Gli hacker utilizzano il ransomware per colpire ogni settore, caricando quanto più denaro possibile per restituire l’accesso ai file di una vittima. È un business redditizio. Nei primi sei mesi del 2023, le bande di ransomware hanno rubato 449 milioni di dollari dai loro obiettivianche se la maggior parte dei governi sconsigliare di pagare riscatti. Sempre più spesso, i professionisti della sicurezza collaborano con le forze dell’ordine per fornire strumenti di decrittazione gratuiti, liberando i file bloccati ed eliminando la tentazione delle vittime di fare leva.
Esistono un paio di modi principali in cui i decrittatori ransomware utilizzano gli strumenti: reverse engineering per errori, collaborazione con le forze dell’ordine e raccolta di chiavi di crittografia disponibili pubblicamente. La durata del processo varia a seconda della complessità del codice, ma di solito richiede informazioni sui file crittografati, versioni non crittografate dei file e informazioni sul server da parte del gruppo di hacker. “Il solo fatto di crittografare il file di output è solitamente inutile. Hai bisogno del campione stesso, del file eseguibile”, ha affermato Jakub Kroustek, direttore della ricerca malware presso l’azienda antivirus Avast. Non è facile, ma quando funziona paga i dividendi alle vittime colpite.
Capiamo come funziona la crittografia
Innanzitutto, dobbiamo capire come funziona la crittografia. Per un esempio molto semplice, supponiamo che un dato possa iniziare come una frase riconoscibile, ma apparire come “J qsfgfs dbut up epht” una volta crittografato. Se sappiamo che una delle parole non crittografate in “J qsfgfs dbut up epht” dovrebbe essere “gatti”, possiamo iniziare a determinare quale modello è stato applicato al testo originale per ottenere il risultato crittografato. In questo caso, è solo l’alfabeto inglese standard con ogni lettera spostata in avanti di una posizione: A diventa B, B diventa C e “Preferisco i gatti ai cani” diventa la serie di sciocchezze sopra. È molto più complesso per i tipi di crittografia utilizzati dalle bande di ransomware, ma il principio rimane lo stesso. Il modello di crittografia è noto anche come “chiave” e, deducendo la chiave, i ricercatori possono creare uno strumento in grado di decrittografare i file.
Alcune forme di crittografia, come l’Advanced Encryption Standard con chiavi a 128, 192 o 256 bit, sono praticamente indistruttibili. Al suo livello più avanzato, frammenti di dati di “testo in chiaro” non crittografati, divisi in blocchi chiamati “blocchi”, vengono sottoposti a 14 cicli di trasformazione e quindi restituiti nella loro forma crittografata – o “testo cifrato”. “Non disponiamo ancora della tecnologia di calcolo quantistico in grado di violare la tecnologia di crittografia”, ha affermato Jon Clay, vicepresidente dell’intelligence sulle minacce presso la società di software di sicurezza Trend Micro. Ma fortunatamente per le vittime, gli hacker non utilizzano sempre metodi efficaci come AES per crittografare i file.
Vita dura quella degli hacker
Mentre alcuni schemi crittografici sono praticamente inviolabili è una scienza difficile da perfezionaree gli hacker inesperti probabilmente commetteranno errori. Se gli hacker non applicano uno schema standard, come AES, e scelgono invece di crearne uno proprio, i ricercatori possono cercare errori. Perché dovrebbero farlo? Per lo più ego. “Vogliono fare qualcosa da soli perché gli piace o pensano che sia meglio per motivi di velocità”, ha detto Jornt van der Wiel, ricercatore di sicurezza informatica presso Kaspersky.
Ad esempio, ecco come Kaspersky ha decodificato il file Yanluowang ceppo di ransomware. Si trattava di un ceppo mirato rivolto ad aziende specifiche, con un elenco sconosciuto di vittime. Yanluowang ha utilizzato il codice a flusso Sosemanuk per crittografare i dati: un processo gratuito che crittografa il file di testo in chiaro una cifra alla volta. Quindi, ha crittografato la chiave utilizzando un algoritmo RSA, un altro tipo di standard di crittografia. Ma c’era un difetto nello schema. I ricercatori sono stati in grado di confrontare il testo in chiaro con la versione crittografata, come spiegato sopra, e di decodificare uno strumento di decrittazione ora reso disponibile gratuitamente. In effetti, ce ne sono tonnellate che lo hanno fatto già stato violato dal progetto No More Ransom.
Secondo Kroustek, i decrittatori di ransomware utilizzeranno la loro conoscenza dell’ingegneria del software e della crittografia per ottenere la chiave del ransomware e, da lì, creare uno strumento di decrittazione. Processi crittografici più avanzati possono richiedere la forzatura bruta o ipotesi plausibili basate sulle informazioni disponibili. A volte gli hacker utilizzano un generatore di numeri pseudocasuali per creare la chiave. Un vero RNG sarà casuale, certo, ma ciò significa che non sarà facilmente prevedibile. Uno pseudo-RNG, come spiegato da van der Wiel, può fare affidamento su uno schema esistente per apparire casuale quando in realtà non lo è: lo schema potrebbe essere basato sul momento in cui è stato creato, ad esempio. Se i ricercatori ne conoscono una parte, possono provare diversi valori temporali finché non deducono la chiave.
Reverse engineering
Ma ottenere quella chiave spesso dipende dalla collaborazione con le forze dell’ordine per ottenere maggiori informazioni su come funzionano i gruppi di hacker. Se i ricercatori riescono a ottenere l’indirizzo IP dell’hacker, possono richiedere alla polizia locale di sequestrare i server e ottenere un dump della memoria dei loro contenuti. Oppure, secondo van der Wiel, se gli hacker hanno utilizzato un server proxy per oscurare la loro posizione, la polizia potrebbe utilizzare analizzatori di traffico come NetFlow per determinare dove va il traffico e ottenere le informazioni da lì. IL Convenzione di Budapest sulla criminalità informatica lo rende possibile oltre i confini internazionali perché consente alla polizia di richiedere urgentemente un’immagine di un server in un altro paese mentre aspettano che la richiesta ufficiale venga approvata.
Il server fornisce informazioni sulle attività dell’hacker, ad esempio chi potrebbe prendere di mira o il processo per estorcere un riscatto. Questo può indicare ai decrittatori ransomware il processo seguito dagli hacker per crittografare i dati, i dettagli sulla chiave di crittografia o l’accesso ai file che possono aiutarli a decodificare il processo. I ricercatori analizzano i registri del server alla ricerca di dettagli nello stesso modo in cui potresti aiutare il tuo amico a scovare dettagli sulla sua data su Tinder per assicurarsi che sia legittimo, cercando indizi o dettagli su schemi dannosi che possano aiutare a scoprire le vere intenzioni. I ricercatori potrebbero, ad esempio, scoprire parte del file di testo in chiaro da confrontare con il file crittografato per iniziare il processo di reverse engineering della chiave, o forse troveranno parti dello pseudo-RNG che possono iniziare a spiegare il modello di crittografia.
Cisco Talos
Lavorando con le forze dell’ordine hanno aiutato Cisco Talos creare uno strumento di decrittazione per il ransomware Babuk Tortilla. Questa versione del ransomware ha preso di mira l’assistenza sanitaria, l’industria manifatturiera e le infrastrutture nazionali, crittografando i dispositivi delle vittime ed eliminando preziosi backup. Avast aveva già creato un decryptor Babuk generico, ma il ceppo Tortilla si è rivelato difficile da decifrare. La polizia olandese e Cisco Talos hanno lavorato insieme per arrestare la persona dietro il ceppo e nel frattempo hanno ottenuto l’accesso al decrittatore Tortilla.
Ma spesso il modo più semplice per elaborare questi strumenti di decrittazione deriva dagli stessi gruppi di ransomware. Forse si stanno ritirando, o semplicemente si sentono generosi, ma gli aggressori a volte lo faranno rilasciare pubblicamente la propria chiave di crittografia. Gli esperti di sicurezza possono quindi utilizzare la chiave per creare uno strumento di decrittazione e rilasciarlo affinché le vittime possano utilizzarlo in futuro.
In genere, gli esperti non possono condividere molto sul processo senza dare un vantaggio alle bande di ransomware. Se divulgano errori comuni, gli hacker possono sfruttarli per migliorare facilmente i loro prossimi tentativi di ransomware. Se i ricercatori ci dicessero su quali file crittografati stanno lavorando adesso, le bande saprebbero che li hanno scoperti. Ma il modo migliore per evitare di pagare è essere proattivi. “Se hai fatto un buon lavoro di backup dei tuoi dati, hai maggiori possibilità di non dover pagare”, ha affermato Clay.
