skip to Main Content

Cybercrime, con la tripla estorsione i ransomware sono sempre più pericolosi

di Pierguido Iezzi

I ransomware sono sempre più la minaccia principale nel mondo della cybersecurity

I ransomware sono sempre di più “la minaccia” nel panorama attuale di cybersecurity. Le tattiche, tecniche e procedure (TTPs) utilizzate dal cybercrime hanno raggiunto una complessità mai vista prima d’ora. A braccetto con tale crescita si registra inoltre una difficoltà sempre maggiore nel proteggere le reti da attacchi devastanti, come quello recente di DarkSide verso l’oleodotto Colonial Pipeline. Dai primi attacchi con questi malware i cyber criminali si sono evoluti, adottando nuove tecniche offensive. Parallelamente sono cambiati anche gli obbiettivi. Mentre all’inizio erano solo le aziende a finire nel mirino dei Criminal Hacker, ora sono diventati bersaglio anche terze parti, come le agenzie governative e le strutture ospedaliere.  Dal momento che molte vittime decidevano di ignorare le richieste dei criminali e di non pagare il riscatto, questi si sono visti costretti a sviluppare nuove tecniche per infettare un numero sempre maggiore di dispositivi. Invece di utilizzare i messaggi spam e sperare (o tentare di convincere) che il destinatario innescasse il malware, hanno iniziato a far leva su vulnerabilità note presenti nel sistema informatico dell’obiettivo.

Da WannaCry a DopplePaymer e Maze

Un esempio lampante è l’attacco ransomware WannaCry del 2017 che ha colpito macchine, funzionanti tramite sistema operativo Windows, attraverso una vulnerabilità del protocollo SMB. Il bug ha permesso ai criminali di infettare il sistema informatico e muoversi al suo interno, raggiungendo così più di 200.000 computer a livello globale. In seguito al tentativo riuscito di alcune vittime nel contrastare tali attacchi, tramite misure di prevenzione e formazione, i criminali hanno iniziato a sviluppare nuove tattiche per mettere le aziende sotto pressione e convincerle a pagare il riscatto.  I pionieri dei nuovi attacchi furono i gruppi criminali DopplePaymer e Maze che, dopo aver criptato ed esfiltrato i dati della vittima, hanno puntato sul fattore psicologico e reputazionale per spingere le vittime a pagare. Nel caso, infatti, in cui la vittima decida di non pagare il riscatto subito, poiché protetta da sistemi di backup, viene spinta a pagare con la minaccia che i dati sottratti verranno resi pubblici, danneggiando così non solo la brand awareness dell’azienda stessa ma anche i propri clienti.  Trattandosi in molti casi di informazioni sensibili, dall’alto valore economico e che possono danneggiare gli enti coinvolti o favorire la concorrenza, molte aziende coinvolte preferiscono pagare per evitare ulteriori guai. Nell’ultimo periodo questo approccio, denominato “a doppia estorsione”, è diventato sempre più frequente, vista anche la sua efficacia nel portare maggiori ritorni finanziari.

I gruppi del cybercrime specializzati in questo tipo di attacco malware sono una decina

Attualmente ci sono almeno una decina di gruppi criminali, specializzati nell’utilizzo di ransomware, che utilizzano questa tattica innovativa: fanno trapelare i dati sensibili delle vittime per dimostrare che le informazioni sono state effettivamente sottratte. Il rischio di potenziali effetti negativi per le aziende è amplificato nel momento in cui i media decidono di rendere pubblico il data leak, causando così danni irreparabili all’immagine del brand. Oltre alle problematiche ovvie, si pongono quindi nuove questioni anche a livello di etica giornalistica. Di esempio è il caso di un attacco ransomware che ha coinvolto un importante fornitore di Apple. Un giornalista, scrivendo un articolo che connetteva il data breach con alcuni dei dispositivi Apple in fase di lancio, ha indirettamente costretto la multinazionale a rafforzare la protezione della propria proprietà intellettuale. Il dubbio è legittimo: una testata giornalistica che dà risalto ad un attacco malware, è dalla parte della vittima o dell’organizzazione criminale?

Avaddon ha lanciato la “Tripla estorsione”

A peggiorare la situazione è il nuovo livello di estorsione implementato dal gruppo di cyber criminali Avaddon. In questo caso i dati sottratti non vengono solamente criptati ed esfiltrati ma, nel caso in cui l’azienda non risponda alla richiesta di riscatto iniziale, i criminali lanciano un attacco DDoS contro la rete informatica con l’obbiettivo di velocizzare le negoziazioni.  Come possono quindi le aziende muoversi dal lato della prevenzione per rendere meno pericolosi questi nuovi approcci estorsivi? Ad oggi non sembrano esserci soluzioni semplici. Visti i risultati recenti e il continuo aumento del giro d’affari legato alle estorsioni con ransomware, è lecito aspettarsi che gli attacchi si faranno sempre più brutali. Inizialmente una strategia di backup adeguata poteva proteggere le aziende dagli attacchi meno sofisticati ma l’esfiltrazione dei dati ha reso in larga misura inefficace questi mezzi.  Anche se la vittima potrebbe essere indifferente alla pubblicazione dei dati sottratti, potrà ancora esserlo davanti al rischio di un attacco DDoS? Seda un lato è importante che le aziende si preparino adeguatamente a questi rischi, è anche fondamentale continuare a sensibilizzare ogni livello aziendale tramite formazione mirata su quali rischi si possano correre.

Non abbassiamo la guardia!

Back To Top