Big Hunting: Quando la preda siamo noi

Come sottolineano tutti i report sullo stato degli attacchi cyber, le organizzazioni criminali sono diventate sempre più audaci. Il passaggio fondamentale è l’aver abbandonato come target gli individui e le piccole organizzazioni passando a puntare grandi aziende che, chiaramente, possono permettersi il pagamento di riscatti rilevanti.

Nella variegata terminologia cyber questo metodo prende il nome di Big Hunting Game e, in questo ultimo anno, ha colpito organizzazioni rilevanti danneggiando sia le società che le assicurazioni per quelle società che avevano una polizza cyber e che hanno dovuto intervenire nei risarcimenti.

Nei report resi disponibili dalle società che producono soluzioni di sicurezza si vede che non solo aumenta la frequenza, ma anche l’importo del riscatto richiesto. Quando si parla di incremento significa il 300% sulla frequenza e importi quasi triplicati. L’assegnazione indica che l’origine, molto spesso, coinvolge la Russia e l’Europa orientale con alcuni casi di organizzazioni sponsorizzate dagli stati.

L’evoluzione

Sono ormai lontani i tempi in cui veniva chiesto un riscatto per mitigare le iniziative di tipo DDoS verso le infrastrutture per poi passare a minacce che puntavano al blocco del sistema operativo, attraverso l’utilizzo della crittografia, al fine di impedirne l’utilizzo.

Il 2013 segna l’anno del passaggio a questo tipo di minacce con la comparsa di CryptoLocker che utilizzavano coppie di chiavi RSA a 2048 bit e le allora principali tecniche di distribuzione erano quelle del Watering Hole.

In parallelo occorre evidenziare l’aumento della popolarità delle criptovalute, che ha permesso di passare da pagamenti attraverso voucher al pieno utilizzo della valuta elettronica che garantisce agli avversari un ulteriore livello di anonimato.

Ma è a partire dal 2016 che questo tipo di minacce ha cominciato a prendere di mira le realtà enterprise. In questa fase l’attività estorsiva consisteva nel ripristino dei file, una volta pagato il riscatto attraverso strumenti online, per decifrare i documenti precedentemente cifrati. L’analisi di questi file ha spesso messo in luce che in molti casi non veniva effettuata una completa cifratura, ma solamente sostituite, in modo arbitrario, alcune sequenze in modo da rendere il materiale compromesso inutilizzabile. Alcuni esempi sono stati WannaCry e NotPetya.

Come nelle migliori logiche di business, anche i ransomware hanno adottato modelli As A service o meglio Ransomware As A Service come visto nel nostro articolo Ransomware as a Service (RaaS). In questo modello abbiamo operatori che forniscono a servizio bundle completi di malware e relativa piattaforma per la decifratura. Nel Dark Web è possibile trovare reti di affiliazione, community e forum un vero e proprio network commerciale di raffinata strumentazione di caccia.

La trattativa

Analizzando i vari incidenti dal 2018, si evince che la maggior parte si è conclusa con il pagamento di un riscatto. Gli attaccanti che effettuano questa caccia adottano ormai un modello denominato double extorsion, ovvero il pagamento del riscatto coincide con il recupero dei documenti compromessi e l’impegno da parte degli avversari di rimuovere i dati che sono stati rubati.

Analizzando alcuni casi, si nota che in genere a seguito della cifratura e l’esfiltrazione dei dati, gli attaccanti lasciano sui server compromessi le istruzioni per effettuare il pagamento. In alcuni casi i file contengono delle stringhe con ID utilizzabili dalle vittime per poter accedere a vere e proprie interfacce web create per l’operazione. Le trattative poi passano ad una fase di comunicazione diretta che in genere avviene su chat o via mail. Nel caso in cui non ci sia il primo contatto nei tempi stabiliti, in genere, viene pubblicato un annuncio sul proprio portale dove vengono rilasciati alcuni dettagli dell’incidente. In alcuni casi si è notato che gli attaccanti non procedono all’esfiltrazione, ma si limitano alla cifratura e compromissione dei dati.

Una ipotesi interessante è poi quella che lega alcuni malware che hanno effettuato campagne mirate su società che avevano sottoscritto polizze di assicurazione cyber con richieste di pagamento anche piuttosto cospicue, come se fossero forti del fatto che l’assicurazione avrebbe provveduto al risarcimento dei danni.

Chiaramente, se le trattative non portano ad un accordo, gli attaccanti avviano la pubblicazione del materiale trafugato. Questi dati vengono resi pubblici su blog appositamente creati per la campagna con meccanismi di aste pubbliche per file più rilevanti che sono stati sottratti alle organizzazioni.

Questa tecnica aggiunge un’altra problematica, qualora il riscatto non venga pagato l’organizzazione potrebbe di fatto vedere i suoi dati in mano a concorrenti o prestare il fianco ad altre operazioni da altri attaccanti che potrebbero beneficiare di queste informazioni acquisite.

Cosa possiamo fare per mitigare il rischio

Ci sono alcune cose alle quali occorre prestare attenzione o comunque da sottoporre a una analisi periodica, come ad esempio avere sempre chiara visibilità sugli assets che hanno dati personali e sensibili o assets finanziari. Su questo perimetro occorre limitare l’accesso, controllare e aggiornare le politiche di sicurezza con particolare attenzione agli accessi degli utenti oltre alla loro revoca in caso di problematiche o mancato utilizzo. In questo contesto non si deve avere timore di restringere l’accesso cercando di ridurre la superficie di attacco.

Be ready, ovvero preparare un piano e prevedere delle esercitazioni periodiche su questi temi. Improvvisare in una situazione di attacco fa perdere tempo e l’elaborazione di un piano in condizioni di stress non è consigliabile.

Documentare le procedure di backup e soprattutto prevedere la loro protezione. In questi casi si deve essere sicuri che i backup siano esenti da compromissioni e che le operazioni di rispristino non introducano altre problematiche.

Aumentare l’automazione nelle procedure di monitoraggio investendo nel migliorare i processi di detection dando una priorità sugli assest critici e rilevanti per il business. I punti di ingresso quali, ad esempio, l’Active Directory devono avere una maggiore attenzione e capacità di rilevare comportamenti anomali.

Rivedere la sicurezza dei lavoratori da remoto introducendo il doppio fattore di autenticazione sugli accessi VPN e soprattutto sugli accessi in Cloud; anche su questi è consigliabile concentrare le attività di monitoraggio introducendo anche sistemi che rilevano anomalie comportamentali.

Dare maggiore impulso all’introduzione di politiche di sicurezza e analisi del rischio alla catena di approvvigionamento, fornitori e software terze parti. Quest’ultima area è stata quella maggiormente sfruttata negli ultimi attacchi e quindi su questa occorre una maggiore maturità da parte delle organizzazioni.