Secondo il World Economic Forum 2020 Global Risk Report, il ransomware è stato il terzo tipo di attacco malware più comune e il secondo più dannoso registrato nel 2020. Con una media di pagamenti pari a 1,45 milioni di dollari per incidente. E mentre crescono i guadagni legati a questa forma di cybercrime, crescono anche i rischi per gli enti governativi, per i profitti delle aziende, la reputazione, l’integrità dei dati, la fiducia dei clienti e la business continuity.
Gli attacchi ransomware però sono anche in continua evoluzione. Ed il team di ricerca Zscaler, Threatlabz, ha analizzato oltre 150 miliardi di transazioni sulla sua piattaforma e registrato ben 36,5 miliardi di attacchi bloccati tra novembre 2019 e gennaio 2021, con l’obiettivo di identificare le varianti ransomware emergenti, le loro origini e come bloccarle. Il Ransomware Report di Zscaler fotografa la situazione e delinea un crescente rischio da attacchi a doppia estorsione, che sono sempre più utilizzati dai criminali informatici per bloccare comunque l’operatività delle aziende e tenere i dati in ostaggio per ottenere il pagamento di un riscatto. Si tratta della possibilità, per il cybercrime, da una parte di farsi pagare un riscatto per ottenere la chiave per decriptare i dati, dall’altra di farsi pagare per garantire alle vittime che i dati “presi in ostaggio” vengano effettivamente cancellati, una volta pagato il riscatto (doppia estorsione), e non invece pubblicati o diffusi.

Questi attacchi prevedono quindi la crittografia dei dati sensibili da parte dei criminali informatici, ma combinata all’esfiltrazione dei file più importanti da utilizzare a scopo di ricatto. In pratica, le aziende colpite, anche se sono in grado di recuperare i dati dai backup, sono poi minacciati dalla pubblicazione dei dati rubati dai gruppi criminali. Non solo, alla fine del 2020, il team di ricercatori del Threatlabz ha notato che questa tattica è stata arricchita ulteriormente con l’aggiunta di attacchi Ddos sincronizzati, sovraccaricando i siti Web delle vittime e mettendo ulteriore pressione sulle aziende per pagare il riscatto.

Le "operation" in un tipico attacco ransomware
Le “operation” in un tipico attacco ransomware

Il rapporto Zscaler quindi include un’analisi delle principali tendenze che riguardano i ransomware e dettagli sui più prolifici criminali informatici che operano attraverso ransomware, le loro tattiche di attacco e i settori più vulnerabili presi di mira.

Il tema, abbiamo visto in questi giorni anche in relazione all’attacco ai sistemi informatici di un’azienda di distribuzione nel comparto energy degli Usa, è critico. E la ricerca di Zscaler supporta la definizione recentemente stabilita dal governo federale degli Stati Uniti, che classifica il ransomware come una minaccia alla sicurezza nazionale, sottolineando la necessità di dare priorità alle misure di mitigazione e di prevenzione per proteggersi da queste minacce continue.

Deepen Desai, Ciso e vice president of Security Research di Zscaler
Deepen Desai, Ciso e vice president Security Research di Zscaler

“Negli ultimi anni, la minaccia ransomware è diventata sempre più pericolosa – commenta Deepen Desai, Ciso e vice president Security Research di Zscalercon nuovi metodi come la doppia estorsione e gli attacchi Ddos che rendono facile per i criminali informatici sabotare le aziende e causare danni a lungo termine alla loro reputazione“. Il team Zscaler inoltre prevede che gli attacchi ransomware diventeranno sempre più mirati, concentrandosi sulle aziende che con più probabilità soddisferanno le richieste di riscatto. Prosegue Desai: “Abbiamo analizzato i recenti attacchi ransomware in cui i criminali informatici erano a conoscenza di informazioni riservate come la copertura assicurativa informatica delle vittime e di quali fossero i fornitori essenziali della supply chain, che sono poi stati presi di mira per i loro attacchi. È fondamentale per le aziende comprendere meglio i rischi posti dal ransomware affinché possano prendere le dovute precauzioni per evitare un attacco”.

Applicare sempre le patch alle vulnerabilità, educare i dipendenti a individuare le email sospette, eseguire regolarmente il backup dei dati, implementare una strategia di prevenzione della perdita di dati e utilizzare l’architettura zero trust per ridurre al minimo la superficie di attacco e prevenire i movimenti laterali, sono quindi i suggerimenti da mettere in pratica, secondo Zscaler

Entrando nei dettagli dell’analisi del report, Zscaler ha individuato 7 famiglie di ransomware più attive rispetto alle altre. Riportiamo una sintesi dell’analisi per ognuna di esse.

  • Maze/EgregorDal 2019 è stato il ransomware più comunemente usato per attacchi a doppia estorsione (con ben 273 incidenti), da novembre 2020 sembra non mietere più vittime. Gli aggressori hanno usato campagne spam, kit exploit come Fallout e Spelevo e violazione dei servizi Rdp per ottenere l’accesso ai sistemi e le tre principali industrie prese di mira da Maze sono state l’high-tech (11,9%), il manifatturiero (10,7%) e i servizi (9,6%). Risparmiando invece le aziende sanitarie durante la pandemia di Covid-19.
  • Conti – Individuato per la prima volta nel febbraio 2020 è la seconda famiglia più comune con 190 attacchi. Condivide il codice con il ransomware Ryuk e sembra esserne il suo successore. Utilizza l’Api di gestione del riavvio di Windows prima di crittografare i file, cifrandone in questo modo un numero maggiore per il suo approccio a doppia estorsione. Le vittime che non vogliono o non sono in grado di pagare il riscatto vedono i loro dati regolarmente pubblicati sul data leak website di Conti. I tre settori più colpiti sono il manifatturiero (12,4%), i servizi (9,6%) e i servizi di trasporto (9,0%).
  • Doppelpaymer Osservato per la prima volta nel luglio 2019, conta 153 attacchi documentati. Doppelpaymer prende di mira diversi settori e spesso richiede pagamenti elevatissimi. Il primo passo dell’attacco consiste nell’infettare i computer con un’email di spam che contiene un link o un allegato dannoso, grazie alla quale Doppelpaymer scarica poi il malware Emotet e Dridex nei sistemi infetti. I tre settori aziendali più colpiti: il manifatturiero (15,1%), la vendita al dettaglio e all’ingrosso (9,9%) e la PA (8,6%).
  • Sodinokibi – Noto anche come Revil e Sodin, Sodinokibi è stato individuato per la prima volta nell’aprile 2019, annovera circa 125 attacchi. Simile a Maze, Sodinokibi utilizza email di spam, kit di exploit e account Rdp compromessi, oltre a sfruttare frequentemente le vulnerabilità in Oracle Weblogic. Sodinokibi ha iniziato a usare tattiche di doppia estorsione nel gennaio 2020 e ha avuto maggiore impatto sul settore dei trasporti (11,4%), manifatturiero (11,4%) e vendita al dettaglio/all’ingrosso (10,6%).
  • Darkside – Individuato per la prima volta nell’agosto 2020 dopo la pubblicazione di un comunicato stampa in cui pubblicizzava i suoi servizi. Utilizzando un modello di ransomware As-a-Service. Il gruppo ha reso noto il suo manifesto d’azione pubblicandolo sul proprio sito Web, specificando di non attaccare aziende sanitarie, servizi funebri, strutture educative, organizzazioni non-profit o enti governativi. Rientrano invece tra i suoi obiettivi primari i servizi (16,7%), la produzione (13,9%) e i servizi di trasporto (13,9%). Le aziende che non possono pagare il riscatto vedono i loro dati pubblicati sul data leak website di Darkside.
Attacchi ransomware a doppia estorsione per categoria di industry
Attacchi ransomware a doppia estorsione per categoria di industry (fonte: Zscaler)

Complessivamente, i settori più colpiti risultano nell’ordine il manifatturiero (12.7%), i servizi (8.9%), i trasporti (8.8%), la vendita al dettaglio e all’ingrosso (8.3%), il settore tecnologico (8%) e le costruzioni (5,8%).

© RIPRODUZIONE RISERVATA

Condividi l'articolo:

ARTICOLI CORRELATIWHITEPAPER CORRELATIALTRO DALL'AUTORE