Gli attacchi ransomware si stanno evolvendo rapidamente per colpire gli endpoint dei sistemi di controllo industriale (ICS) in tutto il mondo con un aumento significativo dell'attività durante l'ultimo anno.

Un esempio è stato l'attacco a Colonial Pipeline da parte del gruppo Dark Side.

Un rapporto dei ricercatori di Trend Micro mette in evidenza questa tendenza dominante.
Le reti ICS che supportano le utenze critiche, come acqua ed elettricità, devono essere pienamente operative per fornire servizi.

Più a lungo tali reti rimangono inattive, maggiore è l'interruzione di servizio provocata e maggiore è il danno.

Secondo il rapporto, i recenti attacchi ransomware sono solo motivati finanziariamente poiché colpire le reti ICS nelle fabbriche operative e negli ambienti di produzione aumenta le probabilità che il riscatto venga pagato.

I criminali informatici utilizzano diversi tipi di ransomware che prendono di mira ICS. Tuttavia, quattro famiglie più rappresentate sono Ryuk, Nefilm, Revil e LockBit, che insieme rappresentano oltre la metà di questi attacchi.

Secondo il rapporto, gli Stati Uniti sono uno dei paesi più presi di mira seguiti da India, Taiwan e Spagna.

Di attacchi di falsificazione ne esistono fin troppi per una trattazione generalizzata; prendiamone dunque in considerazione uno: l'ARP Poisoning (o spoofing).

Questa tecnica viene utilizzata per ridirigere "fisicamente" il traffico in essere tra due peer operanti in un medesimo dominio di broadcast attraverso un "terzo incomodo"; questa è parte dell'arsenale sia dei Red Team che dei Blue Team: per i primi con finalità di strumentare un attacco MiM, per i secondi con l'intento di eseguire una analisi (sniffing) di traffico non altrimenti intercettabile per difetto di predisposizione dell'infrastruttura (assenza di TAP o SPAN).

Contrastare con tecniche "attive" questa tipologia di attacco dovrebbe presupporre una analisi di tutto il traffico ARP comparandolo con un censimento di MAC noti e autorizzati. Un bel problema, anche per apparati di analisi dedicati come gli IDS (che potrebbe solo generare un laconico quanto allarmante avviso, con una quantità delle regole necessaria a dir poco spropositata). Firewall e IPS sono anche questi fuori gioco in quanto questo tipo di attacco si pone nel medesimo dominio di broadcast, che è spezzato da questi per loro natura.

In generale ci si affida così maggiormente a difese "passive" come il port-security (denominazione di Cisco) degli switch che impedisce a MAC non censiti di attestarsi sulla rete, oppure alle tabelle ARP statiche.

Purtroppo però impersonare una postazione autorizzata mediante una altro apparato fisico è ancora possibile (cambiando il MAC della scheda). Dunque l'accesso fisico alla rete da parte di un agente di minaccia (con rogue devices) resta ancora un problema enorme e difficile da difendere.

Verificare la predisposizione di una rete a questo tipo di attacco è comunque un dovere per indicare almeno se sia stato garantito almeno il profilo massimo di difesa possibile.

Il Ransomware è il malware che si è maggiormente evoluto nel tempo. Partendo da un software in grado di criptare file su disco e di richiedere un riscatto per l’ottenimento delle chiavi di decrittazione è diventato una minaccia sempre più pericolosa.

Il gruppo criminale dietro il ransomware Clop è stato il primo a portare l’estorsione ad un livello superiore. Questo gruppo infatti, prima di criptare i file li esfiltrano presso il proprio C2, minacciando così la vittima di divulgarli sul web.

Questo naturalmente aggiunge pressione alla vittima che, anche se avesse custodito diligentemente i backup dei file criptati vedrebbe divulgate su internet informazioni riservate.

Nella loro continua evoluzione i Ransomware hanno inserito un altro livello di estorsione, infatti gli autori del Ransomware Avaddon, per la prima volta hanno minacciato colpire la vittima con un micidiale attacco DDos se non avesse pagato il riscatto.

E siamo così arrivati al terzo livello.

Il quarto è stato raggiunto nuovamente dal gruppo Clop che oltre a criptare i file, minacciare di diffonderli in rete e attaccare la vittima con un micidiale DDos, invia email a tutti i clienti del malcapitato informandoli di avere informazioni confidenziali sul loro conto che verranno diffuse qualora la vittima non dovesse pagare il riscatto.

Potete immaginare la pressione esercitata sulla vittima in seguito ad un’azione di questo tipo.

Il modello estorsivo è continuamente in evoluzione al punto che alcuni gruppi, se si accorgono di aver in mano segreti industriali, provano a venderli ai competitor, inviandogli un’email con un saggio delle informazioni che verrebbero ad avere se dovessero accettare.

Immaginate se un Ransomware colpisse la Ferrari ed inviasse di dati sulla nuovissima e rivoluzionaria macchina ai loro competitor!

Questa minaccia è talmente temuta che il mese scorso, dopo l'attacco a Colonial Pipeline, il Presidente degli Stati Uniti ha dichiarato che la minaccia Ransomware verrà trattata alla stregua della minaccia terroristica creando così una task force ad hoc per il suo contrasto.

Una recente ricerca riporta che i gruppi criminali dietri i principali attacchi ransomware hanno modificato la tecnica utilizzata per l'accesso iniziale alle reti vittime.
In pratica al posto di utilizzare il phishing oppure lo sfruttamento di una vulnerabilità, hanno iniziato a comprare gli accessi venduti da Initial Access Brocker ovvero altri gruppi criminali specializzati nell'initial foothold. Il prezzo pagato è generalmente una fetta del bottino.
Questi intial access broker sono estremamente specializzati e riescono ad infiltrarsi nelle infrastrutture delle vittime tramite malware come The Trick, Drides, Qbot, BasarLoader o IceId.
Naturalmente questo conferma come i gruppi criminali stiano sempre più lavorando in partnership sviluppando competenze estremamente specifiche la cui interazione porta poi agli attacchi che conosciamo come quelli a Colonial Pipeline, JBS o CNA Hardy

A quanto pare il gruppo dietro il famosissimo Ransomware Avaddon ha chiuso i battenti.
Questa notizia viene confermata dal fatto tutti i loro siti TOR sono diventati inaccessibili e che Bleeping Computers ha ricevuto una email anonima con tutte le chiavi di decrittazione perfettamente elencate per vittima del ransomware in questione.
Non si capisce il motivo di questa uscita frettolosa dalla scena, i loro colleghi di Grand Crab fecero qualcosa di molto più eclatante, ma pare che possa essere dovuta alla crescente pressione messa dal governo americano nel confronto di questo tipo di criminali.
Come sapete, infatti, dopo l'attacco a Colonial Pipeline, il direttore dell'FBI Christopher A. Wray ha dichiarato che gli attacchi ransomware rappresentano per gli Stati Uniti d'America il nuovo 9/11, dichiarando così che verranno aumentate considerevolmente le risorse economiche impegate per contrastare questa minaccia.
Come vi ho già raccontato in un'altra pillola, il gruppo dietro Avaddon è stato il primo a minacciare le vittime di attacchi Ddos se non avessero pagato il riscatto, naturalmente oltre alla pubblicazione on line di tutti i dati sottratti. Con loro quindi si è alzato il livello di estorsione da "double extorsion" a "triple extorsion":

1. Non ti do le chiavi di decrittazione
2. Pubblico tutti i tuoi dati sensibili on line
3. Ti becchi pure un bell'attacco Ddos!