Quantum Ransomware, anatomia di un malware (e di una gang) veloce e unica… Ecco perché dobbiamo preoccuparci, intervista a Stefano Maccaglia, Incident Response Lead EMEA di NetWitness.
Intanto il chi e il come. Quantum è un ransomware che crittografa i file e aggiunge l’estensione “.quantum” ai nomi dei file. Genera anche un file HTML denominato “README_TO_DECRYPT.html” contenente una richiesta di riscatto…
Quantum è però un ransomware atipico. Di solito infatti, altre gang prendono di mira le infrastrutture mentre Quantum è più propenso a prendere di mira gli utenti e in questi mesi ha fatto notizia soprattutto a causa della velocità dei suoi attacchi.
Secondo diversi rapporti internazionali l’attacco “Quantum” si è rivelato essere uno degli incidenti ransomware più veloci mai osservati.
Come funziona? I criminali entrano nella rete compromettendo l’endpoint dell’utente con un payload IcedID all’interno di un’immagine ISO, distribuiscono il ransomware in meno di 4 ore.
Come appena detto l’aspetto principale degli attacchi della “Quantum Gang” è la velocità dell’attacco stesso e il tipo di strumenti utilizzati da questi criminali informatici.
Questi tipi di attacchi di solito comporta il furto di dati. Il motivo per cui poi possono essere convincenti nel costringere la vittima a pagare è perché promettono di divulgare pubblicamente i dati rubati, il che crea danni alla reputazione.
Spesso non ci si pensa ma mantenere una buona reputazione è importante anche per gli stessi cybercriminali, perché se una vittima paga e la banda di ransomware perde comunque i dati sarà molto difficile per loro convincere le future vittime a pagare… è appunto una questione di reputazione.
Veloci, agili, unici… ecco perchè la Quantum gang preoccupa
Ci sono aspetti di un attacco Quantum e della gang collegata che sono davvero unici.
Uno di questi come abbiamo visto è la velocità dell’attacco. In un caso di ransomware che coinvolge Conti, che è la banda di ransomware più letale, al momento, stiamo parlando di almeno 30-40 giorni dalla fase iniziale dell’attacco. Nel frattempo, con Quantum, stiamo potenzialmente discutendo di ore.
Secondo le nostre rilevazioni gli obiettivi degli attacchi in questa fase sono spesso enti pubblici. Anche se non possiamo davvero focalizzare o evidenziare un tipo specifico di vittima perché gli attacchi rilevati si estendono dall’energia ai trasporti, alle autorità pubbliche.
Gli enti pubblici italiani però sono stati recentemente bloccati in modo significativo per esempio.
Ci sono un paio di esempi pubblici, uno dei quali è un’associazione italiana. I loro dati sono stati rubati in circa tre giorni, la vittima non ha pagato e il gruppo Quantum ha fatto trapelare i dati nel loro sito web. Abbiamo studiato l’attacco per evitare in futuro potenziali attacchi simili.
Se infatti un utente malintenzionato finalizza l’attacco e non hai studiato la causa principale, c’è un’alta probabilità che un altro aggressore, affiliato o aggressore di prima fase identifichi le stesse vulnerabilità e attacchi di nuovo.
Al giorno d’oggi, i più grandi nomi del mercato dei ransomware operano in una sorta di modello di franchising. Condividono strumenti, tecniche e insegnano a uno di questi attaccanti ransomware come attaccare. Questi attaccanti ransomware sono quelli che operano la prima fase di ogni attacco al fine di trovare punti deboli e perdite dati all’interno delle reti delle vittime. Quindi, vendono le informazioni al secondo livello di quel mercato affiliato che è fondamentalmente la principale banda di ransomware.
Apparentemente la gang che usa Quantum non sta seguendo questo tipo di approccio, stanno effettuando l’attacco da soli. Quindi è un po’ diverso dalle altre bande di ransomware che stanno sfruttando un numero significativo di affiliati nella prima fase.
Penso, al momento, che in tutto questa gang conti meno di 30 persone.
La “geografia” e “l’economia” di Quantum Ransomware
In genere, quando si indaga su questo tipo di aggressori, è possibile individuare l’ora in cui sono solitamente attivi e il relativo fuso orario in cui operano.
Dal mio punto di vista, stanno operando in GMT+5 o GMT+4, che è tipico dell’Europa orientale . Parlando invece del tema economico, al momento, per le informazioni in mio possesso nella maggior parte dei casi si parlava di attacchi e richieste di riscatto più o meno di circa 200.000 dollari.
Ci sono stati alcuni casi in cui hanno chiesto il doppio di questo prezzo, ma sulla base dell’interazione con alcune delle vittime, alla fine, il prezzo finale era compreso tra $ 200.000 e $ 150.000. Questo è, più o meno, il bersaglio dei loro attacchi, che è molto più economico rispetto a Conti o REvil, per esempio.
Per quanto concerne invece i siti di cui si servono per “pubblicare” parte dei dati rubati o bloccati hanno un collegamento diretto a un sito Web Tor in cui fanno trapelare i dati. Al momento il sito contiene i dati di circa 20 vittime. Una di queste è l’azienda italiana di cui ho parlato, ma ce ne sono altre.
Perché occorre stare molto attenti
In generale sia Quantum sia la gang che lo utilizza sono una minaccia seria a causa delle loro caratteristiche appena viste: velocità, estrema efficacia, riscatto limitato, struttura agile…
Al momento non mi aspetto che si evolvano in un franchise ma monitoreremo con grande attenzione la loro evoluzione, questo è un tema chiave.
Potrebbero spingersi verso il franchise come la banda del ransomware BitPaymer: a un certo punto, probabilmente si divideranno, soprattutto se ottengono soldi da questi attacchi dannosi. In questo caso, quando arrivano i soldi, alcuni criminali informatici sono più felici di spenderli, mentre altri hanno approcci più imprenditoriali.
Se guardi a Quantum, in passato avevano nomi diversi, probabilmente perché hanno diviso o rinnovato la loro infrastruttura nel tempo. Questo è molto comune per i criminali informatici perché se raccogli denaro e diventi grande, non puoi farlo da solo a lungo. Devi iniziare a sfruttare il supporto anche delle organizzazioni criminali tradizionali perché stai iniziando a raccogliere attenzione e interesse da Interpol, FBI o altri. Quindi stai molto attento a spostarti perché le persone ti osservano e cercano di arrestarti.
Come NetWitness stiamo intensificando le azioni di monitoraggio e supporto delle imprese, ora più che mai è soprattutto una questione di tempo, sensibilità, ed efficacia delle azioni di risposta
 veloce e unica... Ecco perché dobbiamo preoccuparci. Intervista a Stefano Maccaglia.){kind=link}