skip to Main Content

Cybercrime, chi sono i gruppi ransomware e come agiscono

Yoroi: I ransomware continuano a essere una delle principali minacce alla cybersecurity delle organizzazioni. Ma chi c’è dietro e come agisce?

Gli attacchi di tipo ransomware sono oggi una delle principali minacce alla cybersecurity, che ogni organizzazione è costretta ad affrontare. Ma chi c’è dietro e perché? Inoltre, come agiscono i gruppi del cybercrime, specializzati nel diffondere questi malware? Yoroi ha realizzato uno studio in cui si evidenziano i metodi e la composizione delle formazioni più attive: da Maze a REvil/Sodinokibi, passando per Ryuk, Conti, NetWalker ed altri. Il rapporto, che prende in esame il periodo tra il 2014 e il 2021, affronta anche il tema della “Double Extortion” e traccia un’analisi dei settori più colpiti dagli attacchi cibernetici, da cui si evince che finora – oltre ai governi e alle istituzioni – la Salute (healthcare) è quella maggiormente presa di mira.

Come sono organizzati i gruppi del cybercrime

Gli esperti di cybersecurity rilevano che i gruppi ransomware agiscono come delle imprese legittime. Al loro interno, infatti, hanno i seguenti profili:

  • I veterani del gruppo che rappresentano il consiglio di amministrazione del gruppo;
  • Il gruppo di sviluppatori altamente specializzati nel produrre malware e strumenti di supporto per compiere gli attacchi;
  • Esperti penetration tester e red-teamer che compiono le operazioni di intrusione avanzata all’interno delle organizzazioni bersaglio;
  • I contabili che sono addetti al riciclaggio del denaro, e particolarmente nel mixing di bitcoin;
  • I recruiter che cercano di attrarre persone all’interno del circuito;
  • Gli esperti di negoziazione utilizzati per trattare con le vittime e gli eventuali consulenti e agenti di giustizia in modo da estorcere efficacemente i pagamenti;
  • Gli esperti di marketing focalizzati a posizionare il brand all’interno della comunità.

L’evoluzione delle campagne ransomware

Per Yoroi, inoltre, c’è stata un’evoluzione dei metodi di estorsione con i ransomware, soprattutto a partire dal 2019. Dalle tradizionali richieste di riscatto per dissequestrare i file presi in ostaggio, infatti, si è passati alle double extortion e al furto di informazioni critiche, fino ad arrivare al “public shaming”. Parallelamente, per aumentare i profitti e ridurre i rischi di essere individuati e perseguiti, gli attori del cybercrime hanno cominciato a sviluppare e diffondere velocemente applicazioni di Ransomware-as-a-service (RaaS). Allo stesso tempo, però, hanno continuato il processo di sviluppo offensivo (Weaponization) della propria tecnologia, con l’obiettivo di scovare e sfruttare nuove vulnerabilità, specialmente zero-day. In questo contesto, è frequente il ricorso ad “access brokers” per acquisire gli ingressi alle organizzazioni da attaccare.

Back To Top