Il recente attacco in ottobre 2023 alla British Library ha portato alla ribalta una nuova cyber gang, chiamata Rhysida, che ha dimostrato di non esitare nell’utilizzare metodi sofisticati per minacciare la cyber sicurezza internazionale.
L’approccio di Rhysida è quello di un ransomware a doppia estorsione, in cui la minaccia di divulgare o vendere dati rubati viene utilizzata come leva per estorcere pagamenti. Nell’attacco, tantissimi dati sensibili degli utenti sono stati rubati e messi in vendita online con una richiesta iniziale di 20 bitcoin, equivalente a circa 590.000 sterline al cambio attuale.
In un blog online, l’amministratore delegato della British Library, Roly Keating, ha delineato l’entità dei danni causati dall’attacco: “abbiamo preso provvedimenti immediati per isolare e proteggere la nostra rete, ma sono già stati fatti danni significativi: dopo aver violato i nostri sistemi, gli aggressori avevano distrutto il loro percorso di ingresso e molto altro, oltre, crittografando o cancellando parti del nostro patrimonio IT”.
L’evoluzione della minaccia informatica ci insegna come combatterla
Indice degli argomenti
Gli attacchi attribuiti al ransomware Rhysida
Pagare le richieste di ransomware nel Regno Unito è fortemente disapprovato, ma non è illegale, a meno che non si sappia o si sospetti che i proventi stiano andando nelle tasche dei terroristi.
Dopo che la biblioteca si era rifiutata di pagare l’estorsione, i cybercriminali hanno pubblicato online tutti i file sottratti, compresi i dati dei clienti e del personale.
Dunque, la British Library si è trovata costretta a spendere circa 10 volte tanto per ricostruire la maggior parte dei servizi digitali, con un costo stimato tra i 6 e i 7 milioni di sterline, causando anche rallentamenti nel funzionamento delle attività della biblioteca.
Mentre la British Library è una vittima britannica di alto profilo per Rhysida, il gruppo è anche responsabile degli attacchi alle istituzioni governative in Portogallo, Cile, Kuwait e ha preso di mira numerose organizzazioni e istituzioni italiane, colpendo nel settore dell’istruzione, della sanità, della produzione, della tecnologia dell’informazione e del governo, definendo le sue vittime “bersagli di opportunità”.
Gli attacchi di Rhysida in Italia
Ad esempio, nel novembre 2023 Rhysida ha colpito l’Azienda Ospedaliera Universitaria Integrata di Verona, mettendo in vendita i dati al miglior offerente all’interno del loro Data Leak Site (DLS) nel dark web per un prezzo pari a 10 bitcoin.
Un altro attacco è stato rilevato nel luglio 2023, quando la cybergang pubblica nel suo DLS la rivendicazione dell’azione malevola all’Università di Salerno.
La particolarità degli attacchi di Rhysida è che quest’ultima, per attestare la corretta compromissione dell’organizzazione colpita, riporta una serie di samples nel suo DLS che, anche se poco leggibili, si intravedono documenti di identità di varia natura.
Le tecniche di attacco di Rhysida
Il gruppo Rhysida impiega una varietà di tecniche sofisticate per infiltrarsi e persistere nelle reti informatiche delle vittime.
Ad esempio, sfruttano servizi remoti rivolti all’esterno come, ad esempio, VPN e RDP, per ottenere l’accesso iniziale alle reti, utilizzando credenziali compromesse per autenticarsi ai punti di accesso VPN interni, nonché tecniche avanzate.
Questo approccio agli attacchi risulta particolarmente efficiente poiché molto spesso mancano sistemi di autenticazione a più fattori (MFA) a tutela degli accessi degli utenti di aziende.
Il risultato è che per questi gruppi l’accesso alle informazioni è estremamente semplificato. Hanno anche sfruttato vulnerabilità critiche come Zerologon – vulnerabilità nella crittografia del processo Netlogon di Microsoft –, oltre a condurre tentativi di phishing mirati per guadagnare l’accesso iniziale.
Una volta all’interno, Rhysida utilizza tecniche di “living off the land”, cioè sfruttano strumenti nativi di amministrazione della rete, come Remote Desktop Protocol (RDP) e PowerShell, per il movimento laterale e la raccolta di informazioni.
Questa strategia permette alla cyber gang di mimetizzarsi con le normali attività di sistema e di rete, eludendo la rilevazione.
Inoltre, Rhysida si avvale di strumenti legittimi, disponibili pubblicamente, per le loro operazioni, rendendo difficile attribuire direttamente queste attività come malevole senza ulteriori prove.
Per la distribuzione del ransomware, il gruppo utilizza Cobalt Strike o conduce campagne di phishing, sfruttando ancora una volta tecniche di ingegneria sociale per ingannare le vittime e diffondere il malware.
Una volta andata a buon fine l’azione, gli aggressori di Rhysida inviano le loro note di riscatto con il titolo “CriticalBreachDetected” in un file PDF, fornendo a ciascun destinatario un codice univoco e le istruzioni per contattare il gruppo tramite un browser web specializzato basato su TOR che rende le comunicazioni non rintracciabili e pagare il riscatto in bitcoin.
Origini ed evoluzione in ransomware as a service
Il gruppo ha rapidamente attirato l’attenzione non solo per gli attacchi mirati, ma anche per aver avviato un’operazione di “ransomware as a service” (Raas), affittando il proprio malware a cybercriminali di terze parti e condividendo i profitti derivanti dai riscatti.
Quello che non è chiaro, però, è da dove abbia avuto origine una cyber gang tanto strutturata, in grado di mettere a segno così tanti attacchi ben strutturati in poco tempo.
Secondo alcuni, il gruppo avrebbe cominciato la sua attività criminale già nel 2021 con il nome di “Gold Victor”, ma sarebbe poi stato costretto a cambiare la sua denominazione per via della pressione eccessiva esercitata da parte delle forze dell’ordine e delle autorità governative.
Tale esercizio di “rebranding” è comune tra le bande criminali se il loro “brand” esistente diventa eccessivamente noto e attira troppa attenzione dalle forze dell’ordine.
Il gruppo Rhysida mostra somiglianze notevoli con altri gruppi ransomware noti, in particolare con Vice Society. Questa somiglianza non solo riflette le tecniche comuni utilizzate, ma evidenzia anche una tendenza più ampia nel mondo del crimine informatico: il riutilizzo di codici e componenti di malware esistenti.
Questo approccio di “riciclaggio” consente ai gruppi come Rhysida di sviluppare rapidamente le proprie varianti di ransomware, appoggiandosi alla conoscenza di tecniche di attacco che hanno già dimostrato la loro efficacia nel tempo.
Secondo gli esperti di sicurezza, c’è stata un’enorme crescita nel settore del ransomware e dell’estorsione, potenzialmente legata alla disponibilità di builder trapelati e codici sorgente di vari cartelli di ransomware.
Infatti, secondo quanto riferito dal Direttore della ricerca sulle minacce presso la società di sicurezza informatica Secureworks, Rafe Pilling, al The Guardian, invece, i criminali informatici di Rhysida potrebbero provenire da Russia, Bielorussia e Kazakistan, dati alcuni comportamenti assunti nel corso degli attacchi.
Conclusioni
Quanto avvenuto alla British Library ha, infatti, messo in allarme molte organizzazioni museali e archivistiche, che si affidano alla tecnologia digitale per i sistemi di prenotazione, la gestione delle collezioni e la documentazione.
Le organizzazioni dovrebbero continuamente testare i loro sistemi di sicurezza, assicurarsi che i loro firewall e software di protezione siano completamente aggiornati e garantire che tutto il personale riceva formazione per riconoscere le e-mail di phishing e altre truffe informatiche.
I musei dovrebbero anche prendere in considerazione la segmentazione interna delle loro reti IT e garantire che i backup siano isolati piuttosto che essere conservati sullo stesso database.
In questo contesto, Rhysida rappresenta un esempio di come questi gruppi possano evolversi rapidamente, adottando e adattando strategie e strumenti esistenti per le loro operazioni.
Attualmente Rhysida rappresenta una minaccia significativa e in costante evoluzione nel panorama della cyber sicurezza. Le autorità internazionali sono chiamate a cooperare nell’identificare e contrastare questa cyber gang, mentre le organizzazioni devono rafforzare le proprie difese contro i crescenti rischi informatici.
Resta da vedere come evolverà la situazione e quali misure saranno adottate per contenere Rhysida e le sue attività illecite.
