Come la mitologica idra a nove teste sconfitta da Ercole, sembra che il mondo delle cybergang ransomware possieda un potere rigenerativo, capace di dar vita a nuove entità da ogni decapitazione apparentemente definitiva. L’avversario contemporaneo quindi non è più la piovra del crimine organizzato del mondo reale, che da una sola testa controllava più tentacoli, bensì il temibile mostro di Lerna della realtà virtuale, dal quale per ogni testa mozzata dall’eroe greco ne crescevano altre due. Grazie a un’analisi approfondita del SoC team di Swascan, questa mutazione epocale si mostra in tutta la sua potenziale pericolosità. Nelle pagine di questo rapporto, molto tecnico, si può capire infatti come quella che poteva sembrare la sconfitta di Lockbit 3.0 e di Babuk, due dei gruppi più attivi del mondo cyber criminale, ha presto dato vita a cinque nuove gang ransomware, da subito distruttive. Recentemente, infatti, l’intero know how e i codici sorgenti del ransomware di Lockbit e Babuk sono stati resi pubblici grazie a dei data leak, vere e proprie falle dovute con ogni probabilità a dissidi interni ai vertici delle due organizzazioni.
La spaccatura, invece di affondare le due navi pirata dell’oceano del web, ha avuto tutt’altro effetto. Con la sorpresa degli addetti ai lavori, il carburante fuoriuscito ha immediatamente alimentato altri vascelli: attingendo ai codici sorgenti, altri criminal hacker hanno sviluppato dei propri ransomware originali, adattati alle proprie esigenze.Il fenomeno non è sfuggito al SoC team di Swascan, che ha studiato la loro efficacia e valutando l’estensione dei danni provocati. Dal codice sorgente di Lockbit 3.0 è nato “Bl00dy Ransomware”, che, occultato all’interno di un file eseguibile “chrome0.exe”, inganna i navigatori più distratti aprendo le porte del proprio sistema informatico alla doppia estorsione messa in atto dal virus: criptazione dei file e minaccia di pubblicazione su Telegram delle informazioni delle vittime. Il canale è stato creato alla fine di luglio 2022 e ha iniziato a far trapelare i dati delle vittime ad agosto 2022. Particolare attenzione va prestato ai dispositivi USB, utilizzati per diffondere questo come altri malware. Bl00dy ha preso di mira molte organizzazioni note, di cui il 17% appartenenti al settore sanitario, in particolar modo negli Stati Uniti.
Nel caso di Babuk Ransomware, invece, il codice sorgente è stato impiegato per creare una variante che, in termini di nomenclatura, differisce ben poco: una lettera “c” aggiunta all’interno del nome originale del ransomware. Altre varianti di Babuk Ransomware includono Rook Ransomware, PayLoad Bin e Babuk Ransomware (versione Novembre 2022). La gang Rook ha iniziato la propria attività alla fine del 2021, contando un totale di 6 attacchi. Tuttavia, il gruppo sembra aver agito per un mese, cessando la propria attività a gennaio 2022. La gang non sembra essersi focalizzata su un paese in particolare: le vittime, infatti, provengono tutte da paesi diversi, quali USA, India, Germania, Giappone, Svizzera e Turchia. Gli obiettivi preferiti sono le aziende di grandi dimensioni.PayloadBin, gang nata a settembre 2021, raggiunge un totale di 28 vittime pubblicate sul sito di data leak ad inizio 2022, mese in cui cessa l’attività. L’82% delle vittime sono localizzate negli Stati Uniti.
Babuk è una gang ransomware emersa all’inizio del 2021. La dichiarazione della missione iniziale della gang faceva riferimento ad un intento non malevolo di condurre attacchi ransomware come apparente verifica della sicurezza delle reti aziendali: il gruppo ha specificato di non essere disposto ad attaccare ospedali, scuole, organizzazioni non profit e aziende con un fatturato annuo inferiore ai 4 milioni di dollari. Questa selettività delle vittime dimostra il tentativo di far credere che la gang abbia uno scopo “etico”: la realtà delle operazioni di Babuk, tuttavia, non è in linea con quanto dichiarato, in quanto la banda ha esfiltrato dati sensibili da organizzazioni appartenenti a diverse organizzazioni. Tra queste, Babuk si è preso il merito di aver violato la rete informatica interna del dipartimento di polizia di Washington, minacciando di pubblicare i dati se non avessero ricevuto un riscatto in tre giorni. I post sul sito della gang erano inizialmente scritti sia in russo che in inglese, indicando una possibile origine russa di Babuk. Attualmente, il sito è solamente in inglese, e l’ultimo attacco sembra risalire a settembre 2021, mese in cui c’è stato il leak del codice sorgente della gang. Con la nuova variante di Novembre 2022 la gang ha colpito un’enorme infrastruttura di oltre 10.000 server; come primo step è stato infettato il domain controller, per poi procedere con un’infezione propagata in tutta l’infrastruttura. “Dalle ceneri di vecchie gang – osserva il CEO di Swascan, Pierguido Iezzi – ne sono nate delle nuove. L’utilizzo di codici altrui abbatte le barriere di ingresso nel mondo del cybercrime in termini di competenza e risorse, proprio come avviene con ChatGpT, l’intelligenza artificiale alla quale si può chiedere, con semplici accorgimenti, di elaborare un malware. In questo modo qualunque malintenzionato ha facile accesso agli strumenti del mestiere dell’hacking criminale, moltiplicando all’inverosimile le minacce nel web”.