La scorsa settimana, i server del gigante del ransomware REvil sono scomparsi. Molti hanno applaudito il fatto che i siti Dark Web, ma anche “pubblici”, utilizzati per supportare l’infrastruttura backend di REvil così come per far trapelare i dati delle vittime, siano andati offline in questi ultimi giorni (apparentemente a partire da martedì 13 Luglio).
Non le vittime di REvil, però. Che ora si trovano bloccate, molte a metà delle trattative, senza la chiave di decrittazione di cui hanno bisogno per sbloccare i loro dati e le loro aziende.
E questo blocco è significativo.
Si tratta di un segreto “aperto”; ma moltissime aziende ancora oggi davanti ad un attacco ransomware scelgono la via del pagamento per sbloccare il proprio perimetro e ristabilire la Business Continuity.
Swascan, ad esempio, nel suo studio Ransomware 2021 Double extortion, analizzando i siti darkweb dedicati alla pubblicazione di dati esfiltrati di 18 tra le Gang più attive nel ransomware, aveva riscontrato come “solamente” 511 aziende – di cui 28 italiane – si erano trovate i propri dati pubblicati.
La ricerca, che aveva preso in considerazione l’intervallo di tempo tra gennaio 2021 e maggio 2021, confermava proprio la teoria che in realtà il ricorso al pagamento del riscatto sia ancora molto diffuso.
Detto in maniera telegrafica: se i dati non erano presenti online, molto probabilmente il riscatto era stato pagato.
Una tendenza che si è riconfermata con il blocco causato da REvil.
Indice degli argomenti
La scomparsa di REvil e l’incertezza del futuro
Per quanto riguarda la sparizione di REvil, non era chiaro se si trattasse di un incidente o se i criminal hacker l’avessero fatto di proposito.
All’inizio della settimana scorsa, sicuramente la pressione sul gruppo di criminal hacker russo era alta.
La lista dei bersagli e delle vittime colpite si era recentemente allungata con l’aggiunta di Kaseya e dei suoi molti clienti Managed Service Provider (MSP), così come il fornitore globale di carne JBS Foods.
Giorni prima – a margine del meeting tra Russia e USA a Ginevra – il governo degli Stati Uniti aveva sferzato la sciabola contro la Russia, la base del gruppo, con il presidente Biden che dichiarava che se la Russia non avesse fatto qualcosa contro i gruppi di criminal hacker basati proprio all’interno del territorio della Federazione, a pensarci sarebbero stati gli americani stessi.
Indipendentemente dal fatto che il gruppo abbia deciso di stare in disparte per un po’ o che i suoi server siano andati offline per qualsiasi altra delle numerose spiegazioni possibili, le vittime di REvil non sono state meglio.
Sono spariti i server utilizzati per negoziare i pagamenti delle estorsioni. Questo ha lasciato un numero incalcolabile di aziende ferme in mezzo al mare senza un alito di vento e le vele sgonfie: dalle enormi e ben fornite aziende Fortune 500 fino a negozianti, studi legali e altre piccole imprese che non hanno le risorse IT per trascinarsi da sole fuori dalla voragine del ransomware.
In particolare, nell’area del Nord America, da una settimana a questa parte, i loro affari sono stati paralizzati, le trattative per la risoluzione del ransomware sono state interrotte e sono rimasti senza chiavi di decrittazione per sbloccare le loro operazioni.
Geopolitica o strategia? Le possibili teorie
Ci sono molte teorie che vengono supportate al momento su ciò che possa essere successo; e – nonostante anche i tentativi di riaprire una linea di comunicazione – i membri della gang REvil sono per il momento rimasti silenti. Questo, appunto, lascia solo spazio a congetture.
La sparizione in sé non è terribilmente insolita. Questi attori vanno e vengono, “si riavviano”.
Guardiamo gruppi come Babuk, che ne hanno fatto una vera e propria abitudine e si sono ribattezzati diverse volte; ma anche Maze a fine 2020, poi disseminatosi in altri cartelli come Egregor.
Certo è un po’ insolito per REvil, essendo questo uno dei più prominenti e “vocali” dei gruppi di criminal hacker.
È veramente possibile che questi ultimi abbiano deciso di tirare i remi in barca perché già appagati dai guadagni ottenuti con i loro attacchi? È forse la classica strategia di tenere un basso profilo dopo il “colpo”?
Difficile da dire, perché sì è vero stiamo parlando di criminali, ma dobbiamo ricordarci che, dopotutto, anche se tali, questi gruppi operano in maniera simile alle imprese: il profitto è lo scopo finale. Quale impresa chiude i battenti dopo aver avuto una buona annata? Soprattutto se – come accennato – si tratta di un gruppo “agguerrito” come REvil, meno avvezzo a sentire le pressioni.
La scomparsa di REvil e l’ipotesi dell’intervento governativo
Quale potrebbe essere, allora, un altro motivo di questo spegnimento?
Beh ovviamente l’intervento governativo.
Lo scorso 16 giugno, nell’incontro tra Putin e Biden organizzato su terreno neutro a Ginevra, all’ordine del giorno vi erano molte questioni legate alla Cyber Security e alla condotta dei criminal hacker ufficiosamente legati al Cremlino.
Il Presidente degli Stati Uniti aveva già allora minacciato ritorsioni nel caso gli attacchi fossero continuati.
Quindi, in questo caso, l’intervento potrebbe essere stato orchestrato e portato direttamente avanti da Washington – per dare un forte segnale d’intento – o direttamente pilotato da Mosca, per mostrare la volontà di collaborare e di abbastare le tensioni con la zona Nato.
La seconda opzione, tra l’altro, è anche la più accreditata all’interno dei forum underground.
Un appeasement per gli Stati Uniti, mentre molte aziende colpite restano di fatto bloccate in cerca di una rapida soluzione.
Ma niente di tutto questo è stato confermato.
Il paradosso del caso REvil: la dispersione delle competenze
Congetture a parte, ciò che resta di fatto degli attacchi portati a termine da REvil e dalla sua sparizione è il grande paradosso del: è meglio avere un interlocutore o eradicare la minaccia?
Se REvil fosse stato veramente abbattuto e non si fosse “ibernato” per far passare la tempesta, viene a mancare completamente il rapporto tra vittima e carnefice. Rapporto “malato” in sé, ma necessario per stabilire un qualsiasi tipo di trattativa e di contatto.
Il rischio vero, nel caso l’opzione smantellamento si rivelasse vera, è che gli attori che facevano parte di REvil si disperdano.
Si disperdono conoscenze e modus operandi e si moltiplicano i potenziali aggressori che possono portare a termine un attacco.
È sempre calzante la metafora dell’Idra in questo caso: tagli una testa ne crescono due.
La riprova?
Tramite il servizio di Malware Threat Intelligence di Swascan, tra il 19 giugno e il 19 luglio, sono stati identificati 173.192 malware “in the wild”. Una ulteriore analisi ha permesso di rilevare che ben 9.286 sono nuovi artefatti malevoli.
Sintomo di come le competenze “disperse” dalla chiusura di REvil siano già all’opera.
Malware Threat Intelligence – Swascan.
Stiamo sempre parlando di paradossi, ovviamente; perché è giusto combattere il cyber crime – volendo ripetere un’ovvietà – ma con i gruppi ransomware si rischia sempre di amplificare il fenomeno.
Non abbassiamo la guardia.
