Un gruppo ransomware identificato da Mandiant con la sigla UNC2447 sta sfruttando un bug zero-day nei prodotti SonicWall SMA 100 per distribuire il nuovo ransomware FiveHands sulle reti di obiettivi nord americani ed europei. La falla in questione è la CVE-2021-20016, per la quale sono state diffuse le patch a fine febbraio 2021. Non è la prima volta che viene sfruttata.

Stando alle indagini di Mandiant, la attack chain di questo gruppo prevede l'impiego di impianti Cobalt Strike per ottenere la persistenza all'interno dell'infrastruttura di rete. Si tratta di uno strumento ormai ampiamente impiegato nella maggior parte delle operazioni ransomware. Il gruppo installa inoltre una variante della backdoor SombRAT, un malware avvistato per la prima volta in una campagna precedente soprannominata CostaRicto. Solo dopo questi due passaggi viene distribuito il payload del ransomware.

Passiamo al ransomware FiveHands. È stato osservato per la prima volta nell'ottobre 2020 ed è molto simile a un'altra minaccia nota, il ransomware HelloKitty. Quest'ultimo è una conoscenza nota fra gli esperti di videogame perché è stato utilizzato per crittografare i sistemi di sviluppo di videogiochi CD Projekt Red e per rubare il codice sorgente di Cyberpunk 2077, Witcher 3, Gwent e di una versione inedita di Witcher 3. Allo stesso ransomware è imputato un attacco ai danni della società elettrica brasiliana CEMIG (Companhia Energética de Minas Gerais).
Mandiant ha collegato le due minacce con una linea temporale: l'attività di HelloKitty è andata scemando a partire da gennaio 2021, in concomitanza con l'incremento delle attività di FiveHands. Questo fa sospettare che HelloKitty possa essere stato utilizzato da un programma di affiliazione da maggio 2020 a dicembre 2020 e che FiveHands vi sia subentrato a partire da gennaio 2021. La linea temporale non è l'unico link fra i due malware, che presentano anche molte somiglianze nella codifica.

FiveHands peraltro sembra un'evoluzione di HelloKitty, rispetto al quale presenta delle funzionalità extra, come l'uso del Restart Manager di Windows per chiudere tutti i file in uso in modo da poterli crittografare. Il gruppo UNC2447 inoltre è particolarmente abile nell'elusione del rilevamento e nel lasciare poche tracce per le indagini forensi.

Quello che non cambia è che gli affiliati fanno cassa con le estorsioni. Mettono pressione alle vittime minacciando la pubblicazione della refurtiva e mettendo in vendita i dati delle vittime sui forum del dark web. Oltre ai due ransomware sopracitati, Mandiant reputa che lo stesso gruppo abbia fatto uso anche di Ragnar Locker in attacchi precedenti.

Il complesso intreccio di attività e malware usati da questo gruppo fa comprendere meglio di altri casi il livello di organizzazione del cyber crime e il modus operandi dei RaaS (Ransomware-as-a-Service). Anche chi non ha le capacità tecniche per sviluppare un ransomware può usarlo per sferrare attacchi, e cambiare malware ogni qualvolta si presenta sul mercato un prodotto più letale ed efficace. Questo non pone limiti né agli attacchi né agli attaccanti, non richiede competenze particolari e frutta milioni di dollari in riscatti. Un circolo vizioso che non si interromperà fintanto che si dimostrerà profittevole.