Tecnologia
Prodotti
Settori
Notizie
Eventi
Risorse
Azienda
Italiano
Tecnologia
Prodotti
Settori
Notizie
Blog
Eventi
Risorse
Azienda

Ransomware a doppia estorsione

Brianna Leddy, Director of Analysis | mercoledì 19 maggio 2021

Un anno e mezzo fa, i ransomware “a doppia estorsione” erano utilizzati da un unico pirata informatico conosciuto. Oggi, questa tattica è utilizzata attivamente da più di 16 gruppi di ransomware. Quindi, perché succede e perché è diventata una tecnica così diffusa?

Cos’è un ransomware a doppia estorsione?

La storia dei ransomware è quella di un codice pericoloso in grado di crittografare rapidamente file con crittografia RSA a chiave pubblica ed eliminare poi questi file se la vittima non accetta di pagare un riscatto.

Tuttavia, dopo la famigerata campagna WannaCry e la campagna ransomware NotPetya nel 2017, le aziende hanno deciso di rafforzare la propria cyber defense. È stata data una maggior enfasi ai processi di backup e di ripristino, in modo che, anche in caso di distruzione dei file, le organizzazioni avessero a disposizione delle copie e potessero facilmente ripristinare i propri dati.

A propria volta, i pirati informatici hanno adattato di conseguenza le proprie tecniche. Oggi, anziché crittografare semplicemente i file, i ransomware a doppia estorsione esfiltrano per prima cosa i file. Ciò significa che se l’organizzazione si rifiuta di pagare, le informazioni possono essere pubblicate online o vendute al miglior offerente. Improvvisamente, tutti questi backup e piani di ripristino sono diventati inutili.

Ransomware Maze e non solo

Verso la fine del 2019, il ransomware Maze si è rivelato il primo caso ad alto profilo di doppia estorsione. Subito dopo sono emerse altre specie, ad esempio l’attacco Sodinokibi, che ha bloccato l’azienda di cambio valute estere Travelex proprio l’ultimo giorno di quell’anno.

Entro la metà del 2020, centinaia di organizzazioni sono state vittime di attacchi a doppia estorsione, numerosi siti web che appartengono al Dark Web hanno pubblicato dati aziendali e il business del “ransomware come servizio” ha registrato una rapida espansione grazie alle attività di vendita e affitto di nuovi tipi di malware proposti dagli sviluppatori.

Inoltre, i pirati informatici hanno iniziato a rappresentare una minaccia anche in relazione alle normative sulla cyber security, perché possono sfruttare la paura di dover pagare una cospicua sanzione correlata alla conformità (normative CCPA, GDPR, NYSDFS), incoraggiando pertanto le vittime a non rivelare nulla e chiedendo come riscatto un importo inferiore all’eventuale sanzione da pagare.

Nel 2020 gli incidenti con ransomware a doppia estorsione sono stati 1.200 in 63 paesi e più del 60% di questi si sono verificati negli Stati Uniti e nel Regno Unito.

Nonostante vengano redatte regolarmente nuove normative per tentare di mitigare questo tipo di attacchi, questa tendenza non rallenta. Secondo un recente studio di RUSI, nel 2020 gli incidenti con ransomware a doppia estorsione sono stati 1.200 in 63 paesi. Il 60% di questi incidenti riguardava organizzazioni con sede negli Stati Uniti e il Regno Unito ha fatto registrare il secondo numero più alto di violazioni.

Il mese scorso, il gruppo di pirati informatici conosciuto con il nome di REvil ha rivelato sul proprio sito “Happy Blog” dettagli che riguardano il nuovo Macbook Pro Apple, minacciando di rivelare ulteriori progetti e chiedendo un riscatto pari a 50 milioni di dollari. E, la scorsa settimana, la Colonial Pipeline ha pagato una cifra presunta di 5 milioni di dollari in bitcoin per il ripristino dei propri sistemi a seguito di un devastante attacco ransomware OT.

Anatomia di un attacco ransomware a doppia estorsione

Durante lo scorso anno, Darktrace ha rilevato un enorme incremento delle minacce ransomware a doppia estorsione e una di queste di recente ha interessato un’azienda di energia con sede in Canada. I pirati informatici avevano chiaramente fatto ricerche sulla propria vittima, personalizzando l’attacco e, una volta ottenuto l’accesso, muovendosi in modo rapido e furtivo. Di seguito è riportata una sequenza temporale relativa a questo incidente avvenuto nel mondo reale, la maggior parte del quale si è svolto in sole 24 ore.

Figura 1: sequenza dell’attacco

Darktrace ha rilevato tutte le fasi dell’intrusione e ha avvisato il team della sicurezza generando allarmi a priorità elevata. Se Darktrace Antigena fosse stato attivo nell’ambiente dell’organizzazione, il server compromesso sarebbe stato isolato non appena avesse iniziato a comportarsi in modo anomalo, evitando la diffusione dell’infezione.

Crittografia ed esfiltrazione

Il vettore dell’infezione iniziale non è noto, ma l’account amministratore era stato molto probabilmente compromesso a causa di un link di phishing o dello sfruttamento di una vulnerabilità. Ciò indica una tendenza differente dalle campagne ransomware con diffusione “spray and pray” adottate nell’ultimo decennio, che prevede invece un approccio più mirato.

La Cyber AI ha identificato un’attività di scansione di rete insolita da parte di un server interno e un tentativo di movimento laterale utilizzando il Remote Desktop Protocol (RDP). Le credenziali amministratore compromesse sono state utilizzate per diffondersi rapidamente dal server ad un altro dispositivo interno, il “serverps”.

Il dispositivo “serverps” ha avviato un collegamento esterno a TeamViewer, un servizio di archiviazione file legittimo, che è rimasto attivo per circa 21 ore. Questo collegamento è stato utilizzato per il controllo remoto del dispositivo e per facilitare le fasi successive dell’attacco. Anche se TeamViewer non era molto utilizzato nell’ambiente digitale aziendale, non è stato bloccato da nessuna delle difese tradizionali.

Il dispositivo quindi si è collegato ad un file server interno e ha scaricato 1,95 TB di dati e ha caricato lo stesso volume di dati su pcloud[.]com. L’esfiltrazione è avvenuta durante l’orario di lavoro per confondersi con la normale attività dell’amministratore.

È stato rilevato anche il download da parte del dispositivo del software Rclone, uno strumento open source probabilmente utilizzato per sincronizzare automaticamente i dati verso il servizio di archiviazione file legittimo pCloud.

Le credenziali amministratore compromesse hanno consentito al pirata informatico di muoversi lateralmente durante questo periodo di tempo. Terminata l’esfiltrazione dei dati, il dispositivo “serverps” ha avviato la crittografia dei file su 12 dispositivi utilizzando l’estensione *.06d79000.

Come nella maggior parte degli incidenti ransomware, la crittografia si è verificata al di fuori dell’orario di lavoro, durante la notte, ora locale, per minimizzare le possibilità che il team della sicurezza reagisse rapidamente.

Indagine guidata dall’AI

Cyber AI Analyst ha segnalato quattro incidenti correlati all’attacco, evidenziando il comportamento sospetto al team della sicurezza e generando un report relativo ai dispositivi infetti al fine di adottare una soluzione immediata. La generazione di questi report sintetici ha consentito al team della sicurezza di identificare rapidamente l’ambito dell’infezione e rispondere di conseguenza.

Figura 2: Cyber AI Analyst Incident Tray relativo a una settimana

Cyber AI Analyst indaga on demand

Dopo ulteriori analisi eseguite il 13 marzo, il team della sicurezza ha utilizzato Cyber AI Analyst per eseguire indagini on-demand sulle credenziali amministratore compromesse in Microsoft 365, nonché su un altro dispositivo identificato come potenzialmente pericoloso.

Cyber AI Analyst ha creato un’incidente relativo a questo altro dispositivo, poiché era stata individuata una scansione insolita delle porte durante il periodo dell’infezione. Il dispositivo è stato subito rimosso dalla rete.

Figura 3: incidente creato da Cyber AI Analyst relativo ad un dispositivo compromesso, che dettaglia un download interno insolito

Doppio problema

L’uso di strumenti legittimi e delle tecniche “Living off the land” (usando cioè RDP e credenziali amministratore compromesse) ha consentito ai pirati informatici di eseguire la maggior parte dell’attacco in meno di 24 ore. Sfruttando TeamViewer, soluzione legittima per l’archiviazione di file, come strumento da usare durante l’esfiltrazione, anziché fare affidamento su un dominio “pericoloso” o registrato di recente, i pirati informatici hanno facilmente eluso tutte le difese esistenti basate su firme.

Se Darktrace non avesse rilevato questa intrusione e avvisato immediatamente il team della sicurezza, l’attacco avrebbe comportato la “mancata esecuzione delle attività aziendali”, con gli utenti impossibilitati ad utilizzare i propri file, e la perdita di dati sensibili. L’AI ha permesso anche un altro elemento positivo, cioè il risparmio di tempo prezioso grazie alle indagini automatizzate e la generazione report on-demand.

Ma un ransomware a doppia estorsione può comportare ulteriori problemi. L’esfiltrazione rappresenta un altro livello di rischio, perché comporta la compromissione di proprietà intellettuali, danni alla reputazione e sanzioni correlate alla conformità. Quando i pirati informatici entrano in possesso di dati, possono chiedere pagamenti continui anche successivamente. È importante pertanto difendersi da questi attacchi prima che si verifichino, implementando proattivamente misure di cyber security in grado di rilevare e rispondere autonomamente alle minacce non appena emergono.

Scopri maggiori informazioni su ransomware a doppia estorsione

IoC:

IoCCommenti
api[.]pcloud[.]comArchiviazione Cloud per l’esfiltrazione
downloads[.]rclone[.]orgDowload del software RClone per agevolare l’esfiltrazione
162.250.6[.]138 (AS42473 ANEXIA Internetdienstleistungs GmbH)IP di TeamViewer utilizzato per l’accesso remoto

Rilevamento dei modelli Darktrace:

  • Device / Suspicious Network Scan Activity
  • Device / RDP Scan
  • Device / Network Scan
  • Anomalous Connection / Unusual Admin SMB Session
  • Anomalous Connection / Unusual Admin RDP Session
  • Device / Multiple Lateral Movement Model Breaches
  • User / New Admin Credentials on Client
  • Anomalous Connection / Uncommon 1 GiB Outbound
  • Anomalous Connection / Low and Slow Exfiltration
  • Device / Anomalous SMB Followed By Multiple Model
  • Anomalous Connection / Download and Upload
  • Anomalous Connection / Suspicious Activity On High Risk Device
  • Anomalous File / Internal::Additional Extension Appended to SMB File
  • Compromise / Ransomware::Suspicious SMB Activity
  • Anomalous Connection / Sustained MIME Type Conversion
  • Device / Anomalous RDP Followed By Multiple Model Breaches
  • Anomalous Connection / Suspicious Read Write Ratio
  • Device / Large Number of Model Breaches

Brianna Leddy

Based in San Francisco, Brianna is Director of Analysis at Darktrace. She joined the analyst team in 2016 and has since advised a wide range of enterprise customers on advanced threat hunting and leveraging Self-Learning AI for detection and response. Brianna works closely with the Darktrace SOC team to proactively alert customers to emerging threats and investigate unusual behavior in enterprise environments. Brianna holds a Bachelor’s degree in Chemical Engineering from Carnegie Mellon University.