Vari gruppi attivi negli attacchi ransomware si stanno coalizzando per formare un vero e proprio "cartello delle estorsioni": la piattaforma del ransomware Maze è diventata una vera e propria infrastruttura condivisa dove alcuni gruppi di cyber criminali pubblicano i dati rubati alle vittime e condividono tattiche di attacco, di ricatto e intelligence.
Dalla criptazione dei dati al data breach
Era il Novembre 2019 quando gli operatori del ransomware Maze pensarono di anticipare la criptazione vera e propria (l'attacco ransomware) con un furto dati (data breach): in quell'occasione, poichè la vittima si era rifiutata di pagare il riscatto per riavere i file in chiaro, gli attaccanti avevano proceduto alla pubblicazione di una parte dei dati rubati in una fase dell'attacco precedente alla della criptazione stessa. Una specie di doppio ricatto: con la criptazione la vittima viene "esclusa" dall'accesso ai propri file, ma se si rifiuta di pagare, questi file vengono anche resi pubblici oltre che inaccessibili al proprietario.
Poco dopo, visto che la tecnica del doppio ricatto è parsa subito efficace, gli operatori di Maze hanno aperto un portale dedicato ai data breach, chiamato Maze News, usato per la pubblicazione di dati sensibili di quelle vittime (principalmente aziende e ospedali) che si rifiutano di pagare: è stato questo un vero e proprio cambio di paradigma per il mondo dei ransomware.
Per approfondire >> Come si ricatta un'azienda: il ransomware Maze colpisce la più grande azienda di sicurezza U.S.A e inizia l'incubo. Un nuovo paradigma per i ransomware?
La tecnica si è dimostrata così efficace da essere stata adottata in pochissimi mesi da ben 13 dei più importanti operatori di ransomware. Addirittura gli operatori del ransomware Ako hanno alzato ulteriormente il livello, richiedendo ben due diversi riscatti alla stessa vittima: uno per ottenere il decryptor e poter riportare i file in chiaro e uno per non rendere pubblici i dati sottratti col data breach pre criptazione.
Arriva il cartello delle estorsioni
L'ulteriore passo avanti è di appena qualche giorno fa e sono sempre gli operatori del ransomware Maze a fare da capofila: sono infatti gli artefici della creazione di una vera e propria coalizione degli operatori ransomware, per rendere attacchi ed estorsioni un "patrimonio da condividere", insieme a conoscenze tecniche e informazioni di intelligence su possibili vittime.
Concretamente che cosa significa? Il 3 di Giugno gli operatori di Maze hanno pubblicato sul loro sito di leak file e dati di uno studio internazionale di architettura: la particolarità è che l'attacco non è stato portato con Maze, ma è avvenuto ad opera di un altro gruppo di cyber attaccanti specializzati in target aziendali, ovvero LockBit.
Il breach di LockBit ospitato sul portale "Maze news" |
LockBit è un ransomware as a service, uno di quei ransomware affittabili online e personalizzabili, i cui guadagni vengono divisi tra la rete di affiliati e i gestori del servizio stesso: le operazioni di LockBit sono iniziate in Settembre, inizialmente come operazioni private, ma pochi mesi dopo i suoi operatori hanno optato per la forma del RaaS.
Alcuni ricercatori, allarmati dalla pubblicazione dei dati di una vittima di LockBit sul sito di leak di Maze, hanno deciso di contattare gli operatori di Maze i quali, come riferisce la testata specializzata BleepingComputer, hanno confermato di aver avviato una collaborazione con gli operatori di LockBit per condividere esperienza, ma anche le piattaforme di leak. Hanno anche fatto sapere che, entro pochi giorni, un terzo gruppo ransomware del quale non hanno fatto il nome, si aggiungerà al loro gruppo operativo.
"In pochi giorni un altro gruppo troverà spazio nel nostro sito web di news: vediamo in questa cooperazione la strada migliore per ottenere risultati positivi reciproci, sia per le aziende che per noi operatori ransomware. L'uso della nostra piattaforma per pubblicare i dati rubati alle aziende, data la nostra esperienza e reputazione, servirà a costruire un solido futuro comune. Trattiamo gli altri gruppi come partner per benefici comuni, non come concorrenti. Le strutturazioni organizzative sono alla base di ogni business di successo" sono le parole testuali degli attori di Maze.
Non è invece dato sapere se gli operatori di Maze ricevano qualche forma di compenso dai pagamenti effettuati tramite la loro piattaforma: è, questa, una delle poche domande alla quale si sono rifiutati di rispondere.
Siamo di fronte ad un salto di qualità estremamente pericoloso e che può avere effetti nefasti: unire le forze per condividere esperienza e tattiche, avere a disposizione una piattaforma comune per centralizzare i data leak consente agli operatori di concentrarsi maggiormente sulla creazione di attacchi sempre più sofisticati e tentativi di estorsione sempre più efficaci.
Nessun commento:
Posta un commento