Il ransomware è tutt’ora una delle minacce più diffuse nel panorama della sicurezza informatica. Può causare seri danni agli individui che improvvisamente si trovano impossibilitati ad utilizzare i loro PC e con scarse probabilità di recuperare i loro file, a meno che non venga pagato il riscatto per ottenere una chiave di decrittazione (richiesto in criptovaluta, di solito IN Bitcoin). Ed è anche peggio per le aziende!

Una volta che una variante di ransomware si è infiltrata in una rete aziendale e ha eseguito la criptografia dei file, le vittime si ritrovano costrette a sospendere i servizi di base. Se i backup non sono disponibili, i criminali informatici possono richiedere anche migliaia e migliaia di dollari, pena la mancata decriptazione dei file o la condivisione di dati aziendali sensibili.

Quando si analizza un ransomware ci si focalizza soprattutto sul malware utilizzato, sull’infrastruttura impiegata per lanciare questo tipo di attacchi, sulle tecnicalità. Ma chi c’è dietro questi attacchi? Perché non ci si focalizza mai sul lato umano del ransomware? 

Oggi parliamo di Lockbit, una piattaforma di ransomware-as-a-service (Raas) noto per la sua automazione e la velocità con cui attacca le vittime.

Nel settembre 2020, Cisco Talos ha deciso di stabilire un contatto con un operatore di Lockbit e abile creatore di ransomware. Nel corso di svariate settimane, sono state condotte diverse interviste, che per la prima volta mettono in primo piano la voce di un operatore del settore. 

Aleks, questo il nome di fantasia dell’operatore Lockbit, ha spiegato il suo modus operandi, le sue vittime preferite, l'uso degli strumenti e perché è difficile diventare un white-hat nel suo paese di residenza, la Russia. 

Chi è Aleks? Sembra si tratti di un uomo che vive nella regione siberiana e che sia stato un operatore ransomware per diversi anni. Si stima che abbia circa 30 anni e che abbia una formazione a livello universitario, anche se afferma di essere autodidatta in abilità come penetration test, sicurezza della rete e raccolta di informazioni. 

Aleks non ha le risorse dei grandi hacker, ma agisce rapidamente sulla base di svariate informazioni, ha spiegato. Alcuni di questi dati provengono dal Dark Web, dove gli aggressori possono conoscere il valore delle loro vittime tramite informazioni rubate, ma gran parte dei dati che possiede sono pubblici. Aleks, come molti criminali, si tiene aggiornato sulle notizie di sicurezza informatica e cerca il modo di trovare sempre nuove vulnerabilità. 

Eppure, quando lancia le campagne di attacco, Aleks utilizza strumenti e tattiche comuni, utilizzate da molti altri criminali. Il riutilizzo degli strumenti è un modo più veloce ed efficace per effettuare gli attacchi. Alcune delle sue risorse includono Masscan, Shodan, Cobalt Strike, Powershell, Mimikatz, ed altri.

Ha cominciato a lavorare per un’azienda informatica mentre si stava laureando, ma fin da subito ha dimostrato "un generale senso di delusione, a volte anche risentimento, per non essere stato adeguatamente apprezzato all'interno dell'industria informatica russa".

Sembra che la sua frustrazione fosse evidente durante le interviste: denigrava famose aziende russe di sicurezza informatica e affermava che in Occidente, avrebbe probabilmente lavorato come white hat, guadagnando molto di più. La sua frustrazione lavorativa e il misero stipendio lo hanno spinto ad acquisire comportamenti immorali e criminali.

L’operatore di Lockbit ha fatto svariati esempi di questa "frustrazione", tra cui l’essere stato ignorato quando ha segnalato problemi di sicurezza in vari siti web, tra cui un famoso social network russo. “I suoi sforzi ben intenzionati non sono stati presi per nulla in considerazione", ha affermato Aleks, cosa che lo ha spinto ulteriormente verso un percorso da cybercriminale. 

Le motivazioni dietro la sua scelta di diventare creatore di ransomware non sembrano essere puramente finanziarie. Durante l'intervista, Aleks ha detto che sicuramente il ransomware è redditizio, ma che ha anche voluto "insegnare" alle aziende le "conseguenze nel non proteggere correttamente i loro dati."

Aleks ha anche detto che "per un criminale informatico, il miglior paese è la Russia", e che le organizzazioni vittime negli Stati Uniti e in Europa "pagano più velocemente e di più" di quelle negli stati post-sovietici, soprattutto gli ospedali. Ha infatti affermato che in Europa le organizzazioni tendono a pagare subito, per "paura" delle conseguenze del violare le norme GDPR UE sulla protezione dei dati.

"Non è insolito per i criminali vedere le proprie azioni come giustificabili dopo aver compiuto il fatto, anche se non c’è alcuna vera ambiguità morale in questi crimini", ha affermato Cisco Talos. 

L’'intervista ha contribuito a dare ai ricercatori una migliore comprensione di come funzionano le reti Raas e di ciò che motiva gli aggressori dietro campagne ransomware.

I punti salienti dell’intervista sono stati i seguenti:

•    Gli hacker sono alla costante ricerca di sistemi senza patch per introdursi nelle reti aziendali.

•    La maggior parte dei criminali informatici si affida soprattutto a strumenti open source.

•    I cyber criminali untano a colpire gli obiettivi più semplici senza tener conto di alcun obbligo morale.

•    Si tratta spesso di persone autodidatte e di avidi lettori di notizie sulla sicurezza, aggiornati su ricerche e vulnerabilità.

•    L’utilizzo del ransomware Maze (ma anche LockBit) era basato su un franchising con un vero e proprio programma di affiliazione.

•    Gli ospedali sono considerati dei bersagli facili da colpire ed effettuano il pagamento del riscatto con percentuali che vanno dall’80% al 90%.

•    Chi esegue gli attacchi sembra caratterizzato da un codice etico piuttosto contradditorio: Aleks, ad esempio, esprime un forte disprezzo per coloro che attaccano le organizzazioni sanitarie ma, allo stesso tempo, non afferma con sicurezza che non siano un suo obiettivo.

•    Il GDPR dell’Unione Europea gioca a favore dei cattivi: le vittime di ransomware in Europa sono più propense a pagare il riscatto per evitare le conseguenze legali di un attacco in caso diventasse di dominio pubblico.

Tweet