Secondo il rapporto di Bio-Isac, la prima infezione informatica ai danni di un centro di produzione medico-biologica prodotta da Tardigrade è stata individuata nella primavera del 2021, un’altra a ottobre, ma la minaccia sarebbe attiva ancora adesso.
Gli esperti di cybersecurity che hanno analizzato la variante di questo malware sono giunti alla conclusione che Tardigrade sia usato prevalentemente per lo spionaggio anche se è capace di interferire in diversi modi coi sistemi colpiti, bloccandone il funzionamento. Perché alla fine di un ransomware si tratta, anche se non chiede riscatto. E questa è una prima stranezza. Sarebbe un tool evoluto, di quelli realizzati da raffianti gruppi hacker al soldo dei governi, i cosiddetti Apt, le Minacce avanzate persistenti, e usato per lo spionaggio, perciò non si comprende perché debba assumere la forma di un ransomware, tipicamente progettato per farsi scoprire e seminare confusione e allarme per indurre le vittime a pagare un riscatto.
I ricercatori lo hanno chiamato Tardigrade per associazione con il tardigrado, un organismo invertebrato particolarmente resistente al caldo e al freddo estremi grazie alla forte capacità di adattamento. Come l’animale biologico che è in grado di resistere alle radiazioni e persino di vivere nello Spazio, anche questo software dannoso è piuttosto resiliente e adattabile, e capace di una certa autonomia nell’infettare le reti con quelli che si potrebbero definire movimenti laterali.
BioBright, il consorzio cui appartiene Bio-Isac, nelle indagini successive alla scoperta ha trovato che il malware non solo blocca i computer che infetta, ma si adatta all’ambiente informatico in cui si trova e resta capace di agire anche se viene interrotta la comunicazione con i centri di comando e controllo che lo hanno diffuso. Un fatto nuovo che ha portato Charles Fracchia, Ceo di BioBright, a dire che “quasi certamente serve allo spionaggio, ma poi colpisce tutto, causando interferenze, interruzioni, e cancellazioni”. Il software avrebbe anche le funzionalità di un trojan, il che significa che una volta installato su una rete di computer cerca le password memorizzate, distribuisce un keylogger per registrare le password digitate, inizia l’esfiltrazione dei dati e stabilisce una backdoor affinché gli aggressori possano rientrare più e più volte nei sistemi colpiti.
I ricercatori affermano che Tardigrade sembra essere progettato principalmente per la distribuzione tramite attacchi di phishing, imbrogliando gli utenti ignari con mail fraudolente, ma potrebbe anche diffondersi tramite chiavette Usb contaminate o addirittura spostarsi da una rete infetta all’altra in modo autonomo con le giuste connessioni.
Chi c’è dietro a questo virus
Per questo, molti puntano il dito sulla Russia. La tecnica di attacco e di evasione del software ricorda tecniche di hacking usati da agenti russi, e gli Usa ritengono che dall’inizio della pandemia sia la Cina sia la Russia abbiano lavorato costantemente in segreto per appropriarsi delle ricerche sui farmaci e sui processi di creazione di medicine che costano miliardi di dollari. Attacchi sempre più frequenti da parte dello spionaggio internazionale, visti gli sforzi per contrastare l’epidemia di coronavirus, e che si giovano della consuetudine di non denunciare incidenti di sicurezza in questo settore per evitare danni reputazionali e allarme sociale: un furto di proprietà intellettuale non deve essere per forza dichiarato alle autorità, al contrario del furto dei dati di malati o ricercatori.
Secondo Gianfranco Tonello, esperto italiano di malware e fondatore di Tg-Soft, “Tardigrade è una variante di SmokeLoader, malware che è in grado di esfiltrare documenti riservati, password e scaricare altri malware. SmokeLoader è stato attivo anche in Italia dal 2018 a settembre del 2020 con campagne di malspam. La sua evoluzione in Tardigrade a inizio 2021 e la tipologia di target selezionato come il settore della biochimica fa pensare a un salto di qualità dei gruppi cybercriminali che lo controllano”.
Per tutti questi motivi, Bio-Isac ha suggerito di preparare le difese di fronte alla sua minaccia, di comunicarlo all’industria farmaceutica, di segmentare i network e verificare il funzionamento dei backup da usare in caso di un attacco riuscito.