Il gruppo di hacker con base in Ucraina,Cl0p“, sembra ancora attivo nonostante la tragica guerra in corso nel Paese. E nonostante una massiccia operazione di polizia nella regione di Kyev del giugno 2021, condotta da autorità ucraine in cooperazione con quelle statunitensi e con quelle sudcoreane, oltre che con l’Interpol.

In quell’operazione sei presunti membri dell’organizzazione erano stati arrestati per “Interferenza non autorizzata in lavoro informatico” e “Riciclaggio di proprietà ottenute con metodi criminali”. Gli agenti avevano sequestrato materiale informatico, macchine e circa 5 milioni di grivne (moneta ucraina).

Eppure, il gruppo continua ad operare. L’ultima scansione antivirus di un file collegato a Cl0p risale ad aprile 2022. Secondo la società giapponese di cybersicurezza “Trendmicro“, i rilevamenti di Cl0p sono stati più di 350 nel gennaio del 2022.

“Il fatto che il gruppo sia sopravvissuto a quell’operazione e che sia ancora attivo indica che i membri principali non sono stati arrestati nella retata”, ha scritto in dicembre 2021 Lior Div (CEO e cofondatore della società di cybersicurezza “Cybereason“). Perché è così difficile bloccare le loro attività?

Cl0p, un indagine su un gruppo ransomware

Ransomware Cl0p

Il ransomware e la gang

“Cl0p” è il nome dato inizialmente ad una famiglia di software malevoli. Proviene dalle lettere poste alla fine del nome dei file coinvolti nell’hackeraggio (la loro estensione): “.Clop”. Secondo la società di cybersicurezza Cybereasone, la parola “clop” viene dal russo o dal bulgaro e significa “bug” (errore).

Nel 2019, gli esperti di sicurezza hanno scoperto l’uso di “Cl0p” da parte di un gruppo di cybercriminali conosciuto come “TA505”, quando hanno lanciato di una campagna di phishing.

Gli hacker avevano mandato un’email ingannevole con file malevoli nella casella di posta degli impiegati di importanti società. Dopo che il file veniva aperto, il malware (abbreviazione di malicious software, programma malevolo) scaricava programmi aggiuntivi e infettava i computer della vittima (e spesso l’intera rete) con un controllo da remoto. Poi, i criminali criptavano i dati delle società e chiedevano un riscatto per decriptarli.

“Cl0p” designa anche il gruppo che usa questi malware per l’estorsione. Vengono chiamati “ransomware” perché portano alla richiesta di un riscatto (ransom in inglese). Secondo Cybereason, un ransomware può essere definito come “software malevolo designato per bloccare l’accesso a un sistema o a file finché non viene pagata una somma di denaro”.

La Corea del Sud e gli Stati Uniti

Il comunicato della polizia ucraina, rilasciato dopo l’operazione del giugno 2021, informa che la cybergang Cl0P aveva criptato dati di società sudcoreane e statunitensi.

Nel 2019, Cl0p aveva attaccato quattro società sudcoreane: 810 server interni e computer personali degli impiegati erano stati bloccati. Per riabilitare l’accesso, i criminali avevano ricevuto un riscatto in criptomonete.

Nel 2021, i sospetti avevano criptato dati di impiegati e resoconti finanziari di università statuntiensi: la Scuola di Medicina dell’Università di Stanford, l’Università del Maryland e l’Unviersità della California.

Il totale delle perdite ha raggiunto i 500 milioni di dollari, stando a giugno 2021, secondo le comunicazioni della polizia.

L’estorsione doppia

Non pagare il riscatto diventa sempre più difficile. In diversi attacchi, gli hacker di Cl0p non hanno solo chiesto soldi per riabilitare gli accessi. Nel caso la vittima non pagasse, hanno minacciato di rivelare i dati confidenziali delle organizzazioni. I criminali hanno iniziato a sottrarli prima di criptarli.

E’ la tattica dell'”estorsione doppia” per i due passaggi della minaccia:

1) bloccare l’accesso ai file;

2) condividere pubblicamente i file.

Questo tipo di ricatto è oggi una pratica “molto diffusa”, ha scritto Tine Munk, docente di criminologia all’università del Middlesex, nel suo libro del 2022 “La crescita degli attacchi informatici per motivi politici“.

Secondo TrendMicro, “gli operatori di Cl0p hanno eseguito il loro primo tentativo di estorsione doppia nell’aprile del 2020 quando hanno reso pubblici i dati di una società farmaceutica”.

Il portale nel Dark Web

Cl0p portalf rontpage

Pagina iniziale del portale di Cl0p

Se la vittima non paga il riscatto, i criminali pubblicano i file sottratti nel loro portale del dark web: ‘CL0P^-LEAKS’.

Cl0p ha pubblicato una lista delle organizzazioni colpite che non hanno voluto accettare le condizioni poste dalla gang. Ognuna di esse ha una pagina con:

1) le comunicazioni intercorse fra gli hacker e la vittima;

2) i documenti sottratti durante l’attacco (che includono contatti, nomi, addirittura scansioni di passaporti o patenti).

Le avvertenze e gli emulatori

Il portale della gang contiene anche alcune avvertenze.

Un’avviso comunica che il gruppo non ha mai attaccato ospedali, orfanotrofi, case di cura o fondazioni caritatevoli e non “lo farà” (le società farmaceutiche sono escluse da questa lista). “Se un attacco capita per errore contro una delle organizazzazioni precedenti” – scrivono – “forniremo la decriptazione gratuitamente, chiederemo scusa e aiuteremo a corregere le vulnerabilità”.

Eppure, secondo l’inchiesta di TrendMicro (pubblicata il 22 febbraio 2022), il settore della cura e della salute “ha ricevuto il più alto numero di rilevamenti [di tentativi di attacco con Cl0p], circa 959, seguito dal settore finanziario, fermo a 150“.

TrendMicro Cl0p targetted sectors

Settori colpiti da Cl0p secondo TrendMicro

Comunque, gli hacker di Cl0p specificano nel loro portale che esistono alcuni imitatori. “Abbiamo comunicazioni di persone attaccate da criminali che dicono di essere di Cl0p. Non è vero e questi sono solo emulatori che non sanno niente di noi. (…) Cl0p comunicherà solo attraverso email ufficiali o chat web personalizzate per ogni società che attacchiamo”.

C’è anche un avviso nel fondo della pagina, seguito da una faccina sorridente: “Cl0p^_-LEAKS 2020-2022. All rights reserved ;)”. Il 2022 è l’anno più recente delle loro attività.

Cl0p è ancora attivo

Le attività sembrano procedere, anche secondo qualche ricerca.

Hybrid Analysis

Hybrid-Analysis.com è un “un servizio gratuito di analisi dei malware che rileva e analizza minacce sconosciute”. Facendo una ricerca col nome “Clop”, il sito fornisce i dettagli di alcuni file malevoli.

Uno di questi, con nome “clop.bin” o “11hgfgh.exe” (etichettato come malevolo), è stato rilevato l’ultima volta con una scansione antivirus il 17 aprile 2022.

Any.run

Informazioni aggiuntive arrivano da any.run, un sito che fornisce un servizio interattivo di caccia ai malware.

Secondo any.run, lo stesso file con nome “clop.bin” o “11hgfgh.exe”, identificato dall”‘impronta digitale” lasciata dal malware (SHA-256: a867deb1578088d066941c40e598e4523ab5fd6c3327d3afb951073bee59fb02) è collegato a diversi file che hanno estensione del nome “.clop”.

Virus Total

Un altro strumento notevole per indagare sui malware è VirusTotal. E’ un sito web che aggrega risultati di scansioni e antivirus per fornire il profilo del malware richiesto.

Lo stesso file (“clop.bin” or “11hgfgh.exe”), ricercato attraverso la sua impronta digitale, è stato visto per l’ultima volta il 18 maggio 2022, stando a VirusTotal.

Il gruppo di hacker con base in Ucraina sembra ancora operativo. E prolifico.

Il numero dei rilevamenti

Secondo le analisi di TrendMicro, le operazioni di Cl0p sono rimaste robuste visto che il numero dei rilevemanti si attesta ogni mese fra 300 e 400 da luglio 2021 a gennaio 2022.

La quantità è impressionante. Certo, il gruppo avvisa della possibilità di “emulatori”, che potrebbero essere inclusi in queste statistiche.

Ma TrendMicro fornisce un’altra spiegazione per un numero così alto. “Cl0p è un esempio di ransmoware come servizio” (RaaS nella sigla inglese).

La società statunitense Crowdstrike definisce il RaaS come un “modello di business fra operatori di ransomware e affiliati in cui gli affiliati pagano per lanciare attacchi sviluppati dagli operatori”. In cambio, gli operatori ricevono una percentuale del riscatto della vittima.

Gli operatori possono avere regole di ingaggio. Eppure, è difficile identificare gli attaccanti reali, da dove e perché hanno deciso l’attacco.

La base dei membri di Cl0p

Alcune dichiarazioni informano che Cl0p potrebbe non essere basato principalmente in Ucraina, dove la polizia aveva eseguito l’operazione nel giugno del 2021.

Dopo la retata, Andras Toth-Czifra, analista della società di cybersicurezza “Flashpoint”, che ha seguito le tracce delle attività di Cl0p, aveva suggerito (in un’intervista al sito web DarkReading) che Cl0p poteva essere “localizzato in Russia”.

La società di cybersicurezza “Intel 471” aveva dichiarato al sito Krebsonsecurity riguardo l’operazione: “Pensiamo che nessuno de dirigenti di Cl0p sia stato arrestato perché probabilmente vivono in Russia”.

Nel dicembre del 2021, Cybereason ha scritto che gli hacker di Cl0p “hanno la loro base molto probabilmente in Russia – Paese che ha una storia di supporto silenzioso ai cybercriminali, con attacchi ignorati o condonati dallo stato”.

Russia, la “regola uno” dell’hackeraggio

Russia on the magg

La Russia sotto la lente d’ingrandimento

Tine Munk ha spiegato la condotta russa riguardo ai gruppi di hacker. Ha scritto nel 2022 che “la logica dietro il numero crescente di attacchi che hanno origine dalla Russia è la “regola uno” dell’hackeraggio. I gruppi ransomware [nella Federazione russa] possono attacare chiunque finché l’attacco non è lanciato su suolo amico”.

“Fino a quando i gruppi ransomware lasciano stare la Russia e selezionano altri Paesi,” – continuava Munk, “possono fare ciò che vogliono e guadagnare denaro nel modo che preferiscono”.

Il diritto internazionale, l’ONU e la NATO

La situazione pone una questione di diritto internazionale e di relazioni fra stati. In effetti, due diversi gruppi dell’ONU stanno lavorando su come applicare il diritto internazionale esistente nel cyberspazio: il GGE (Governamental Group of Experts) e l’OEWG (Open-Ended Working Group).

I problemi sono ancora molti.

A volte i governi non rispettano le promesse fatte. Secondo una relazione dell’assemblea parlamentare della NATO (pubblicata il 4 aprile 2022), “il recente incremento degli attacchi ransomware ha evidenziato il ruolo ricoperto dagli stati che tollerano la presenza di gruppi cybercriminali nel loro territorio, nonostante gli impegni presi in precedenza”.

In più, a volte le posizioni degli stati non sono unanimi. Seguendo alcune linee guida indicate dai gruppi ONU, Francia e Olanda “vogliono il riconoscimento di una regola di due diligence obbligatoria per il cyberspazio. (…) Gli Stati dovrebbero avere il dovere di assciurare che né il loro territorio né le loro infrastrutture siano utilizzare per eseguire attacchi informatici”, si legge nella relazione della NATO. Ma alcuni governi, inclusi quello russo e quello cinese, si sono opposti.

Profitto o politica

“Secondo il Cremlino, la legge russa non prevede di perseguire gli attacchi ransomware avvenuti su suolo straniero”, scrive Munk. Ma sono semplici crimini o questioni di politica internazionale? La risposta non è semplice.

Gli attori di Cl0p appaiono come cybercriminali spinti da motivazioni economiche. MITRE ATT&CK, un database con i profili delle gang di hacker, descrive il gruppo TA505 (che sta dietro il malware Cl0p) come “un gruppo guidato dal profitto, attivo almeno dal 2014″. E’ realemente così?

I Paesi colpiti

I Paesi più colpiti da Cl0p possono dare una visione degli obiettivi della gang. Stando al 23 maggio, i file pubblicati su “CL0P^-LEAKS” riguardano 111 organizzazioni.

72 hanno la sede principale negli Stati Uniti;
9 in Grmania;
8 in Canada;
7 nel Regno Unito;
2 ciascuno in India, Corea del Sud, Singapore e Svizzera;
1 ciascuno in Giappone, Francia, Australia, Malaysia e Italia;
2 in Cina: gli hacker accusano queste imprese di aver “rubato la tecnologia di società statunitensi (…) Cl0p fa in modo che le organizzazioni malvagie paghino per i loro delitti – spiegano i criminali – anche quando un governo corrotto non fa niente”.

Profitto e politica non sono così distanti. “I gruppi ransomware non operano su richiesta della Russia, ma operano che il consenso tattico delle strategie russe” in termini di selezione degli obiettivi, afferma Munk nel suo libro del 2022.

Spesso si confonde la linea fra attacchi con finalità economiche e attacchi contro obiettivi politici. Che fare?

Il diritto internazionale non è un golem

Moscow

Il Cremlino

Il diritto internazionale non è un “golem“, creato una volta e in maniera immutabile. E’ un processo e gli accordi fra gli stati spesso arrivano prima del sostegno congiunto ad una legge.

In un incontro del 2021, a Ginevra, il presidente americano Joe Biden e quello russo Vladimir Putin hanno concordato sullo sviluppo di disposizioni sulla cybersicurezza nei due Paesi.

Ma, secondo Munk, “sebbene Stati Uniti e Russia si siano trovati d’accordo sul fare qualcosa contro l’incremento degli attacchi informatici, e in particolare contro quelli ransomware, rimane incerto se le autorità russe prenderanno provvedimenti a riguardo”.

L’invasione russa dell’Ucraina non ha aiutato. Il 7 aprile, Oleg Khramov, vice segretario del Consiglio di Sicurezza della Federazione russa, aveva dichiarato al giornale russo Rossiyskaya Gazeta che Whashington aveva chiuso un canale di comunicazione con la Russia sulla cybersicurezza.

Khramov aveva spiegato che in febbraio Mosca propose agli Stati Uniti di collaborare per proteggere le strutture critiche di entrambi i Paesi. “La Casa Bianca ci ha comunicato che sta abbandonando unilaterlamente il processo di negoziazione”, ha detto il vice segretario in aprile.

Il percorso per una legge condivisa si preannuncia ancora lungo.

What is your reaction?

Excited
0
Happy
0
In Love
0
Not Sure
0
Silly
0

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Leggi anche