Alla scoperta del Ransomware Forensics

Di ransomware e del loro dilagare con attacchi in netto aumento negli ultimi anni, ne abbiamo parlato spesso. I ransomware rappresentano oggi la principale minaccia per la sicurezza informatica, soprattutto nel Bel Paese; lo scorso anno sono stati ben 188 gli attacchi documentati, in crescita del 169% rispetto all’anno precedente, con un preoccupante 7,6% degli attacchi andati a buon fine, contro il 3,4% del 2021. Sono questi i dati inquietanti divulgati per l’anno 2023 dal rapporto redatto dall’Associazione Italiana per la Sicurezza Informatica (CLUSIT), fondata nell’anno 2000 presso il Dipartimento di Informatica dell’Università degli Studi di Milano.
In seguito a un attacco da ransomware, gli esperti del settore si ritrovano spesso a dover affrontare una vera e propria indagine forense in grado di analizzare l’intero processo al fine di individuarne i dati compromessi, quelli trafugati e possibilmente gli autori materiali dell’attacco.

Analizzare l’attacco

Vittime dell’attacco, forze dell’ordine o compagnie di assicurazioni, in seguito a un attacco ransomware posso ricorrere a quella che in gergo è conosciuta come Ramsomware Forensic, un processo d’indagine complesso e impegnativo, ma che può rivelarsi davvero utile per le vittime di un attacco e per le forze dell’ordine.
L’indagine digitale si può sostanzialmente riassumere in due fasi: raccolta e analisi delle prove, interpretazione e reporting dell’indagine. Nella prima fase gli investigatori digitali catalogano tutte le prove in loro possesso (log di sistema, registro degli eventi, flussi di rete ecc.), poi si procede con la ricerca di informazioni utili per determinare il punto debole utilizzato per sferrare l’attacco, le attività eseguite dal malware, i dati trafugati e/o criptati, le eventuali tracce che possono far risalire all’autore dell’attacco. L’interpretazione delle prove consentirà quindi agli esperti di ricostruire l’intera sequenza degli eventi dell’attacco; a quest’ultima fase seguirà lo step finale, ovvero la presentazione dei risultati dell’indagine alle parti interessate.

Gli strumenti e le tecniche

Ma quali sono gli strumenti che gli investigatori forensi digitali usano per compiere il lavoro investigativo in seguito a un attacco ransomware? Tra i vari tool spiccano i quelli in grado di analizzare i file criptati dal malware tentandone il ripristino, i software utilizzati per analizzare i file di log e i file di sistema per identificare le informazioni utili all’indagine e quelli impiegati per analizzare il codice del malware al fine di carpirne funzionalità e origini.
La scelta dello strumento più adatto dipende da una serie di fattori, tra cui il tipo di ransomware coinvolto, le risorse disponibili e le competenze dell’analista forense. Di seguito alcuni degli strumenti maggiormente utilizzati, da soli o in combinazione.

Volatility: un framework open source scritto in Python, disponibile per Windows, Linux e macOS, utile per l’analisi della memoria forense e utile per ricostruire eventi avvenuti sulla macchina oggetto dell’attacco. Il framework consente di estrarre informazioni da processi e thread in esecuzione, DLL caricate, registri interessati etc.

Sito Internet: https://www.volatilityfoundation.org/

FTK Imager: uno strumento impiegato per eseguire una copia forense di ogni supporto digitale. Consente, inoltre, di eseguire la copia della memoria RAM e visualizzare in anteprima file e cartelle su dischi locali, unità di rete, o qualunque altra unità flash.
Sito Internet: https://www.exterro.com/ftk-imager

Wireshark: un potente analizzatore di pacchetti di rete open source. Permette di catturare il traffico di rete proveniente da diverse interfacce, consentendo l’analisi del flusso di dati in tempo reale o da dati “catturati” in precedenza. Wireshark è in grado di decodificare e visualizzare pacchetti di dati in base a una vasta gamma di protocolli di rete, tra cui HTTP, TCP, UDP, IP, DNS, SSL/TLS etc, consentendo agli investigatori di esaminare in dettaglio come i dati vengono scambiati tra i vari dispositivi di rete.

Sito Internet: https://www.wireshark.org/

CAPEv2: una potente sandbox forense open source. Permette di eseguire o controllare file sospetti in un ambiente controllato e isolato. Il tool consente anche di recuperare tracce di chiamate API win32 eseguite da tutti i processi generati dal malware, così come i file creati, eliminati e scaricati da quest’ultimo.

Sito Internet: https://github.com/kevoreilly/CAPEv2

Autopsy: Permette l’analisi di partizioni o immagini del disco. In seguito a un attacco il tool permette di analizzare i dispositivi di archiviazione, recuperare file di ogni genere e cercare manipolazioni del sistema all’interno del filesystem.

Sito Internet: https://www.autopsy.com/