cyber security

Ransomware e riscatti in cryptovalute: la lezione dell’attacco a Colonial Pipeline

Il recente attacco ransomware all’oleodotto Colonial Pipeline è interessante sotto molti punti di vista, ma ha sorpreso anche per una specifica ragione: in un caso più unico che raro, l’FBI è riuscita a recuperare una parte del riscatto. Come ci sono riusciti?

12 Lug 2021
linee guida cookie garante privacy

L’attacco ransomware subito lo scorso maggio da Colonial Pipeline, uno dei maggiori oleodotti degli Stati Uniti, ha mostrato quanto vulnerabile sia l’ecosistema delle infrastrutture critiche agli attacchi informatici.

La costa orientale è rimasta infatti parzialmente sprovvista di carburanti per tutta la durata della fase di recovery dell’attacco, ovvero 6 giorni, con effetti che hanno avuto strascichi ancora più lunghi. E va chiarito che DarkSide, il gruppo che ha attaccato Colonial Pipeline, non aveva neanche preso di mira l’infrastruttura operativa che gestiva l’oleodotto, che è stata spenta a solo titolo precauzionale.

Ransomware e criptovalute: le peculiarità del caso Colonial Pipeline

Questo attacco, interessante sotto molti punti di vista, ha sorpreso anche per un’altra ragione: in un caso più unico che raro, l’FBI è riuscita a recuperare una parte del riscatto, circa 2.3 milioni di dollari dei 4.4 milioni pagati da Colonial Pipeline. Ci si domanda quindi: come ci sono riusciti?

WHITEPAPER
Energy e Blockchain: quali opportunità?
Blockchain
Utility/Energy

Ransomware e criptovalute, coppia di fatto del malaffare: le azioni di contrasto

Purtroppo, l’FBI ha scelto, per ragioni operative, di non rispondere alla domanda, quindi dobbiamo fare un passo indietro per analizzare lo scenario e provare a formulare alcune ipotesi.

La scena dei ransomware è mutata profondamente negli ultimi anni, si è infatti passati da attacchi opportunistici contro utenti privati ad attacchi altamente mirati che continuano a crescere in sofisticazione, e ne capiremo a breve la ragione. La struttura di una ransomware gang è oggi molto simile a quella di una tradizionale organizzazione criminale, con la differenza che è possibile avere strutture tanto centralizzate quando completamente decentralizzate.

Gli attori che partecipano a un attacco

In linea generale possiamo identificare i seguenti attori che prendono parte ad un attacco:

  • Analisti finanziari: utilizzati per identificare i target che hanno liquidità, possibilmente identificando la presenza o meno di una cyber-insurance
  • Access brokers: gruppi specializzati nell’ottenere accesso iniziale ad un ampio ventaglio di organizzazioni, accesso che viene venduto al miglior offerente per attacchi più mirati
  • Ransomware developers: coloro che materialmente scrivono il software per la cifratura (e decifratura) dei dati
  • Infrastructure Admins: coloro che si occupano di gestire l’infrastruttura utilizzata dagli attaccanti per eseguire l’attacco e per trasportare i dati, questi ultimi possono anche coincidere con i ransomware developer nel caso di reti RaaS ovvero: Ransomware as a Service con relativi affiliati
  • Attackers: il gruppo che materialmente effettua l’attacco (furto di dati, esfiltrazione, distruzione dei backup e dei disaster recovery plans, cifratura di server e workstation)
  • Negoziatori: chi si occupa di dialogare con le vittime per negoziare i termini del riscatto, spesso hanno a che fare con la loro controparte, ovvero un negoziatore dedicato assunto dalla vittima o dall’assicuratore.
  • Money mules: utilizzati per gestire il flusso di denaro e per trasformarlo da cryptovaluta in moneta tradizionale

A questa catena si possono aggiungere elementi a piacere. Stando ad una ricerca pubblicata da Elliptic, DarkSide ha utilizzato – tra tutte le operazioni – 47 wallet Bitcoin contenenti un totale di circa 90 milioni di dollari in riscatti. Dato interessante perche, stando ad un’analisi di DarkTracer, le vittime di DarkSide sono state in totale 99, quindi il 47% delle vittime ha scelto di pagare il riscatto con una media di 1.9 milioni di dollari per attacco. Colonial Pipeline avrebbe pagato in due tranche, la prima per un valore di 320.000$ (circa 5.5 BTC quel giorno) e la seconda per un valore di 4.3 milioni di dollari (circa 75 BTC quel giorno).

Bitcoin che vengono spostati altrove poco meno di un’ora dalla ricezione, come vediamo qui:

Ma il flusso non si ferma, ed infatti ci sono una serie di circa 30 ulteriori transazioni utilizzate per muovere i fondi.

Bitcoin, come ti raggiro gli investitori: le ultime truffe e come difendersi

L’FBI ha dichiarato di aver recuperato 63.7 BTC il 7/Jun, ovvero circa 2.3 milioni di dollari, ed infatti nella blockchain troviamo la seguente transazione:

Che corrisponde al mandato di sequestro emesso dalla corte della California.

C’è però un buco di 11.2 BTC, dove sono finiti? Prima di continuare la caccia, vediamo di capire come funziona il servizio di affiliazione nel mondo dei ransomware.

RaaS – Ransomware as a Service

Una struttura molto comune è quella del Ransomware as a Service, dove un gruppo si specializza nella scrittura del software malevolo, mettendo a disposizione il ransomware e spesso la struttura di backend che si occupa di gestire il flusso del pagamento. Il sistema funzione grazie ad una rete di affiliati che ha il compito di eseguire le operazioni vere e proprie, al termine dell’attacco l’affiliato paga una quota del riscatto agli autori del ransomware ed il giro si ripete. Vari autori usano schemi differenti, con meccanismi di incentivi tipici dei business tradizionali, dove a riscatti più alti spesso corrispondono fee più basse. Questo semplice meccanismo di spartizione potrebbe darci nuove informazioni, per cui proviamo ad andare più a fondo.

L’8 di maggio i Bitcoin del riscatto vengono spostati su un altro indirizzo, divisi in due parti, una da 75 BTC e una da 0.00001693 BTC.

Dopo meno di un’ora il bottino viene diviso ulteriormente in due parti, in quello che sembra essere uno schema di distribuzione della fee tra gli sviluppatori (che è di circa il 15%) e gli operatori di DarkSide, come vediamo poco sotto:

Se la deduzione sulla spartizione è corretta, possiamo dedurre almeno un elemento certo: l’FBI ha ottenuto il controllo del wallet degli operatori di DarkSide ma non di quello degli sviluppatori.

È difficile a questo punto avere altre certezze ma abbiamo un elemento importante: sappiamo che DarkSide ha utilizzato dei payment server per processare la transazione e sappiamo, da un messaggio dello stesso gruppo, che una settimana dopo l’attacco una parte della loro infrastruttura, tra cui gli stessi server di pagamento, erano stati sequestrati. DarkSide tuttavia non rivela il paese in cui è avvenuto il sequestro.

Possiamo però fare un’ipotesi: se il server di pagamento si fosse trovato negli USA, l’FBI non avrebbe avuto alcun problema ad ottenere un mandato di sequestro, ma questo non ci da informazioni su come sia avvenuta la cattura del wallet. Una delle opzioni possibili è che la chiave privata si trovasse proprio sul server di pagamento, magari non cifrata o cifrata con una password debole, questo avrebbe consentito all’FBI di recuperare i Bitcoin che erano ancora presenti nel wallet. O ancora, se il gruppo avesse usato wallet all’interno di un Crypto Exchange statunitense, di nuovo l’FBI non avrebbe avuto problemi ad accedervi. Chiaramente ci sono altri scenari più operativi, in cui ad esempio uno dei membri di DarkSide, magari identificato dalle forze dell’ordine, avrebbe inviato il wallet per evitare altri tipi di conseguenze. Ultima ipotesi sarebbe quella che avrebbe portato al recupero del wallet tramite un’azione di compromissione diretta del computer di uno degli affiliati. Alternativa certamente possibile, ma forse a quel punto l’FBI avrebbe avuto abbastanza elementi per puntare il dito su un colpevole, e magari anche abbastanza da produrre un indictment.

Ransomware come il terrorismo: gli Usa al contrattacco con una task force ad hoc

Cos’è successo?

Cosa è successo? Di fatto non lo sapremo finché (e se) l’FBI non deciderà di fare chiarezza, ma senza fare troppi salti di fantasia sembra plausibile che l’azione di sequestro abbia portato anche al recupero del wallet.

A livello di OpSec operare tramite Bitcoin può non essere la scelta migliore, esistono infatti altre criptovalute con maggiori tutele riguardo la riservatezza delle transazioni, Monero su tutte, che pure rimangono di ampia disponibilità. L’altro lato della medaglia è che i volumi delle transazioni su queste cryptovalute sono una frazione di quelle del network Bitcoin, con potenziali ripercussioni sulla possibilità di spostare grossi flussi di denaro e farne cash-out. Tuttavia tali cryptovalute possono comunque essere utilizzate come canale temporaneo prima di essere convertite in Bitcoin. In questo caso l’utilizzo dei Bitcoin ha consentito una completa tracciatura del flusso di pagamento, e probabilmente ha fornito all’FBI anche gli elementi necessari a decidere dove colpire per ottenere il controllo del wallet. Il recupero del riscatto è in ogni caso un evento estremamente raro, e certamente in questo caso un incrocio di circostanze ha reso possibile attivare una simile operazione.

Gli attacchi ransomware, come dicevamo, continuano a crescere in sofisticazione e le gang ingrandiscono, infatti i bottini pagati dalle vittime – o dalle relative assicurazioni – contribuiscono a creare enormi incentivi che hanno come effetto lo sviluppo di organizzazioni criminali estremamente potenti e ben strutturate. L’effetto è quello di attacchi che utilizzano strumenti e tecniche sempre più avanzate, come abbiamo visto ad aprile quando il gruppo dietro il ransomware Babuk ha sferrato un attacco contro il Washington D.C. Metropolitan Police Department utilizzando un exploit 0-day. Un trend che è destinato a continuare finchè i bottini saranno cosi ricchi ed i pagamenti quasi certi.

I numeri in gioco sono interessanti, è difficile sapere quante organizzazioni decidano di pagare i riscatti ma sappiamo che il wallet di Darkside conteneva circa 90M$ e che, secondo una ricerca di Gartner, il 58% delle vittime subisce un secondo attacco immediatamente dopo il pagamento del riscatto, secondo altre fonti questo numero sale addirittura all’84%.

Il livello di cyber-security di un’ampia parte delle organizzazioni non è ancora sufficiente per riuscire ad identificare e bloccare questi attacchi e l’asticella si alza man mano che queste organizzazioni criminali vengono finanziate dalle proprie vittime. Se qualche anno fa ci stupivamo di vedere 0-day per smartphone pagati 5 milioni di dollari, oggi dovremmo rabbrividire al pensiero che un gruppo criminale abbia una simile disponibilità di liquidità ed un potere tale da mettere in serio pericolo la continuità di servizi essenziali, come appunto la distribuzione di carburante. La tecnologia è di certo un aiuto, ma è necessaria anche un’azione coordinata per rispondere in maniera dura ai paesi che proteggono questi gruppi ed è altrettanto necessario creare forti disincentivi affinché i riscatti non vengano pagati, magari evitando, come avviene in alcuni paesi, di consentire la deduzione dei riscatti dalle tasse.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati