Una dovuta premessa sul Ransomware as a Service: la minaccia in continua evoluzione
Il Ransomware è un tipo di malware che cripta i dati delle vittime e richiede un riscatto in cambio della de-crittografia. Negli ultimi anni, i ransomware sono diventati una minaccia sempre più diffusa per aziende e privati cittadini.
Il modello RaaS (Ransomware as a Service) ha contribuito alla crescita del ransomware. In questo modello, i criminali sviluppano il ransomware e lo affittano ad altri criminali, che lo utilizzano per attaccare le loro vittime. Questo modello rende il ransomware più accessibile a un’ampia gamma di criminali, anche a quelli con scarse competenze informatiche. Le caratteristiche che lo contraddistinguono sono:
- Sviluppo e manutenzione: il gruppo RaaS sviluppa e mantiene il ransomware.
- Affitto: il ransomware viene affittato ad altri criminali, i cosiddetti affiliati.
- Attacchi: gli affiliati utilizzano il ransomware per attaccare le loro vittime.
- Riscatto: il riscatto viene pagato alle vittime e poi diviso tra il gruppo RaaS e gli affiliati.
Vantaggi del modello RaaS per i criminali:
- Basso rischio: i criminali non devono sviluppare il ransomware da zero.
- Ampia portata: il ransomware può essere utilizzato da un’ampia gamma di criminali.
- Anonimato: il gruppo RaaS e gli affiliati possono rimanere anonimi.
Svantaggi del modello RaaS per le vittime:
- Maggiori danni: il modello RaaS può portare a danni maggiori per le vittime, in quanto il riscatto viene diviso tra più criminali.
- Difficoltà di negoziazione: può essere difficile negoziare con il gruppo RaaS, in quanto non è sempre chiaro chi sia responsabile del riscatto.
LockBit: un caso emblematico
LockBit è uno dei gruppi RaaS più attivi e prolifici al mondo. Il gruppo ha preso di mira una vasta gamma di vittime, tra cui aziende, enti governativi, strutture sanitarie e privati cittadini. Questo grazie alle sue caratteristiche:
- Ransomware sofisticato: il ransomware di LockBit è sofisticato e difficile da de-crittografare.
- Doppia estorsione: LockBit minaccia di pubblicare i dati delle vittime se il riscatto non viene pagato.
- Programma di affiliazione aggressivo: LockBit ha un programma di affiliazione aggressivo che ha portato a un rapido aumento del numero di attacchi.
LockBit ha avuto un impatto significativo a livello globale. Il gruppo ha causato danni stimati in miliardi di dollari alle sue vittime. Le forze dell’ordine di tutto il mondo stanno collaborando per contrastare LockBit. Nel 2023, l’operazione Cronos ha portato al sequestro di infrastrutture di LockBit e all’arresto di alcuni membri del gruppo.
Operazione Cronos: un’azione internazionale senza precedenti
Le forze dell’ordine di tutto il mondo hanno sferrato un duro colpo al gruppo ransomware LockBit in un’operazione congiunta denominata “Operazione Cronos”. Coordinata dalla National Crime Agency (NCA) del Regno Unito, l’operazione ha portato al sequestro di server e infrastrutture utilizzati dal gruppo, all’arresto di diversi membri e al recupero di dati criptati per le vittime.
Cronos ha coinvolto le forze dell’ordine di 10 paesi, tra cui Stati Uniti, Regno Unito, Francia, Germania e Australia. L’operazione ha avuto tre obiettivi principali:
- Smantellare l’infrastruttura di LockBit: le forze dell’ordine hanno sequestrato server e infrastrutture utilizzati dal gruppo, impedendogli di continuare a operare al pieno potenziale.
- Arrestare i membri di LockBit: diverse persone associate al gruppo sono state arrestate e saranno sottoposte a processo.
- Recuperare i dati delle vittime: le forze dell’ordine stanno lavorando per recuperare i dati criptati da LockBit e hanno già rilasciato alcuni tool utili per il ripristino.
L’operazione Cronos è un successo significativo nella lotta contro la criminalità informatica. Infatti, ha dimostrato la capacità delle forze dell’ordine di collaborare a livello internazionale per contrastare i gruppi ransomware e, inoltre, ha inviato un messaggio forte ai criminali informatici, dimostrando che le loro attività non saranno tollerate.
Si tratta di un passo importante verso un futuro più sicuro per tutti. Tuttavia, la minaccia del ransomware rimane elevata ed è fondamentale che le aziende e i privati cittadini adottino misure adeguate per proteggersi.
Osservazioni del team IR di Cyberoo
Il Team di Incident Response di Cyberoo ha analizzato l’operazione Cronos, che ha portato allo smantellamento del gruppo ransomware LockBit. Riportiamo di seguito le conclusioni e considerazioni sugli sviluppi futuri del panorama ransomware.
IRT negli ultimi 2 anni ha lavorato su numerosi casi ransomware, riguardanti soprattutto LockBit ed i suoi affiliati. Lo smantellamento di LockBit rappresenta un successo significativo nella lotta contro la criminalità informatica. L’operazione Cronos ha dimostrato la capacità delle forze dell’ordine di collaborare a livello internazionale per contrastare i gruppi ransomware. Inoltre, l’operazione ha inviato un messaggio forte ai criminali informatici, dimostrando che le loro attività non saranno tollerate.
Possibili sviluppi futuri:
- Migrazione degli affiliati:
È probabile che alcuni affiliati di LockBit si spostino in altri gruppi ransomware. Questo potrebbe portare a un aumento dell’attività di altri gruppi.
- Nascita di nuovi gruppi:
Guardando al passato, lo smantellamento di altri gruppi ransomware ha portato alla nascita di nuovi gruppi. È quindi possibile che emergano nuovi gruppi ransomware per colmare il vuoto lasciato da LockBit.
- Evoluzione del ransomware:
Lo smantellamento di LockBit potrebbe spingere i criminali informatici a sviluppare nuove tecniche di ransomware per eludere le forze dell’ordine.
- Maggiore attenzione alla sicurezza informatica:
L’operazione Cronos potrebbe portare a un aumento della consapevolezza del rischio ransomware e a una maggiore attenzione alla sicurezza informatica da parte di aziende e privati cittadini.
Considerazioni finali
Lo smantellamento di LockBit è un ottimo risultato, ma non rappresenta la fine del ransomware. È fondamentale che le aziende e i privati cittadini continuino ad adottare misure adeguate per proteggersi da questa minaccia in continua evoluzione. Secondo le previsioni di IRT, durante i prossimi mesi potrebbe esserci una flessione negli attacchi ransomware, considerando che gli affiliati dovranno “spostarsi” e adattarsi ad altri gruppi criminali, senza contare che alcuni potrebbero anche fermarsi per un lungo periodo.
Da metà anno in avanti, molto probabilmente, ci sarà un incremento degli attacchi che potrebbe riportare la tendenza ai massimi storici.
LockBit rimarrà nella storia come il gruppo criminale più famoso ed organizzato nell’ecosistema ransomware.
Cyberoo continuerà a monitorare l’evoluzione del panorama ransomware e a fornire aggiornamenti e consigli per la sicurezza dei propri clienti.