Pacco, doppio pacco e contropaccotto: la tecnica dei nuovi ransomware
leggiamo su www.infosec.news un interessante articolo di Roberto MOZZILLO scritto il 20 Novembre 2020
È la nuova frontiera del cybercrime. I più recenti attacchi hacker alle aziende si stanno perpetrando utilizzando servizi di malware già pronti per l’uso. Basta pagare la tariffa indicata e voilà, il RAAS (Ransomware As A Service) è servito.
Stiamo parlando di EGREGOR, nome scelto a quanto pare perché fa riferimento ad un termine dell’occultismo che significa “energia collettiva di un gruppo di persone unite per una sola causa”.
EGREGOR sembra fare parte della più ampia “famiglia” dei Sekmet Ransomware.
Le modalità di attacco sono le solite: le vulnerabilità non ancora rilevate e l’anello debole per eccellenza, le persone, tramite l’invio di Bad Links e attività di Phishing.
Una volta entrato nel sistema informatico che ha deciso di attaccare, dispiega la sua tattica:
PACCO
Crittografa tutti i dati ai quali riesce ad accedere con algoritmi di cifratura estremamente sofisticati e difficilmente decifrabili facendo partire automaticamente la richiesta di riscatto in formato .TXT da versare entro 3gg.
DOPPIO PACCO
EGREGOR fa parte di quei nuovi ransomware che adottano la tecnica del doppio riscatto che consiste nel fare una copia di tutti i dati cifrati per effettuare il secondo ricatto: che l’azienda attaccata abbia pagato o meno il primo riscatto, parte la richiesta di una seconda somma minacciando la pubblicazione di tutti i dati o sul Dark Web o addirittura in chiaro su Internet
CONTROPACCOTTO
Se la vittima tentennasse ancora, o la si volesse tenere ancora di più nell’”incubo”, EGREGOR è in grado di pilotare tutte le apparecchiature presenti nella rete dei malcapitati, come è successo recentemente in una catena commerciale in Cile. Scaduto l’ultimatum gli hacker hanno iniziato la fase del terrorismo psicologico: dalle stampanti degli scontrini hanno fatto uscire chilometri di carta con sopra stampato il messaggio di ricatto originale: “La tua rete è stata hackerata, i tuoi computer e i tuoi server sono bloccati, i tuoi dati privati sono stati scaricati”.
Alla frustrazione degli utenti di quei sistemi nel non riuscire ad utilizzare nessuna applicazione perché bloccate dal virus, si aggiunge un effetto quasi “horror” di vedere le stampanti animarsi da sole ed emettere minacciosi messaggi.
Sembra quasi di vederlo, l’hacker nascosto nell’ombra, novello Jack Torrance, digitare il messaggio ripetutamente: “il mattino ha l’oro in bocca, il mattino ha l’oro in bocca, il mattino ha l’oro in bocca…”
COMMENTO UNO: Pagare o non pagare?
COMMENTO DUE : Non si dovrebbe per principio. Poi bisogna trovarsi nella situazione per poter giudicare
LA NOSTRA RISPOSTA
RISPOSTA AL PACCO CONTROPACCO ECCETERA
L’analisi del giornalista è interessante e ben documentata.
Le due riposte presenti sul sito riportano al vecchio dilemma di quando c’è un ricatto, pagare o non pagare, questo è il dilemma.
Ma ricordiamo ci del kidnapping di cui fu famoso in USA quello del figlio di Lindberg, il primo trans-volatore in aereo dell’Atlantico , e in Italia molti rapimenti di figli di industriali per motivi estortivi, trascurando i casi in cui il rapimento aveva fini politici da parte di un gruppo terroristico, ma anche in questo caso di tornava al solito dilemma, pagare o non pagare.
L’analisi dei rapimenti per fini estortivi di un riscatto portava in luce il seguente scenario:
1) I rapitori avevano Armi, Auto, Telefono, un rifugio sicuro, collaboratori anche nascosti
2) Le autorità erano dalla parte della famiglia del rapito
3) Le forse di Polizia o dei Carabinieri erano pronte a fare un blitz e liberare il rapito
4) Le autorità bloccavano i conti correnti della famiglia vittima, per impedirle di pagare
5) La opinione pubblica era al 99% dalla parte della famiglia della vittima
6) I concorrenti della Azienda della famiglia della vittima non si sognavano minimamente di utilizzare simili tecniche e stigmatizzavano l’accaduto
7) L’esito dei blitz in genere era favorevole alle forze di Polizia
Vediamo adesso il caso del RANSOMWARE attuale con crittografia dei dati
1) Il luogo sicuro del punto 1 sono gli stessi dati crittografati, le armi sono il PHISHING, il WORM, IL RANSOMWARE
2) Le autorità non sono in grado di contenere il fenomeno e si appoggiano ad Aziende che pur di vendere i propri prodotti ostacolano i concorrenti nella lotta agli hacker
3) Anche le forze di Polizia ostentano il proprio lavoro, ma anche loro fanno l’errore del punto 2
4) Il fenomeno vede l’attività criminale impacchettata in un servizio completo che chiunque, pagando ,può comprare e questo allarga enormemente la platea dei criminali
5) La opinione pubblica viene tenuta nell’ignoranza, solo riviste specializzate parlano del fenomeno, Aziende attaccata nascondono o diminuiscono gli effetti dell’attacco e comunque anche se arriva un titolone la opinione pubblica non è compatta contro tali attacchi, i governi utilizzano simili tecniche e non è chiara la frontiera tra il bene e il male, i giovani vengono invitati a imitare gli hacker e riviste spiegano come fare
6) ci sono Aziende che gradiscono sputtanare la concorrenza con attacchi hacker, comprano il pacco completo e se la ridono delle disgrazie dei concorrenti
7) Se i primi attacchi di RANSOMWARE vedevano come in WANNACRY del 2017 solo la catena del pacco, di fronte alle difese escogitate dalle Aziende di Cyber-security gli Hacker hanno subito escogitato il DOPPIO PACCO E CONTRO PACCO.
NOI abbiamo la soluzione, come viene descritta in altre parti, ma deve essere fatto un intervento normativo che risolva il fenomeno, con i seguenti punti:
A) CHI compra il PACCO deve pagare molto caro l’acquisto, ci sono in Italia norme severe contro la detenzione di armi da guerra, bisogna assimilare il PACCO ad una arma da guerra, l’acquisto deve essere scoraggiato, nonostante le accortezza la traccia di chi compra può comparire e le forze di Polizia devono operare in tal senso.
B) Siccome attualmente i Venditori di difese anti-Hacker vanno ognuno per conto suo e preferiscono battere la concorrenza che risolvere il Problema, deve essere stabilito da uno Stato che si faccia rispettare che la LICENZA di poter vendere nel Paese deve essere sottoposta al vincolo di favorire tutte le soluzioni atte a risolvere il Problema.
C) Specificando il punto B le Aziende operanti nel settore della Cyber-security devono ANTEPORRE la soluzione del Problema agli interessi personali e Aziendali . Poi risolto il Problema non vendi più? Ci saranno sempre nuove sfide da affrontare, la tecnica degli Hacker non dorme.
D) Devono essere fatti interventi di cui Noi proponiamo alcune Soluzioni. Ma contro le intelligenze criminali ci vogliono intelligenze superiori. Mi spiace per quelli che dicono che siamo tutti uguali.
E) La Opinione Pubblica deve essere informata adeguatamente per arrivare alla situazione descritta al punto 5 della nostra analisi.
F) Se il punto B non viene realizzato dallo Stato, associazioni di Imprenditori devono stabilire un Codice Etico con rappresaglie legali e di marketing negativo per chi non lo rispetta.