Ogni tanto una buona notizia: il ransomware Nemty cessa le operazioni. Ma c'è già un erede

Avevamo parlato del ransomware Nemty qualche mese fa: individuato nell'estate del 2019 fa in uso in attacchi reali, per qualche tempo fu ritenuto molto pericoloso perchè era "convolato a nozze"col temibile Exploit Kit Rig, uno strumento molto efficace di distribuzione malware. Nemty, in breve, è un RaaS (ransomware as a service), quei ransomware messi in affitto online, personalizzabili e con tanto di servizio di supporto da parte degli sviluppatori: un sistema che permette di guadagnare dal pagamento del riscatto sia gli "affittuari" (30%) del malware che gli sviluppatori, che ricevono una percentuale di ogni riscatto pagato dalle vittime (70%). 

Questo malware ha avuto vicende alterne: il primo stop arrivò già un mese dopo la prima individuazione "in the wild", quando l'azienda di sicurezza informatica Tesorion riuscì a violare l'algoritmo di criptazione delle versioni 1.4, 1.5 e 1.6 e approntare un decryptor poi distribuito gratuitamente. Lo stop fu però breve: appena pochi giorni dopo la pubblicazione del tool, i suoi sviluppatori erano già corsi ai ripari, mettendo subito in diffusione una nuova versionecon una massiva campagna di malvertising. Nei mesi è stato distribuito tramite diversi vettori, a seconda delle scelte operate dagli affiliati alla rete RaaS: è stato distribuito con campagne di email di spam, exploit kit, brute-forcing degli RDP ecc...

Dopo 10 mesi di attività annunciato lo shut down

La notizia è stata annunciata in uno dei più famosi forum di hacking direttamente dagli sviluppatori di Nemty: le operazioni sono in procinto di essere sospese. L'operatore garantisce alle vittime una settimana per pagare i riscatti ancora attesi prima dello shut down dell'infrastruttura: oltre questo termine i dati non saranno più recuperabili anche in caso di pagamento del riscatto.

Perchè lo shut down?

In realtà, spiegano su zdnet.com, questa decisione non è affatto una sorpresa per la community dei ricercatori di sicurezza: ci sono anzi vari motivi che potrebbero essere alla base di questa decisione. Prima tra tutti l'evidente fallimento nel far diventare Nemty un "top player" nel mercato dei ransomware: è comune che le campagne di distribuzione varino di intensità, ma Nemty non è mai stato "il top ransomware" e si è anzi attestato più nei "giocatori di fascia media". Ci hanno provato, va detto, ma il fallimento è evidente: seguendo l'ormai diffusa tendenza dei ransomware di "fascia alta" di far trapelare parte dei dati rubati dai sistemi aziendali infettati, i suoi autori avevano aperto un sito web per lo scopo. Dopo mesi dall'apertura del sito però, sono stati pubblicati i dati di una sola azienda. Se invece vediamo la frequenza di pubblicazione di dati rubati, facendo riferimento ai siti appositi ad esempio di Maze e Ryuk, vediamo che questi "top ransomware" pubblicano ormai a cadenza quotidiana dati sottratti da reti aziendali infette.

Poi c'è stato il danno reputazionale: a tre mesi dalla prima individuazione, i ricercatori di Tesorion "scassinarono" l'algoritmo di criptazione di ben tre versioni del ransomware. Non c'è peggior colpo che un RaaS possa subire di quello di vedere pubblicato un decryptor gratuito: evento che mina la fiducia degli affiliati anche in caso di pubblicazione di nuove versioni che "risolvano il bug" sfruttato dai ricercatori di sicurezza. 

In terzo luogo, dopo che la crew di Nemty ha scoperto (a posteriori) la pubblicazione del dectyptor, non pare essersi concentrata principalmente a produrre una nuova versione del ransomware, quanto più a svilupparne uno nuovo. E' di appena un mese fa l'individuazione del ransomware Nefilim, che ha moltissime somiglianze col codice di Nemty, tanto da sembrarne direttamente ispirato. Con un nuovo RaaS, funzionante, attivo e con un nome diverso, non ha alcun senso per la crew di Nemty tenere ancora in circolazione la vecchia versione. 

Nulla di nuovo, va detto: il famigerato ransomware GandCrab "morì" proprio così. Dopo essere stato tra i ransomware più temibili in circolazione, era stato bersaglio delle attenzioni dei ricercatori di sicurezza e più volte il suo algoritmo di criptazione era stato violato, rendendo possibile il recupero dei file. I danni alla reputazione e ai profitti degli affiliati alla rete di GandCrab furono tali che il RaaS cessò il servizio e i suoi sviluppatori hanno prodotto il nuovo Sodinokibi (che, come sappiamo, è anch'esso molto molto temibile). 

La cattiva notizia è che la nuova variante che ha preso il posto di Nemty, ovvero Nefilim, appare molto più efficace del suo antenato: il sito di leak correlato a questo ransomware, dove vengono pubblicati a fine ricattatorio i dati rubati dalle reti aziendali colpite, è abbastanza attivo ed è, purtroppo, aggiornato settimanalmente.