Ransomware: Data Encrypted for Impact (T1486)

Per comprendere come opera un ransomware moderno, è fondamentale replicare le tecniche in ambiente controllato. I ransomware utilizzano tipicamente una combinazione di crittografia simmetrica (AES) e asimmetrica (RSA) per massimizzare velocità ed efficacia.

Su Windows, la simulazione può iniziare con la preparazione dell'ambiente: vssadmin delete shadows /all /quiet wbadmin delete catalog -quiet

Questi comandi eliminano i backup locali, impedendo il recupero immediato. La fase di crittografia può essere simulata utilizzando PowerShell con le API native di Windows: $key = New-Object Byte[] 32; [Security.Cryptography.RNGCryptoServiceProvider]::Create().GetBytes($key)

Per Linux, l'approccio differisce nell'uso di tool nativi. La ricerca dei file target avviene tramite: find /home -type f ( -name ".doc*" -o -name ".xls" -o -name ".pdf" ) -print0

La crittografia può essere simulata con OpenSSL: openssl enc -aes-256-cbc -salt -in target.doc -out target.doc.enc -k RANDOMKEY

Gli ambienti ESXi richiedono particolare attenzione data la loro criticità. L'accesso avviene tipicamente via SSH, seguito dall'identificazione delle VM: vim-cmd vmsvc/getallvms

La simulazione su macOS sfrutta invece tool come gpg per la crittografia batch. È fondamentale notare come i ransomware moderni utilizzino il multithreading per accelerare il processo, crittografando simultaneamente più file attraverso pool di worker thread.

I tool specializzati come Conti implementano tecniche avanzate come l'uso di I/O Completion Ports su Windows per massimizzare le performance. Altri come BlackCat sono scritti in Rust per garantire portabilità cross-platform, inclusi ambienti Linux e VMware.

La detection efficace del ransomware richiede un approccio multilivello che combina analisi comportamentale e pattern recognition. Il monitoraggio deve focalizzarsi su indicatori precoci piuttosto che sul danno già avvenuto.

Su Windows, Sysmon rappresenta la fonte primaria per identificare comportamenti anomali. Gli EventID critici includono il monitoraggio delle operazioni su file (EventID 11) con particolare attenzione alle estensioni non standard. Un singolo processo che rinomina centinaia di file in pochi secondi è un indicatore inequivocabile.

La correlazione temporale è fondamentale: 500+ operazioni di scrittura file in 30 secondi da un singolo processo dovrebbero triggerare un alert immediato. I comandi di eliminazione backup come vssadmin o wbadmin rappresentano precursori affidabili dell'attacco imminente.

Per ambienti Linux, auditd fornisce visibilità sulle syscall critiche. Il pattern da monitorare include burst di open(), write() e rename() su directory utente. La creazione di file con nomi come "README.txt" o "DECRYPT_INSTRUCTIONS.html" in multiple directory simultaneamente è un forte indicatore.

Gli ambienti virtualizzati ESXi richiedono monitoring specifico dei log vmkernel. Modifiche massive ai file .vmdk o .vmx, specialmente se accompagnate da rename con estensioni come .locked, devono generare alert prioritari.

Nel cloud, AWS CloudTrail deve essere configurato per detectare l'uso anomalo di SSE-C (Server-Side Encryption with Customer Keys). Multiple chiamate PutObject con header di crittografia custom in rapida successione indicano possibile compromissione.

La gestione dei falsi positivi richiede baseline accurate: processi di backup legittimi, tool di crittografia aziendale e operazioni di manutenzione devono essere whitelisted con precisione chirurgica.

L'analisi forense di un attacco ransomware richiede la ricostruzione metodica della sequenza temporale, identificando il patient zero e tracciando la propagazione laterale. Gli artefatti chiave variano significativamente tra piattaforme.

Su Windows, il Registry mantiene tracce cruciali nelle chiavi di autorun (HKLM\Software\Microsoft\Windows\CurrentVersion\Run) dove spesso vengono posizionati i dropper. I Prefetch files documentano l'esecuzione iniziale del ransomware, mentre l'USN Journal registra tutte le modifiche ai file con timestamp precisi.

L'Event Log di Windows Security (EventID 4663) cattura gli accessi ai file sensibili prima della crittografia. Particolarmente rilevanti sono i pattern di accesso sequenziale a directory di documenti, seguito da creazione di file con estensioni anomale.

Linux presenta sfide diverse: i log di sistema in /var/log spesso vengono eliminati dagli attaccanti. Tuttavia, l'analisi della memoria swap può rivelare processi di crittografia terminati. I file .bash_history degli utenti compromessi possono contenere comandi di ricognizione pre-attacco.

La timeline reconstruction beneficia dall'analisi dei file di ransom note: il timestamp di creazione del primo file README indica l'inizio dell'attacco. Campagne come C0015 hanno dimostrato pattern consistenti di 5 giorni dalla compromissione iniziale all'encryption finale.

Gli attacchi a ESXi lasciano tracce nei log di vmkernel e hostd. L'analisi deve focalizzarsi sulle sessioni SSH anomale e sui comandi vim-cmd eseguiti fuori orario. I backup snapshot delle VM, se preservati, possono fornire stato pre-encryption per il confronto.

L'identificazione della variante specifica richiede l'analisi delle estensioni utilizzate e degli algoritmi di crittografia. Conti utilizza estensioni custom per vittima, mentre Ryuk standardizza su .RYK. Questa informazione è cruciale per valutare la possibilità di decryption.

Il panorama dei threat actor che utilizzano ransomware si è evoluto da operazioni criminali isolate a campagne sponsorizzate da stati nazionali. La profilazione accurata richiede l'analisi di TTP, infrastruttura e motivazioni.

Sandworm Team (G0034) rappresenta l'evoluzione del ransomware come arma geopolitica. Il deployment di Prestige contro infrastrutture critiche ucraine e polacche nel settore trasporti dimostra obiettivi oltre il profitto. L'overlap con precedenti campagne distruttive suggerisce capacità dual-use.

I gruppi financially-motivated come FIN7 (G0046) e FIN8 (G0061) mostrano pattern di "big game hunting". FIN7 ha evoluto le proprie capacità includendo ESXi nel targeting, mentre FIN8 alterna tra Ragnar Locker, White Rabbit e Noberus basandosi sulla vittima. Questa flessibilità indica accesso a multiple affiliazioni RaaS.

Scattered Spider (G1015) evidenzia la convergenza tra social engineering e ransomware tecnico. L'uso di BlackCat e DragonForce, combinato con tecniche di vishing per l'accesso iniziale, rappresenta l'evoluzione verso attacchi ibridi umano-tecnici.

Pattern geografici emergono dall'analisi: gruppi iraniani come Magic Hound (G0059) preferiscono tool di crittografia full-disk come BitLocker, suggerendo obiettivi di disruption totale piuttosto che estorsione selettiva. La campagna HomeLand Justice (C0038) conferma l'uso di ransomware per obiettivi politici.

L'evoluzione verso RaaS (Ransomware-as-a-Service) complica l'attribuzione. Storm-0501 (G1053) ha utilizzato sei varianti diverse in campagne successive, indicando relazioni fluide con operatori multipli. Questo trend suggerisce future campagne con mix di ransomware per complicare l'analisi.

Le informazioni presentate sono basate sul framework MITRE ATT&CK, con riferimenti alle campagne C0015 (Conti), C0018 (AvosLocker), C0038 (HomeLand Justice) e C0058 (SharePoint ToolShell). Risorse addizionali per detection includono Sigma rules per Sysmon e CloudTrail analytics per ambienti AWS. La documentazione dei gruppi APT deriva da tracking di settore e incident response documentati.