Quando un ransomware diventa un'azienda strutturata, come quelle che attacca

Con tanto di beneficenza, programma di affiliazione e comunicati stampa
Emanuele Cisotti
Emanuele Cisotti Tech Master
Quando un ransomware diventa un'azienda strutturata, come quelle che attacca

I ransomware non sono certo una novità: si tratta di un attacco informatico che cripta i dati degli utenti coinvolti e li costringe a pagare un riscatto in cambio della possibilità che questi dati vengano "liberati". Negli ultimi anni gli attacchi sono diventati di tipo "doppio" e oltre al ricatto per lo sblocco viene anche richiesto un pagamento affinché una copia di questi dati non venga rilasciata pubblicamente in rete o venduta a società concorrenti.

Solo nel 2020 questo mercato ha generato oltre 18 milioni di ricavi dovuti ai riscatti pagati, dovuto anche all'aumento del lavoro da remoto che ha portato gli utenti a usare dispositivi non sempre controllati a dovere dalle aziende e per il largo utilizzo di sistemi di gestione remota dei computer, uno dei punti che più spesso viene usato per far partire gli attacchi.

Di recente è diventato famoso il caso della Colonial Pipeline, il più grande oleodotto degli Stati Uniti che ha pagato (per loro stessa ammissione) 4,4 milioni di dollari in bitcoin di riscatto, dopo che gli hacker avevano bloccato i computer che gestivano il carburante, provocando un blocco e facendo temporaneamente aumentare il costo del carburante nel paese (tanto da portare il governo a rilasciare una dichiarazione di emergenza in 18 stati).

In questo specifico caso si trattava del ransomware Darkside. Si tratta di un Raas, ovvero di un Ransomware as a service, che viene in sostanza venduto come servizio ad aziende terze per poi effettuare direttamente gli attacchi. Chi gestisce Darkside richiede una quota fra il 10 e il 25% del ricavo dovuto all'eventuale riscatto pagato. Ma Darkside non è solo il nome del software: è anche il nome di tutta l'organizzazione che c'è dietro. Strutturata proprio come una delle aziende che poi vengono colpite da questi attacchi.

Darkside, che opera ovviamente solo nella darknet, rilascia comunicati stampa e alle aziende che acquistano i loro servizi fornisce aggiornamenti del software nel tempo e anche assistenza tramite una chat di supporto.

FireEye ci mostra anche un'immagine del pannello dell'affiliato (a cui questo può accedere solo dopo la conferma da parte di Darkside a seguito di alcuni colloqui). I nuovi affiliati vengono spesso convinti con delle promo, proprio come quelle per l'acquisto di uno smartphone o un giocattolo.

Per quanto possa sembrare assurdo però Darkside ha dei principi morali che li guidano nel compiere le loro azioni. Come fa notare EmiSoft c'è una lista di categorie verso le quali è vietato utilizzare il loro ransomware:

  • Ospedali
  • Case di riposo
  • Cliniche private
  • Aziende che partecipano nella distribuzione o sviluppano il vaccino per il Covid19
  • Obitori
  • Crematori
  • Scuole
  • Università
  • Municipalità e corpi di stato
  • Organizzazioni no-profit

Darkside non vuole poi infastidire quelli che probabilmente sono i propri vicini. Quando si prova ad attivare il ramsomware su dispositivi impostati su una certa lingua questo non farà nessuna azione. Quali sono queste lingue?

  • Russo
  • Ucraino
  • Bielorusso
  • Tagico
  • Armeno - Armenia
  • Azero (latino)
  • Georgiano
  • Kazako
  • Kirghizistan (cirillico)
  • Turkmeno
  • Uzbeko (latino)
  • Tartaro
  • Rumeno - Moldava
  • Russo - Moldava
  • Azero (cirillico)
  • Uzbeko (cirillico)
  • Arabi - Siria

E come tutte le grandi aziende anche Darkside fa delle donazioni. Ad ottobre 2020 ha fatto sapere di aver donato 10.000$ in bitcon a Children International e The Water Project.

Nel post sul loro blog avevano fatto sapere che "non importa quanto pensiate male di noi, ma siamo felici di aiutare a cambiare la vita di qualcuno". Poiché ottenere fondi da azioni illecite è illegale è molto probabile che queste donazioni siano state rifiutate o rimborsate.