Anche i cyber-criminali sbagliano: questa è stata la volta di BlackMatter, un gruppo operante nel settore della doppia estorsione informatica. Una lezione da imparare: le nostre vulnerabilità possono colpire anche loro. Il commento di Marco Ramilli, Ceo di Yoroi
Doppia, tripla, quadrupla estorsione. Alle gang del ransomware non basta più attaccare e bloccare l’operatività di un’azienda, adesso vogliono anche farla vergognare minacciando di rivolgersi all’opinione pubblica nel caso non paghi il riscatto richiesto per liberarne i dati rubati.
Le gang del ransomware che infestano le darknet sanno il potere dell’opinione pubblica nei paesi democratici e quanto possa essere pesante una multa comminata dalle autorità a chi si dimostri incapace di tutelare I dati dei propri clienti. Per questo se la richiesta del riscatto monetario per restituire i dati cifrati non viene subito accettata, usano come strumento di pressione verso la vittime la minaccia di renderli pubblici, è la famigerata double-extortion.
D’altra parte le cyber-gang lavorano come aziende legittime, con tanto di blog nel DarkWeb, offerte sul Clearnet, consulenti informatici, portavoce e customer care che ti contattano sfruttando la psicologia umana per trattare il riscatto e ottenerlo il prima possibile. Ma il crimine non sempre paga.
In realtà la difficoltà di gestire organizzazioni di dimensioni rilevanti si riflette anche nelle organizzazioni criminali quando crescono con curve esponenziali, proprio come dei veri e propri unicorni del crimine (riferimento), azzoppandole per i loro stessi errori.
Questa volta a mettere in crisi i criminali non è stato l’intervento di polizia e magistratura ma un pezzo di codice, cioè di un software malevolo scritto male. Dimostrando una cosa: quelle stesse vulnerabilità che affliggono i nostri sistemi, retaggio di situazioni del passato o di bassa attenzione in fase di sviluppo può colpire anche loro, coloro i quali con maestria e furbizia, sfruttano le vulnerabilità, le falle del software, per insidiarsi all interno dei nostri sistemi.
A scoprirlo è stato Emisoft, organizzazione neozelandese operante nel settore della sicurezza dei sistemi informativi, per mano di un suo ricercatore il quale ha individuato due falle nel ransomware del gruppo BlackMatter. Uno dei più spavaldi del settore, che si ritiene superiore anche a LockBit, quello che ha funestato l’estate italiana.
Il primo bug del software criminale era presente anche nella precedente versione del ransomware “ereditata” da DarkSide dopo essersci sciolto a seguito dell attacco alla Colonial Pipeline ed affliggeva la routine di encryption (ovvero l’algoritmo del sistema di cifratura del ransomware) mentre la seconda vulnerabilità permetteva di ripristinare i file senza la necessità di pagare un riscatto. Emisoft ha mantenuto segreto questa informazione fino a che BlackMatter non ha cambiato (aggiornato) nuovamente il proprio Ransomware, al fine di aiutare un numero piu elevato possibile di di vittime. Lo racconta Fabian Wosar in un suo post.
Non è la prima volta che organizzazioni di sicurezza informatica riescono nell’intento di sintetizzare e rendere disponibile un ransomware decryptor sfruttando debolezze del codice dell’attaccante a favore delle vittime. Per esempio Karsperky ha rilasciato numerosi strumenti per decifrare alcuni dei ransomware piu noti, disponibili gratuitamente.
In Italia Yoroi (gruppo Tinexta) ha rilasciato gratuitamente un decryptor per decifrare il famigerato ransomware LooCipher (liberamente scaricabile qui) e il progetto Nomoreransom racchiude tutti i decifratori di ransomware gratuiti conosciuti pubblicamente.
Questo e tanti altri episodi ci dimostrano quanto sia democratica la cybersecurity. Temi come vulnerabilità, policy violations, cyberattacks, dipendenti infedeli, non affliggono solo le normali organizzazioni che hanno spesso poco tempo da dedicare alla messa in sicurezza della propria struttura in quanto focalizzate nel loro core business, ma sono temi che affliggono nell’applicazione della tecnologia nel suo insieme.
Ancora una volta non possiamo parlare di tecnologia “buona” o di tecnologia “cattiva”, la tecnologia non ha orientamento è l’uomo che la utilizza che puo renderla costruttiva o distruttiva in funzione del proprio volere. Ma indipendentemente da come essa sia utilizzata può e potrà sempre essere vulnerabile. È tutta una questione di etica.