A causa delle sue dimensioni ridotte e degli approcci unici, un gruppo di ransomware piccolo ma efficiente ha eseguito operazioni relativamente sconosciute. L’operazione, nome in codice UNC2190 o “Sabbath” (54bb47h), è iniziata a settembre e ha iniziato gli attacchi a ottobre (alla fine dello stesso mese ne avevo parlato qui). Da allora, la banda ha infettato molte aziende e ha minacciato di rivelare le informazioni rubate qualora la richiesta di riscatto non venisse soddisfatta. Secondo un post sul blog di Mandiant, la banda del ransomware Sabbath ha preso di mira ed estorto almeno un sistema scolastico negli Stati Uniti.
Si pensa che Sabbath funzioni principalmente sul modello ransomware as a service, in cui gli operatori impiegano singoli criminali “affiliati” per intraprendere il lavoro sul campo di penetrazione vero e proprio nelle reti e installare il ransomware, in modo simile ad altre operazioni di questo stesso tipo, ultimamente il servizio a noleggio è molto adoperato. L’operazione ransomware Sabbath è una minaccia in parte perché è riuscita a nascondere l’intercettazione del proprio malware a causa di molte variabili. Per impedire la scoperta, la banda ha aggiornato i suoi strumenti, incluso lo strumento di controllo remoto Cobalt Strike Beacon.
Anche la portata dell’operazione rispetto ad altri gruppi di ransomware ha contribuito a mantenere le operazioni sotto il radar. Sabbath, secondo Mandiant, ha le sue origini in una precedente gang ransomware nota come Arcane. Si presume che il gruppo UNC2190 sia responsabile di entrambi. Il passaggio di UNC2190 da Arcane a Sabbath non ha ancora smosso notevolmente l’opinione pubblica, a differenza di altri gruppi di ransomware più noti, credo semplicemente per il calibro delle vittime, se così fosse è solo questione di tempo.
Mentre è comune per le gang di ransomware significative rinominare le loro operazioni, Tyler McLellan, un analista di Mandiant e coautore del post sul blog, ha affermato che un piccolo gruppo relativamente sconosciuto come Arcane di solito non lo farebbe.
Sabbath potrebbe avere un certo impatto sull’industria dei ransomware, anche se non è significativo. Secondo McLellan, alcuni degli approcci di Sabbath, incluso l’uso di più payload di malware personalizzati, potrebbero essere sfruttati da altri gruppi di ransomware che mirano così ad evitare il rilevamento da parte delle società di sicurezza e delle autorità legali, portando a segno una persistenza sempre più lunga nei propri attacchi.
