Tre gruppi criminali si uniscono e creano ShinySp1d3r, un nuovo ransomware-as-a-service

È in corso una nuova minaccia nel panorama della criminalità informatica. L'alleanza tra tre gruppi già noti per attacchi di alto profilo ha dato vita a ShinySp1d3r, una piattaforma ransomware-as-a-service che rappresenta un cambio di paradigma per chi, finora, aveva sfruttato strumenti di terze parti. I membri di ShinyHunters, Scattered Spider e Lapsus$ hanno deciso di unire le forze sotto il nome collettivo "Scattered Lapsus$ Hunters", creando un encryptor proprietario progettato completamente ex novo.

L'operazione ha iniziato a farsi notare attraverso canali Telegram, dove gli attori malevoli hanno avviato campagne di estorsione contro vittime di furti di dati da piattaforme come Salesforce e Jaguar Land Rover. A differenza del passato, quando utilizzavano encryptor di altre gang come ALPHV/BlackCat, Qilin, RansomHub e DragonForce, il collettivo ha ora sviluppato uno strumento proprietario per gestire autonomamente gli attacchi insieme ai propri affiliati. Il campione del malware è stato inizialmente scoperto su VirusTotal, permettendo ai ricercatori di sicurezza di analizzarne le caratteristiche tecniche.

Ricordiamo che un ransomware-as-a-service è un modello di business criminale in cui sviluppatori di ransomware creano e gestiscono software malevolo per poi affittarlo o venderlo ad altri criminali, chiamati "affiliati", attraverso formule di abbonamento simili ai tradizionali servizi cloud legittimi. Gli affiliati, che spesso non dispongono delle conoscenze necessarie per sviluppare autonomamente un encryptor, pagano una quota mensile o ricevono accesso al malware in cambio di una percentuale sui riscatti ottenuti dalle vittime. Gli operatori forniscono un pacchetto completo che include il software di crittografia, pannelli di controllo per gestire le campagne, portali di pagamento e persino assistenza tecnica, occupandosi degli aggiornamenti e del mantenimento dell'infrastruttura. Gli affiliati, invece, si concentrano esclusivamente sulla distribuzione del ransomware attraverso tecniche come phishing, exploit di vulnerabilità o acquisto di accessi già compromessi da broker specializzati, e sulla negoziazione con le vittime. Questo sistema ha abbattuto le barriere tecniche all'ingresso nel mondo del cybercrimine, permettendo a chiunque di lanciare attacchi sofisticati semplicemente acquistando o noleggiando gli strumenti necessari sul dark web, contribuendo alla proliferazione esponenziale degli attacchi ransomware degli ultimi anni.

L'encryptor per Windows del nuovo RaaS presenta una serie di funzionalità sofisticate che lo rendono particolarmente insidioso: secondo le analisi condotte dalla società di recupero ransomware Coveware, citata da BleepingComputer, il malware implementa tecniche di evasione che includono l'hook della funzione EtwEventWrite per impedire la registrazione degli eventi nel Visualizzatore eventi di Windows. Il software è inoltre capace di terminare i processi che mantengono aperti i file da criptare, garantendo la massima efficacia dell'attacco. Inoltre, ShinySp1d3r sovrascrive i file cancellati scrivendo dati casuali in file temporanei, rendendo praticamente impossibile il recupero delle informazioni eliminate. L'algoritmo di crittografia scelto è ChaCha20, con la chiave privata protetta tramite RSA-2048, mentre ogni file criptato riceve un'estensione unica basata su una formula matematica. I file modificati contengono un'intestazione che inizia con "SPDR" e termina con "ENDS", includendo metadati come il nome del file originale e la chiave privata criptata.

Le capacità di propagazione del ransomware rappresentano un elemento preoccupante per le reti aziendali, visto che il nuovo encryptor è progettato per diffondersi su dispositivi collegati alla rete locale attraverso tre diversi metodi: creazione di servizi tramite deployViaSCM, esecuzione via WMI con Win32_Process.Create, oppure distribuzione attraverso script di avvio GPO. Il malware cerca attivamente host con condivisioni di rete aperte per tentare la crittografia di ulteriori sistemi. Gli sviluppatori hanno inoltre implementato tecniche anti-analisi che sovrascrivono i contenuti della memoria per ostacolare le indagini forensi. e impedire il ripristino dei file criptati attraverso i backup di Windows. Le vittime ricevono una nota di riscatto che concede tre giorni per avviare le negoziazioni prima che l'attacco venga reso pubblico su un sito di leak dei dati sulla rete Tor. La comunicazione avviene tramite indirizzo TOX, mentre un wallpaper sostituisce lo sfondo di Windows per avvisare dell'avvenuta compromissione.

Gli sviluppatori hanno dichiarato di aver completato una versione CLI con configurazione runtime e di essere prossimi al rilascio di varianti per Linux ed ESXi. È inoltre in fase di sviluppo una versione "lightning" ottimizzata per la velocità, scritta interamente in linguaggio assembly. Il gruppo afferma che le aziende del settore sanitario, inclusi ospedali, cliniche, case farmaceutiche e compagnie assicurative, non potranno essere colpite dal loro strumento, sebbene promesse simili siano state violate in passato da altre organizzazioni criminali. La leadership dell'operazione RaaS sarà gestita da ShinyHunters, ma l'attività verrà condotta sotto il marchio Scattered LAPSUS$ Hunters per rappresentare l'alleanza tra i gruppi.