Sebbene negli anni il settore sia notevolmente migliorato, nel 2020 esiste ancora un elemento del “selvaggio west” crypto: le criptovalute rubate tramite hack e attacchi ransomware vengono ancora incassate attraverso i principali exchange del settore. Negli ultimi anni, gli attacchi ransomware si sono rivelati una miniera d’oro per i criminali informatici, come dimostra la dichiarazione del Federal Bureau of Investigation statunitense, secondo cui tra l’ottobre del 2013 e il novembre del 2019 sono stati rubati più di 144 milioni di dollari in Bitcoin.

A febbraio, una conferenza stampa dell’FBI ha rivelato l’enorme somma di riscatti pagati agli hacker da vittime che volevano disperatamente recuperare l’accesso ai propri dati e sistemi infetti. Curiosamente, i criminali hanno ricevuto la maggior parte dei riscatti in Bitcoin (BTC). Più recentemente, dei ricercatori hanno esaminato un campione di 63 transazioni legate ad attacchi ransomware, pari a un totale di 5,7 milioni di dollari in fondi rubati. I risultati dimostrano che oltre 1 milione di dollari in Bitcoin sono stati incassati su Binance in seguito a una catena di transazioni tra diversi indirizzi.

Gli hacker e i gruppi di criminalità informatica utilizzano diverse variazioni di ransomware ormai celebri. La società di sicurezza informatica Kaspersky ha evidenziato l’aumento nel mese di luglio degli attacchi di questo tipo ai danni di grandi organizzazioni, delineando due particolari minacce malware: VHD e Hakuna MATA.

Tuttavia, queste due non sono nulla in confronto alla quantità di criptovaluta rubata attraverso malware più grandi, come il ransomware Ryuk. Ecco perché Ryuk è diventato uno dei vettori di attacco più diffusi e cosa si può fare per impedire e dissuadere i criminali dall’incassare i fondi illeciti sulle principali piattaforme di exchange.

Ryuk: il Trojan alle porte della città

Questi vettori di attacco più recenti menzionati nel report di Kaspersky pubblicato a luglio non hanno ancora guadagnato la pessima fama del ransomware Ryuk. Verso la fine del 2019, Kaspersky ha rilasciato un altro rapporto in cui delineava la sorte dei comuni e delle città cadute vittima di attacchi ransomware. Ryuk è stato identificato dalla società come il veicolo d’attacco preferito per gli hack ai danni di grandi organizzazioni, mentre i sistemi governativi e municipali sono stati gli obiettivi principali nel 2019.

Ryuk è apparso per la prima volta nella seconda metà del 2018, seminando caos nelle reti e nei sistemi informatici di tutto il mondo. Il nome del malware è stato preso dal famoso personaggio della serie manga Death Note, un’interessante interpretazione del “Dio della Morte.” Ryuk si diverte portando nel mondo degli umani un quaderno dai poteri soprannaturali che permette a chi lo trova di uccidere chiunque semplicemente conoscendo il loro nome e aspetto.

In genere, il malware viene diffuso con un approccio in due fasi che consente agli hacker di esaminare prima il network. Solitamente questo processo ha inizio con l’invio di email a un grande numero di dispositivi. Questi messaggi racchiudono un documento che gli utenti potrebbero involontariamente scaricare. L’allegato contiene un malware Trojan chiamato Emotet che si attiva quando il file viene scaricato.

Nella seconda fase dell’attacco, il bot Emotet comunica con i suoi server per installare un altro malware conosciuto come Trickbot. Questo è il software che permette ai criminali di esplorare la rete.

Se gli hacker trovano il proverbiale jackpot (il network di una grande azienda, di un ufficio governativo o municipale), il ransomware Ryuk viene distribuito su diversi nodi della rete. Questo è il vettore che cripta i file di sistema e prende in ostaggio i dati. Ryuk cripta sia i file locali sui dispositivi individuali che i file condivisi sulla rete.

Inoltre, Kaspersky ha spiegato che Ryuk è in grado di forzare altri computer nella rete ad accendersi, propagando il malware a un maggior numero di nodi. I file situati su computer inattivi sono generalmente inaccessibili, ma Ryuk è in grado di attivarli, quindi riuscirà a criptare anche i file su questi dispositivi.

Ci sono due motivi principali per cui gli hacker prendono di mira le reti informatiche governative o municipali. Primo, molti di questi sistemi sono protetti da una polizza assicurativa, cosa che rende molto più probabile il pagamento del riscatto. Secondo, queste grandi reti sono intrinsecamente collegate ad altre grandi reti, quindi è possibile ottenere un effetto paralizzante di vasta portata. Di conseguenza, un hack di questo tipo può colpire anche sistemi e dati relativi a dipartimenti completamente diversi e richiede una soluzione rapida, che nella maggior parte dei casi risulta nel pagamento del riscatto ai criminali.

Come contrastare il prelievo dei fondi sui principali exchange

L’obiettivo finale di questi attacchi ransomware è piuttosto semplice: chiedere un grande riscatto, solitamente pagato in criptovalute. Bitcoin è stato il metodo di pagamento privilegiato dai criminali informatici, ma il suo utilizzo comporta una conseguenza indesiderata per loro. La trasparenza della sua blockchain rende queste transazioni rintracciabili sia a livello micro che macro.

Questo è esattamente ciò che i ricercatori stanno facendo: esaminando i destinatari finali di queste transazioni, gli analisti hanno scoperto che i criminali informatici utilizzano alcuni tra i più grandi exchange di criptovalute. A fine agosto, una ricerca ha svelato che 1 milione di dollari in Bitcoin ottenuti da ransomware è stato incassato attraverso Binance.

Il team di sicurezza dell’exchange ha rivelato a Cointelegraph che queste transazioni sono state effettuate oltre 18 mesi fa, e gli account pertinenti erano sotto monitoraggio attivo. Il team ha inoltre identificato l’uso di Binance da parte di hacker come un effetto collaterale dell’enorme volume negoziato sulla piattaforma, che offre ai criminali una maggiore probabilità di confondersi tra la folla. Il portavoce ha aggiunto:

“Ciò è ulteriormente complicato dal fatto che Binance presenta una vasta gamma di clienti attivi sulla sua piattaforma, in cui alcuni ricevono fondi illeciti attraverso semplici operazioni peer-to-peer, e altri tramite servizi aziendali che sfruttano la liquidità dell’exchange.”

Cointelegraph ha contattato la società di sicurezza informatica israeliana Cymulate per scoprire come gli exchange possono migliorare le misure preventive contro l’uso delle proprie piattaforme da parte dei criminali informatici che vogliono liquidare criptovalute rubate. Secondo Avihai Ben-Yossef, co-fondatore e chief technology officer della società, le compagnie che forniscono protezione antivirus e rilevamento/risposta per gli endpoint hanno un ruolo cruciale da svolgere nel rintracciare i pagamenti di riscatti in crypto, in quanto conoscono gli importi trasferiti e i rispettivi indirizzi wallet a cui vengono inviati i fondi.

Con queste informazioni, gli exchange possono rintracciare e monitorare tali transazioni:

“Gli analisti possono rintracciare i wallet coinvolti e controllare quanti fondi si trovano in ciascuno, e in seguito creare una somma di tutti i wallet individuati. È importante sottolineare che gli attacchi non si fermeranno, e sarà necessario rintracciare ciascun riscatto Ryuk trasferito.”

Si tratta senza dubbio di un processo che richiede tempo. Comunque, l’utilizzo di indirizzi wallet da parte degli hacker per ricevere riscatti permette ai team di sicurezza di monitorarne i movimenti.

Nel complesso, il 2020 è stato un anno redditizio per i criminali informatici che fanno uso di attacchi ransomware, metodi in costante evoluzione. Ben-Yossef ha esortato organizzazioni e aziende a predisporre le migliori pratiche di sicurezza informatica per combattere una criminalità informatica in continuo mutamento:

“Gli attacchi ransomware in generale stanno diventando sempre più sofisticati. Coinvolgono movimento laterale, esfiltrazione di dati e molti altri metodi che portano gravi conseguenze alle compagnie che non pagano il riscatto. Un nuovo successore di RYUK, chiamato Conti, presenta una struttura leggermente diversa ed è stato probabilmente sviluppato da altri hacker.

Pertanto, è diventato cruciale per le organizzazioni adattare gli strumenti dedicati ai test di sicurezza, come le simulazioni di violazione e attacco, al fine di garantire l’efficacia ottimale dei controlli di sicurezza contro le minacce emergenti.”