L’idra digitale: come si propaga il mondo delle cyber gang ransomware

Il mito dell’Idra - raccontato per la prima volta da Esiodo – rimane, nella sua forma allegorica, sempre attuale. Come la leggendaria creatura mitologica, infatti, anche le cyber gang del ransomware sembrerebbero avere potere rigenerativo, messe di fronte a una possibile disfatta.

Grazie a un’analisi approfondita del SoC team di Swascan, questa mutazione epocale si mostra in tutta la sua potenziale pericolosità.

Nelle pagine di questo rapporto si può capire infatti come quella che poteva sembrare la sconfitta di Lockbit 3.0 e di Babuk, due dei gruppi più attivi del mondo cyber criminale, ha presto dato vita a cinque nuove gang ransomware, da subito distruttive.

L’antefatto

Negli ultimi mesi, infatti, l’intero know how e i codici sorgenti del ransomware di Lockbit e Babuk sono stati resi pubblici grazie a dei data leak, vere e proprie falle dovute con ogni probabilità a dissidi interni ai vertici delle due organizzazioni.

La spaccatura, al contrario di quanto si potesse prevedere, non ha causato la scomparsa di queste organizzazioni criminali – come poteva essere successo ad altre gang come Conti, anche se per motivi diversi – ma si è rivelata linfa vitale da cui sono nate altri “cartelli” del cyber crime.

Attingendo ai codici sorgenti, altri criminal hacker hanno sviluppato dei propri ransomware originali, adattati alle proprie esigenze.

Questo fenomeno non è sfuggito al SoC team di Swascan, che ha studiato la loro efficacia e valutando l’estensione dei danni provocati.

I dettagli del report

Dal codice sorgente di Lockbit 3.0 è nato “Bl00dy Ransomware”, che, occultato all’interno di un file eseguibile “chrome0.exe”, inganna i navigatori più distratti aprendo le porte del proprio sistema informatico alla doppia estorsione messa in atto dal virus: criptazione dei file e minaccia di pubblicazione su Telegram delle informazioni delle vittime.

Il canale è stato creato alla fine di luglio 2022 e ha iniziato a far trapelare i dati delle vittime ad agosto 2022. Particolare attenzione va prestato ai dispositivi USB, utilizzati per diffondere questo come altri malware. Bl00dy ha preso di mira molte organizzazioni note, di cui il 17% appartenenti al settore sanitario, in particolar modo negli Stati Uniti.

Nel caso di Babuk Ransomware, invece, il codice sorgente è stato impiegato per creare una variante che, in termini di nomenclatura, differisce ben poco: una lettera “c” aggiunta all’interno del nome originale del ransomware. Altre varianti di Babuk Ransomware includono Rook Ransomware, PayLoad Bin e Babuk Ransomware (versione Novembre 2022).

La gang Rook ha iniziato la propria attività alla fine del 2021, contando un totale di 6 attacchi. Tuttavia, il gruppo sembra aver agito per un mese, cessando la propria attività a gennaio 2022. La gang non sembra essersi focalizzata su un paese in particolare: le vittime, infatti, provengono tutte da paesi diversi, quali USA, India, Germania, Giappone, Svizzera e Turchia. Gli obiettivi preferiti sono le aziende di grandi dimensioni.

PayloadBin, gang nata a settembre 2021, raggiunge un totale di 28 vittime pubblicate sul sito di data leak ad inizio 2022, mese in cui cessa l’attività. L’82% delle vittime sono localizzate negli Stati Uniti.

Il caso Babuk e il ransomware “politico”

Babuk è una gang ransomware emersa all'inizio del 2021. La dichiarazione della missione iniziale della gang faceva riferimento ad un intento non malevolo di condurre attacchi ransomware come apparente verifica della sicurezza delle reti aziendali: il gruppo ha specificato di non essere disposto ad attaccare ospedali, scuole, organizzazioni non profit e aziende con un fatturato annuo inferiore ai 4 milioni di dollari. Questa selettività delle vittime dimostra il tentativo di far credere che la gang abbia uno scopo “etico”: la realtà delle operazioni di Babuk, tuttavia, non è in linea con quanto dichiarato, in quanto la banda ha esfiltrato dati sensibili da organizzazioni appartenenti a diverse organizzazioni.

Tra queste, Babuk si è preso il merito di aver violato la rete informatica interna del dipartimento di polizia di Washington, minacciando di pubblicare i dati se non avessero ricevuto un riscatto in tre giorni. I post sul sito della gang erano inizialmente scritti sia in russo che in inglese, indicando una possibile origine russa di Babuk. Attualmente, il sito è solamente in inglese, e l’ultimo attacco sembra risalire a settembre 2021, mese in cui c’è stato il leak del codice sorgente della gang. Con la nuova variante di Novembre 2022 la gang ha colpito un’enorme infrastruttura di oltre 10.000 server; come primo step è stato infettato il domain controller, per poi procedere con un’infezione propagata in tutta l’infrastruttura.

Cosa ci riserva il futuro nel mondo del ransomware

“Dalle ceneri di vecchie gang – osserva il CEO di Swascan, Pierguido Iezzi – ne sono nate delle nuove. L’utilizzo di codici altrui abbatte le barriere di ingresso nel mondo del cybercrime in termini di competenza e risorse, proprio come avviene con ChatGpT, l’intelligenza artificiale alla quale si può chiedere, con semplici accorgimenti, di elaborare un malware. In questo modo qualunque malintenzionato ha facile accesso agli strumenti del mestieri dell’hacking criminale, moltiplicando all’inverosimile le minacce nel web”.

“Il progresso della scienza consiste nell'eliminare le cause di incertezza, le parole di Cartesio possono darci la chiave di lettura di questa situazione”, analizza l’esperto.

“L’eliminazione dei leader delle cybergang ransomware non è sufficiente per sconfiggere questo nemico. Bisogna essere sempre pronti a nuove minacce e a nuovi metodi per contrastarle. Le cybergang ransomware si stanno evolvendo e dobbiamo essere pronti a evolverci con esse”.