FiveHands ransomware, l’evoluzione del gruppo UNC2447
Tra le minacce informatiche più pericolose che si sono diffuse negli ultimi anni rientra FiveHands. Infatti, con questo termine indichiamo un ransomware in grado di decifrare dati e di bloccare l’uso dei dispositivi. Il gruppo di cybercriminali a cui è attribuita la sua paternità mette in atto diversi attacchi che prevedono doppie estorsioni. Per questa ragione, e per il loro utilizzo di tecniche crittografiche avanzatissime, FiveHands ransomware si è guadagnato un posto tra le minacce più gravi alla sicurezza cybersecurity.
FiveHands ransomware: la minaccia cibernetica attiva dal 2021
Sebbene sia ancora oggi in grado di destare preoccupazioni legate alla cybersecurity, il FiveHands ransomware è emerso già nel 2021.
Il malware funziona basandosi su tattiche che prevedono una doppia estorsione, e che prendono di mira le imprese europee e nord-americane. Si tratta, a pieno titolo, di uno dei ransomware più pericolosi in grado di minacciare la cybersecurity.
La variante FiveHands è stata segnalata per la prima volta da CISA il 6 maggio 2021 e ha avuto come vittima un’organizzazione. Solo qualche giorno prima, il 29 aprile dello stesso anno, era stata pubblicata una segnalazione da Mandiant, che riportava i dettagli su un attacco attuato dal gruppo UNC2447.
Stando alla segnalazione di Mandiant, il gruppo aveva portato a termine l’attacco grazie alla vulnerabilità zero-day nella VPN di SonicWall. La vulnerabilità, in sostanza, era stata sfruttata per distribuire il ransomware.
Il gruppo UNC2447
La paternità di FiveHands è dunque attribuita al gruppo UNC2447.
Il gruppo, che possiede diversi legami con vari gruppi hacker noti, si è reso spesso protagonista di minacce informatiche.
Oltre a distribuire il ransomware FiveHands, UNC2447 è noto per aver messo in atto tattiche di doppia estorsione sfruttando anche il ransomware Hello Kitty.
Il gruppo risulta attivo da almeno 5 anni, in quanto le prime attività sono state segnalate a partire da maggio 2020. Tra le vittime del gruppo UNC2447 figurano organizzazioni e aziende operanti sia in Nord America che in Europa.
Il nome del gruppo è legato soprattutto all’attacco portato a termine nel 2022 ai danni di Cisco. Le principali campagne del gruppo hanno preso di mira settori critici, inizialmente tramite phishing o attacchi informatici di tipo Exploit Zero-Click.
FiveHands, un’evoluzione della famiglia DeathRansom
Il FiveHands ransomware può essere considerato come una versione avanzata della famiglia DeathRansom. Di quest’ultima si hanno tracce fin dal 2019, quando venne identificata come una famiglia di ransomware abbastanza basilari.
La famiglia DeathRansom, infatti, non crittografava i file, ma si limitava a rinominarli. Questi malware venivano quindi utilizzati sostanzialmente al pari di scareware. Si tratta di programmi utilizzati al fine di spaventare le vittime, senza crittografare realmente i dati.
Tuttavia, dal 2019 in poi questa tipologia di malware venne potenziata. Lo sviluppo della famiglia di malware permise di svilupparne alcune varianti molto sofisticate, partendo dalla semplice struttura di base.
Da questa evoluzione, a partire dal 2021, si inserì per l’appunto il FiveHands ransomware.
Le tecniche crittografiche avanzate basate su NTRU
Il dettaglio che rende FiveHands una minaccia cibernetica molto pericolosa è che il ransomware si avvale di tecniche crittografiche avanzate basate su NTRU.
Con questo acronimo si indica un algoritmo che è diventato famoso in quanto capace di resistere agli attacchi quantistici.
Ciò vuol dire che, se per nella maggior parte dei casi i classici ransomware funzionano combinando algoritmi simmetrici come AES con algoritmi asimmetrici come RSA o ECC, FiveHands sfrutta un sistema crittografico ibrido.
Questo gli permette di lavorare quindi su due livelli, simmetrico e asimmetrico. La cifratura simmetrica viene utilizzata per criptare i file delle vittime rapidamente. Successivamente, poi, interviene la cifratura asimmetrica basata su NTRU.
Con questa seconda tipologia di cifratura vengono prottette le chiavi AES. La protezione rende praticamente impossibile la decifrazione anche nel caso in cui si utilizzino computer quantistici.
Modalità di attacco e vettori di infezione
Uno degli aspetti legati al successo del FiveHands ransomware è legato alle modalità di attacco. Oltre al fatto che è in grado di sfruttare la crittografia avanzata, questo malware differisce da quelli classici perché non si diffonde in maniera indiscriminata.
Al contrario, i cybercriminali hanno ben chiaro chi attaccare, generalmente avviando campagne di spear phishing. Non mancano, come abbiamo già detto, anche attacchi Zero-Click o che sfruttano le vulnerabilità di sistema.
Talvolta, gli hacker sfruttano intermediari IAB. Acronimo di Initial Access Broker, si tratta di hacker specializzati in grado di fornire accessi per infiltrarsi nelle aziende target. Qualunque sia il veicolo dell’attacco, FiveHands si contraddistingue quindi per l’estrema precisione.
FiveHands e il meccanismo della doppia estorsione
Come abbiamo anticipato in apertura, il ransomware FiveHands adotta un modello che possiamo definire come doppia estorsione. Si tratta, in realtà, di una strategia ormai comunemente sfruttata molto spesso nel caso di attacchi informatici.
In sostanza, gli hacker che utilizzano FiveHands non si limitano a criptare e bloccare file e dati appartenenti alle vittime. I cybercriminali minacciano anche le vittime con la possibile pubblicazione dei dati sensibili derubati.
Spesso le vittime si ritrovano quindi a decidere di pagare il riscatto, anche senza avere garanzie da parte dei criminali.
Come difendersi?
Tra le vittime tipiche del FiveHands ransomware abbiamo, come detto, imprese europee e americane. Questo significa che sono le imprese a correre maggiormente rischi legati a questa tipologia di attacco.
Per questo, la prima arma di difesa contro il ransomware è la formazione del personale. I dipendenti, soprattutto quelli che rivestono ruoli chiave, dovranno essere formati in termini di cybersecurity e phishing.
Anche i backup regolari e su supporti diversi possono essere di grande aiuto. In caso di attacco, non sempre i dati criptati vengono recuperati, anche a fronte del pagamento di ingenti riscatti.
Possedere dei backup, invece, permette comunque di proseguire il lavoro, anche sotto attacco.
Dal punto di vista tecnico, oltre a mantenere aggiornati sistemi operativi, app e software, si possono poi sfruttare tecnologie quali EDR e XDR, SIEM avanzati e soluzioni basate su intelligenza artificiale.
Questa tipologia di tecnologie rappresenta ad oggi l’arma di difesa migliore a nostra disposizione. E non solo contro FiveHands, ma anche contro le altre tipologie di ransomware che si evolvono costantemente.
