Il gruppo cyber criminale Sabbath ha fatto la sua prima comparsa nel panorama cyber criminale delle double extortion a ottobre 2021, contestualmente all’apertura di un portale di pagamento ransomware e un data leak site con il medesimo nome scandito in linguaggio “leet”: 54BB47h.
In realtà, le origini di Sabbath si radicano ben più indietro. Le prime tracce di questo collettivo criminale sono infatti riconducibili a luglio 2020, ma con un altro nome. A quel tempo la gang si faceva chiamare “Eruption” e praticava attacchi ransomware tradizionali.
Dopo alcuni mesi di quiete, Eruption, riappare con un altro nome: Arcane. Sono i primi di giugno del 2021 e i cyber criminali avviano una nuova offensiva cibernetica verso USA e Canada. In diverse occasioni le intrusioni sono state veicolate tramite affiliati e initial access broker, terzisti che abitualmente si occupano del primo accesso alle infrastrutture bersaglio.
Il gruppo è altamente pericoloso e nel tempo ha dimostrato capacità di evolvere le sue operazioni da campagne di attacco ransomware tradizionali, alle moderne e redditizie pratiche criminali di doppia estorsione.
Loghi utilizzati dal gruppo cyber criminale Sabbath.
Indice degli argomenti
Sabbath: la sanità italiana nel mirino
I primi allarmi riguardanti attacchi alla sanità sono arrivati già fine giugno 2021: su di una serie di attacchi a scuole e strutture sanitarie negli Stati Uniti e in Canada aleggiava l’ombra dell’organizzazione criminale autrice delle operazioni di Sabbath.
L’accanimento verso questi settori è continuato anche a gennaio 2022, dove tra le vittime dell’organizzazione sono comparsi gli ennesimi istituti: questa volta un college californiano e una scuola pubblica del Connecticut, ma per quanto riguarda la sanità c’è stato un cambiamento. Ora il target è italiano.
Il 12 gennaio 2022 sui canali del gruppo criminale è infatti comparsa la rivendicazione dell’estorsione operata ai danni dell’ASL Napoli 3 Sud, azienda sanitaria pubblica competente sul territorio di 56 comuni parte della Città metropolitana di Napoli i cui disservizi sono stati alla ribalta delle cronache giornalistiche nei giorni antecedenti.
Rivendicazione dell’attacco alla ASL Napoli 3 Sud da parte del collettivo criminale Sabbath.
La rivendicazione è stata accompagnata da due elementi estremamente preoccupanti. In primis la prova del furto di dati.
Durante l’attacco pare che i criminali siano stati in grado di trafugare informazioni tecniche di alto valore, inclusi i dettagli infrastrutturali dei sistemi informatici dove appaiono menzionate oltre 240 macchine e 42 nodi di virtualizzazione in uso presso l’ente.
In aggiunta alle informazioni tecniche, i cyber criminali hanno inoltre rilasciato un primo pacchetto di dati per corroborare l’avvenuto furto: record medici, documenti finanziari, reclami e documenti interni sono strati violati.
Il secondo elemento di forte preoccupazione riguarda invece alcuni commenti tecnici che il gruppo criminale ha rilasciato. Sabbath ha infatti dichiarato che buona parte delle infrastrutture dell’ente erano protette dal team IT e da soluzioni di rilevamento intrusioni Cortex, tecnologia di difesa della americana Palo Alto Networks, quasi a indicare il fallimento totale dell’ente nell’implementazione delle security operations.
Una beffa che si aggiunge al danno dell’estorsione, ma chi conosce bene l’estrema difficolta che caratterizza la difesa del cyberspazio, specie negli ambienti sanitari, sa bene esser non altro che una vile provocazione.
Dettagli della rivendicazione di Sabbath in merito all’attacco all’ASL Napoli 3 Sud.
Metodi e tattiche di attacco
Sabbath utilizza tecniche di intrusione e set di strumentazione pressoché standard per gli operatori delle doppie estorsioni, kit di attacco con exploit 1-day e impianti malware con capacità avanzate come il celebre Cobalt Strike. Ma attenzione: attribuire al fraseggio “equipaggiamento standard” l’accezione di “meno pericoloso” è un errore fatale.
E lo è ancor di più con il gruppo criminale Sabbath.
Parte dei campioni malware recuperati durante le doppie estorsioni che Sabbath ha finalizzato con successo presentano una particolarità: il componente beacon dell’impianto Cobalt Strike utilizzato risultava preconfigurato dal gruppo stesso, protetto con uno dei più potenti packer di sempre: Themida.
Themida è uno strumento legittimo per proteggere il codice eseguibile di applicativi e software, è da sempre una delle “bestie nere” nelle community di reverse engineering e il suo abuso nel mondo del malware è molto problematico per sistemi di difesa e analisti umani.
Il gruppo criminale Sabbath utilizza un particolare strumento di cifratura ransomware battezzato con il nome di “Rollcoast”, in virtù delle somiglianze con il precedente cifratore “Tycoon” utilizzato dal medesimo gruppo prima del rebranding e dell’adozione delle pratiche di doppia estorsione.
Osservando le esclusioni configurate all’interno del codice del ransomware Rollcoast ci sono interessanti peculiarità che offrono la sponda a profonde riflessioni.
Pubblicati dati dell’ASL di Napoli e dell’ULSS di Padova: difendiamo la Sanità dal rischio cyber
Gli stati “esclusi” dagli attacchi della gang Sabbath
A parte le esclusioni dei soliti Stati nazionali dell’area CIS di influenza Russa, a dir poco classici in parecchi dei codici malevoli criminali, sono menzionate anche nazioni in regioni asiatiche come India, Pakistan e Malesia. Benché agli occhi occidentali queste nazioni appaiano lontane, rappresentano in realtà un punto di caratterizzazione: come registrato dal portale “doubleextortion.com”, questi Stati rientrano infatti tra i bersagli di vari gruppi cyber criminali e non è affatto raro imbattersi in estorsioni mirate proprio ad aziende operanti in queste aree geografiche, come ad esempio l’indiana Rossell Techsys, parte della supply chain per la produzione degli MH-60R, celeberrimi multiruolo di Lockheed Martin.
Rimane quindi aperto un grande interrogativo: come mai il gruppo criminale preferisce rinunciare a bersagli in queste particolari e proficue regioni?
Questo però non è nemmeno il più pressante degli interrogativi su questo nuovo e particolare gruppo ransomware. Nella lista di esclusioni pubblicata da Mandiant a fine 2021 sono presenti anche Stati Est-Europei membri della NATO come Albania, Croazia, ma anche alcune nazioni parte dell’Unione Europea, in particolare Norvegia, Svezia e persino Germania.
L’ipotesi che il gruppo utilizzi infrastrutture e supporti in queste nazioni non è da escludere, ma è bene essere cauti, l’interrogativo su queste particolare scelte strategiche del gruppo criminale è davvero profondo.
