L'evoluzione degli attacchi ransomware
La teoria alla base del ransomware è abbastanza semplice e non varia molto da una variante di ransomware all'altra. Tuttavia, le modalità specifiche di utilizzo del ransomware da parte dei criminali informatici possono essere molto diverse a seconda dei gruppi e delle campagne di attacco, e si sono evolute in modo significativo negli ultimi anni.
Attacchi ransomware nel 2021
Secondo Checkpoint Research, il numero di organizzazioni impattate dal ransomware a livello globale è più che raddoppiato nella prima metà del 2021 rispetto al 2020, e i settori della sanità e delle utility sono i più bersagliati dall'inizio di aprile 2021.
Il successo della doppia estorsione nel 2020 è stato evidente, soprattutto dopo lo scoppio della pandemia Covid-19. Anche se non tutti i casi - e i loro esiti - sono riportati e pubblicizzati, le statistiche raccolte tra il 2020 e il 2021 illustrano l'importanza del vettore di aggressione. Il prezzo medio del riscatto è aumentato del 171% nell'ultimo anno, fino a quasi 310.000 dollari.
Gli attacchi ransomware che hanno avuto luogo alla fine del 2020 e all'inizio del 2021 indicano una nuova catena di attacchi, essenzialmente un ampliamento dell'approccio a doppia estorsione ransomware, che incorpora una minaccia aggiuntiva e unica al processo: un attacco a tripla estorsione.
Attacchi famosi nel 2021 - hack di Microsoft Exchange, rete Colonial Pipeline, Città di Tulsa, JBS Meat Company, Fujifilm
Attacchi ransomware nel 2020
Alla fine del 2019 e all'inizio del 2020, è emersa una nuova tendenza negli attacchi ransomware. Invece di limitarsi a criptare i file della vittima, gli autori di ransomware hanno iniziato a rubare anche i dati sensibili dei loro obiettivi. Le varianti di ransomware che rubano i dati degli utenti includono Ako, CL0P, DoppelPaymer, Maze, Pysa, Nefilim, Nemty, Netwalker, Ragnarlocker, REvil, Sekhmet e Snatch.
Questa mossa è stata fatta in risposta alle organizzazioni che si sono rifiutate di pagare le richieste di riscatto dopo essere state vittime di un'infezione ransomware. Sebbene il costo della riparazione di un attacco ransomware sia spesso superiore al riscatto richiesto, la best practice impone di non pagare i riscatti, poiché consentono ai criminali informatici di continuare le loro operazioni e di eseguire ulteriori attacchi.
Rubando i dati dai computer infetti prima di criptarli, gli operatori di ransomware potrebbero minacciare di esporre questi dati se la vittima si rifiuta di pagare il riscatto. A seconda del tipo di dati raccolti e trapelati, questo potrebbe far perdere all'organizzazione un vantaggio competitivo sul mercato o incorrere nelle leggi sulla protezione dei dati, come il Regolamento generale sulla protezione dei dati (GDPR), per la mancata protezione dei dati dei clienti che le sono stati affidati.
Attacchi ransomware nel 2019
Il 2019 è stato famoso come l'anno in cui gli operatori di ransomware hanno spostato la loro attenzione sulle istituzioni critiche. Solo nei primi tre trimestri del 2019, oltre 621 ospedali, scuole e città negli Stati Uniti sono stati vittime di attacchi ransomware da parte di Ryuk e altre varianti di ransomware. Questi attacchi hanno avuto un prezzo stimato in centinaia di milioni di dollari e hanno fatto sì che le città non potessero fornire servizi ai loro residenti e che gli ospedali fossero costretti a cancellare procedure non essenziali per fornire cure critiche ai pazienti.
Questo nuovo approccio al ransomware ha sfruttato l'importanza dei servizi che queste organizzazioni forniscono. A differenza di alcune aziende, che potevano sopportare operazioni degradate mentre si riprendevano da un attacco, le città, le scuole e gli ospedali avevano bisogno di ripristinare le operazioni il più rapidamente possibile e spesso avevano accesso a fondi di emergenza. Di conseguenza, gli attacchi ransomware contro queste organizzazioni hanno spesso avuto successo e continuano a verificarsi.
1. Ryuk - Gennaio 2019
A differenza della maggior parte degli attacchi ransomware che prendono di mira individui e aziende a caso, il ransomware Ryuk è stato un attacco altamente mirato. I cybercriminali dietro questa operazione hanno preso di mira le vittime le cui attività sarebbero state fortemente danneggiate anche da un piccolo tempo di inattività.
Ryuk è stato progettato per criptare i server aziendali e interrompere l'attività fino al pagamento del riscatto, piuttosto che rubare o compromettere i dati di un individuo.
Obiettivi di Ryuk
Tra le vittime prese di mira ci sono i giornali, tra cui tutti i quotidiani Tribune, e un'azienda di servizi idrici in North Carolina. I giornali interessati hanno dovuto produrre una versione ridotta del notiziario quotidiano che non includeva gli annunci a pagamento.
I dettagli
Ryuk ha infettato i sistemi attraverso un malware chiamato TrickBot e un software di desktop remoto. Dopo aver bloccato l'accesso ai server, Ryuk ha chiesto tra i 15-50 Bitcoin, pari a circa 100.000-500.000 dollari.
Oltre a disabilitare i server, infettare gli endpoint e criptare i backup, Ryuk ha disabilitato l'opzione di ripristino del sistema di Windows OS per impedire alle vittime di recuperare dall'attacco.
Quando il malware è stato scoperto, sono state create delle patch per contrastare l'attacco, ma non hanno funzionato. Nel momento in cui i server sono tornati online, Ryuk ha iniziato a reinfettare l'intera rete di server.
Gli esperti di McAfee sospettano che Ryuk sia stato costruito utilizzando un codice proveniente da un gruppo di hacker nordcoreani che si fanno chiamare Lazarus Group. Tuttavia, il ransomware richiedeva che la lingua del computer fosse impostata su russo, bielorusso o ucraino per poter essere eseguito.
2. PureLocker - attivo dal 2020
Come Ryuk, PureLocker è stato progettato per criptare interi server e chiedere un riscatto per ripristinare l'accesso. Il malware è stato specificamente progettato per non essere individuato, nascondendo il suo comportamento dannoso in ambienti sandbox e imitando le funzioni normali. Si cancella anche dopo l'esecuzione del codice maligno.
Gli obiettivi di PureLocker
PureLocker ha preso di mira i server di grandi aziende che gli aggressori ritenevano avrebbero pagato un riscatto elevato.
I dettagli
Dopo un'analisi approfondita, i ricercatori crittografici di Intezer e IBM X-Force hanno chiamato questo ransomware PureLocker perché è scritto nel linguaggio di programmazione PureBasic.
Scrivere malware in PureBasic è insolito, ma ha dato agli aggressori un serio vantaggio: è difficile rilevare il software dannoso scritto in PureBasic. I programmi PureBasic sono anche facilmente utilizzabili su diverse piattaforme.
PureLocker viene ancora eseguito da grandi organizzazioni criminali informatiche. Gli esperti ritengono che PureLocker venga venduto come servizio alle organizzazioni criminali informatiche che hanno le conoscenze necessarie per prendere di mira le grandi aziende. Stranamente, il ransomware-as-a-service (RaaS) è ora una "cosa".
Gli esperti di cybersicurezza non sono sicuri di come PureLocker sia entrato nei server; l'adozione di un approccio zero-trust alla sicurezza della rete è il modo migliore per proteggersi dalle minacce sconosciute.
3. REvil/ Sodinokibi - Aprile 2019
REvil è un malware di un ceppo chiamato GandCrab che non viene eseguito in Russia, Siria o altri Paesi vicini. Questo indica che la sua origine è di quell'area.
Come PureLocker, si ritiene che REvil sia un ransomware-as-a-service e gli esperti di sicurezza hanno affermato che si tratta di uno dei peggiori casi di ransomware visti nel 2019.
Perché REvil è così cattivo? Con la maggior parte degli attacchi ransomware, le persone possono ignorare la richiesta di riscatto e tagliare le perdite. Tuttavia, i responsabili dell'attacco hanno minacciato di pubblicare e vendere i dati riservati che hanno crittografato se non fosse stato pagato il riscatto.
Obiettivi di REvil
Nel settembre 2019, REvil ha chiuso almeno 22 piccole città in Texas. Tre mesi dopo, a Capodanno, REvil ha chiuso Travelex - un fornitore di cambio valuta del Regno Unito.
Quando Travelex è fallita, gli scambi aeroportuali hanno dovuto ricorrere alla vecchia scuola e creare registri cartacei per documentare gli scambi. I criminali informatici hanno chiesto un riscatto di 6 milioni di dollari, ma Travelex non ha confermato né smentito di aver pagato questa somma.
I dettagli
REvil sfrutta le vulnerabilità dei server Oracle WebLogic e di Pulse Connect Secure VPN.
4. Contea di Jefferson, Georgia - 1 marzo 2019
Il 1° marzo 2019, un ransomware ha attaccato il centro di smistamento 911 della Contea di Jefferson, mettendolo offline. I membri del personale del carcere della contea hanno anche perso la capacità di aprire le porte delle celle da remoto, e gli agenti di polizia non hanno più potuto recuperare i dati delle targhe dai loro computer portatili.
Senza un sistema 911 funzionante, l'intera città è rimasta vulnerabile agli effetti secondari di questo attacco ransomware. I dispacciatori non hanno avuto accesso ai computer per due settimane.
Anche il sistema di videoconferenza che permetteva ai detenuti di collegarsi con i familiari è andato in tilt. Le guardie dovevano accompagnare i detenuti alle visite dei familiari di persona, il che aumentava il rischio per la loro sicurezza.
La città ha pagato il riscatto di 400.000 dollari ed è stata in grado di ripristinare i propri sistemi.
5. RobinHood - 2019
Il 10 aprile 2019, la città di Greenville, NC, è stata attaccata da un ransomware chiamato RobinHood. Quando la maggior parte dei server della città è andata offline, il team IT della città ha messo offline i server rimanenti per mitigare i danni.
Questo attacco non era la prima volta che RobinHood faceva il suo giro. Nel maggio 2019, la città di Baltimora è stata colpita duramente. La città ha dovuto spendere più di 10 milioni di dollari per riprendersi da un attacco di RobinHood. Sebbene il riscatto sia stato di soli 76.000 dollari, il recupero dei dati è costato alla città 4,6 milioni di dollari e tutti i sistemi della città non hanno funzionato per un mese. La città ha subito danni per 18 milioni di dollari.
Attacchi ransomware nel 2018
Nel 2018, il ransomware è diminuito di popolarità a causa dell'aumento del valore delle criptovalute, che ha portato a un'impennata del cryptojacking. Il malware Cryptojacking è progettato per infettare un computer di destinazione e utilizzarlo per eseguire i passaggi pesanti dal punto di vista computazionale necessari per "minare" Bitcoin e altre criptovalute Proof of Work (PoW) e ricevere le ricompense associate alla ricerca di un blocco valido.
Tuttavia, questo non significa che il ransomware sia stato completamente inattivo nel 2018. Nell'agosto 2018, il ransomware Ryuk (una delle principali minacce ransomware di oggi) è stato scoperto per la prima volta "in the wild". La comparsa di Ryuk fa parte di un cambiamento nel modo in cui gli operatori di ransomware fanno soldi. Gli attacchi come WannaCry hanno privilegiato la quantità rispetto alla qualità, attaccando il maggior numero possibile di vittime e chiedendo a ciascuna un piccolo riscatto. Tuttavia, questo approccio non era sempre redditizio, in quanto la persona media non aveva il know-how per pagare un riscatto in criptovaluta. Di conseguenza, gli operatori di ransomware hanno dovuto fornire una quantità significativa di "servizio clienti" per ottenere i pagamenti.
Nel 2018 e oltre, gli operatori di ransomware sono diventati più selettivi nella scelta degli obiettivi. Attaccando aziende specifiche, i criminali informatici potrebbero aumentare la probabilità che i dati criptati dal loro malware siano preziosi e che il loro obiettivo sia in grado di pagare il riscatto. Questo ha permesso agli operatori di ransomware di chiedere un prezzo più alto per vittima, con la ragionevole aspettativa di essere pagati.
Attacchi ransomware nel 2017
Il 2017 è stato l'anno in cui il ransomware è entrato veramente nella consapevolezza pubblica. Sebbene il ransomware esista da decenni, gli attacchi WannaCry e NotPetya del 2017 hanno reso questo tipo di malware un nome familiare. Queste varianti di ransomware hanno anche ispirato altri criminali informatici e autori di malware a entrare nello spazio dei ransomware.
WannaCry è un worm ransomware che utilizza l'exploit EternalBlue, sviluppato dall'NSA, per diffondersi da computer a computer. Nell'arco di tre giorni, WannaCry è riuscito a infettare oltre 200.000 computer e a provocare danni miliardari, prima che l'attacco venisse interrotto da un ricercatore di sicurezza che ha preso di mira il suo "kill switch" integrato.
NotPetya è un esempio di una famosa variante che in realtà non è affatto un ransomware, ma piuttosto un malware wiper che si maschera da ransomware. Mentre chiedeva il pagamento del riscatto alle sue vittime, il codice del malware non aveva modo di fornire agli operatori del malware una chiave di decrittazione. Non avendo la chiave, non potevano fornirla alle loro vittime, rendendo impossibile il recupero dei file crittografati.
Protezione contro ransomware
Il ransomware ha dimostrato di essere uno strumento estremamente efficace per i criminali informatici. La perdita di accesso ai propri dati ha motivato molte organizzazioni a pagare grandi riscatti per recuperarli. Il successo del ransomware significa che è improbabile che sparisca come minaccia alla sicurezza informatica delle organizzazioni. Per proteggersi da questo malware dannoso, è necessario che deployment utilizzi una soluzione anti-ransomware specializzata.
Feedback