per necessità, molto velocemente e senza adeguate metodologie per contenere i rischi.
Se guardiamo a questo attacco, possiamo dire che si tratta di un classico attacco ransomware di tipo Ryuk. Questa tipologia è particolarmente affezionata al mercato statunitense, infatti il 15% degli attacchi Ryuk avviene negli Stati Uniti rispetto al 3% che avviene in Italia.
Attacco ransomware Ryuk
Ryuk, pronunciato ri-iuc, è una famiglia di ransomware apparsa per la prima volta tra la metà e la fine del 2018. Nel dicembre 2018, il New York Times ha riferito che Tribune Publishing era stata infettata da Ryuk, costringendola a interrompere le attività di stampa a San Diego e in Florida. Il New York Times e il Wall Street Journal condividevano uno stabilimento di stampa a Los Angeles. Anche loro sono stati colpiti dall’attacco, che ha causato problemi di distribuzione delle edizioni del sabato dei giornali.
Ryuk è una variante del vecchio ransomware Hermes ed è in cima alla lista degli attacchi ransomware più pericolosi. Nel CrowdStrike 2020 Global Threat Report, Ryuk rappresenta tre delle prime 10 maggiori richieste di riscatto dell’anno: 5,3 milioni di dollari, 9,9 milioni di dollari e 12,5 milioni di dollari. Ryuk ha attaccato con successo industrie e aziende in tutto il mondo. Gli hacker chiamano la pratica di prendere di mira le grandi aziende “big game hunting” (Big Game Hunting, BGH).
È interessante notare che questa famiglia di ransomware porta un nome giapponese derivato dal film anime Death Note. Il nome significa “dono di Dio”. Sembra una scelta strana per il ransomware poiché le sue vittime perdono dati o denaro. Dal punto di vista dell’hacker, tuttavia, potrebbe in effetti essere considerato un dono di Dio.
Si ritiene che il ransomware Ryuk sia gestito da un gruppo di criminali informatici russo noto come WIZARD SPIDER. UNC1878, un cybercriminale attivo nell’Europa orientale, è stato ricondotto ad alcuni attacchi specifici nel campo dell’assistenza sanitaria. La distribuzione di questo ransomware non è diretta ma gli hacker scaricano prima altri malware su un computer.
Quando Ryuk infetta un sistema, prima arresta 180 servizi e 40 processi. Questi servizi e processi potrebbero impedire a Ryuk di svolgere il proprio lavoro ma il loro arresto è necessario per facilitare l’attacco. A quel punto, può avere luogo la cifratura dei dati. Ryuk crittografa file come foto, video, database e documenti, tutti i dati di interesse per gli utenti, utilizzando la crittografia AES-256. Le chiavi di crittografia simmetriche vengono quindi crittografate utilizzando RSA-4096 asimmetrico.
Ryuk è in grado di crittografare da remoto, comprese le condivisioni amministrative remote. Inoltre, può eseguire comandi di Wake-On-Lan, risvegliando i computer per applicare la crittografia (naturalmente se sono connessi alla rete elettrica 😁). Queste capacità contribuiscono all’efficacia e all’estensione delle sue attività di crittografia nonché al danno che può causare.
Gli hacker lasciano sul sistema richieste di riscatto sotto forma di file denominati RyukReadMe.txt e UNIQUE_ID_DO_NOT_REMOVE.txt il cui contenuto è simile a quello rappresentato nella schermata seguente.
Il vettore di attacco Ryuk
Ryuk può utilizzare il meccanismo del Download as a Service (DaaS) per infettare i sistemi presi di mira. DaaS è un servizio che un hacker offre a un altro. Se un hacker sviluppa ransomware ma non sa come distribuirlo, altri hacker con queste capacità aiutano a distribuirlo.
Spesso, gli utenti inconsapevoli cadono preda di attacchi di phishing che facilitano l’infezione iniziale. AdvIntel segnala che il 91% degli attacchi inizia con email di phishing. È estremamente importante addestrare gli utenti a individuare le email di phishing. L’addestramento riduce drasticamente la possibilità di infezione.
Una volta che l’utente clicca sull’email di phishing, Ryuk scarica ulteriori elementi malware chiamati dropper. Il malware aggiuntivo include Trickbot, Zloader, BazarBackdoor e altri. Questi dropper potrebbero installare Ryuk direttamente, o potrebbero anche installare un altro malware come Cobalt Strike Beacon per comunicare con una rete di comando e controllo (C2). Ryuk si scarica una volta installato il malware. Ryuk ha anche sfruttato exploit come vulnerabilità ZeroLogon nei server Windows.
Il diagramma seguente (tratto da un report di Trend-Micro) mostra il percorso di infezione di Ryuk o la procedura d’attacco.
Indicatori di compromissione da Ryuk
Le conseguenze devastanti causate dal ransomware possono essere drammatiche, quindi è meglio prevenire un’infezione prima che si verifichi. Ciò non è sempre possibile, quindi il personale operativo deve stare attento per rilevare l’inizio di un attacco e agire immediatamente per prevenire ulteriori danni.
Poiché Ryuk può infettare un sistema attraverso molti e diversi vettori di attacco, il lavoro necessario per rilevarlo è complicato. Esistono molti Indicatori di compromissione (IOC) che consentono agli amministratori di rete e ai responsabili della sicurezza di individuare i precursori di un’infezione Ryuk.
BazarLoader, un dropper, è un punto di ingresso comune per Ryuk. Un dropper, o DaaS, è un malware che scarica altro malware. Ecco alcuni IOC di BazarLoader a cui prestare attenzione:
- Viene visualizzata nel registro di Windows un’attività pianificata denominata “StartAd-Ad” con le voci di esecuzione automatica che vengono aggiunte successivamente
- File eseguibili a doppia estensione come Report.DOC.exe
TrickBot è un altro punto d’ingresso comune per Ryuk. Il suo IOC è un file eseguibile il cui nome è composto da 12 caratteri generati in modo casuale. Una volta che TrickBot ha creato il file, ad esempio mnfjdieks.exe, si troverà in una di queste directory:
- C:\Windows\
- C:\Windows\SysWOW64
- C:\Utenti\[NomeUtente]\AppData\Roaming
Nel 2019, Ryuk ha fatto registrare la più alta richiesta di riscatto di sempre di 12,5 milioni di dollari e probabilmente ha fruttato un totale di 150 milioni di dollari entro la fine del 2020.
Ransomware “a pagamento”
I paradigmi “as a service” si sono rapidamente diffusi nel passato recente, ad indicare risorse, asset, attività che potessero essere fruite in forma di servizio liberandosi spesso da oneri e costi ingombranti. E’ il caso per esempio di SaaS (Software as a Service), IaaS (Infrastructure as a Service), PaaS (Plataform as a Service) o DBaaS (Database as a Service).
Lo stesso concetto si sta rapidamente diffondendo nel mondo della criminalità informatica e se già da qualche tempo esistono forme di malware “as a service” era inevitabile che si giungesse anche più nello specifico al caso del ransomware as a service che costituisce l’origine di due terzi degli attacchi verificatisi nel corso del 2020.
Ryuk è uno dei programmi Ransomware as a Service (RaaS) più noti e conosciuti in termini di portata dell’infezione. Lo sviluppatore riceve una percentuale dei pagamenti di riscatto andati a buon fine. RaaS è quindi un adattamento del modello SaaS (Software as a Service).
Ransomware: servizi in vendita sul dark web
Gli attacchi ransomware hanno dimostrato e continuano ancor oggi a dimostrare la loro efficacia nella capacità di raccogliere denaro dalle vittime. I gruppi di attacco più sofisticati riescono ad intascare cifre anche nell’ordine dei milioni di dollari – a seconda del profilo della vittima – e anche i “pesci piccoli” vogliono sfruttare questa strada per incassare soldi, magari senza avere le capacità di sviluppare e distribuire un ransomware.
Ecco che il mondo della criminalità informatica fiuta l’affare: una domanda a cui offrire agli interessati la vendita o il noleggio di ransomware tramite i canali del dark web. In questo modo anche individui e criminali con poche conoscenze tecniche possono fare leva su campagne di ransomware sviluppato e distribuito da terzi, i quali tratterranno una percentuale del riscatto che le vittime pagheranno per la chiave di decifratura.
Group-IB, società che si occupa di sicurezza informatica, ha evidenziato in un’analisi che il 66% circa degli attacchi ransomware osservati nel corso del 2020 erano condotti tramite questo modello. Una richiesta così elevata che sta portando ad una vera e propria concorrenza tra gli sviluppatori di ransomware al punto da elaborare anche offerte speciali per coloro i quali sono interessati a compiere malefatte usando questo tipo di strumenti.