Nel 2021 si sta registrando un boom di attacchi ransomware. Solo doubleextortion.com ne ha registrati oltre 400 nel primo trimestre dell’anno

I cyber attacchi ransomware nel 2021 hanno avuto un boom. Lo conferma l’ingegnere informatico ed esperto di cybersecurity di Yoroi Luca Mella, ideatore del sito web “doubleextortion.com”, che traccia un fenomeno sempre più in voga tra i gruppi del cybercrime che sfruttano questi tipi di malware: la doppia estorsione. “Da inizio anno gli attacchi sono in crescita – ha confermato il ricercatore a Difesa e Sicurezza -. Nel primo trimestre il progetto doubleextortion.com ne ha registrati circa 400. Purtroppo si tratta di una vista parziale perché, per varie ragioni, non tutte le vittime vengono riportate pubblicamente. Ragionevolmente potrebbero essere anche tre volte tante”.

I gruppi lavorano per ondate mirate ad interi settori, anche contro l’Italia, e prendono di mira il settore dell’healthcare

“Tuttavia, anche se quello che vediamo è la punta dell’iceberg – ha sottolineato Mella -, sono emersi degli aspetti di interesse: ad esempio ad aprile 2021 ci sono state una serie di attacchi ransomware concentrati sulle pubbliche amministrazioni, e in particolare ai comuni del nord Italia. Questo ci fa pensare che alcuni gruppi, ad esempio DoppelPaymer, lavorino per ondate mirate ad interi settori. Altra considerazione è sugli attacchi nell’healthcare: molti gruppi del cybercrime hanno preso di mira con successo ospedali, cliniche e laboratori. Senz’altro occorre porre attenzione alla sicurezza di queste aziende oggi importanti più che mai”.

L’attacco di Darkside alla Colonial Pipeline ha dimostrato quali effetti possano avere le aggressioni cyber sulla vita reale, obbligando la NSA a intervenire

Uno dei casi recenti più famosi di attacco ransomware, quello alla Colonial Pipeline, ha peraltro dimostrato quali effetti possano avere queste aggressioni nella vita reale. “Quello che è successo – ha sottolineato l’esperto di cybersecurity – è stato indicativo: ci è stato dimostrato che attacchi cyber possono realmente mettere in crisi interi stati sovrani, generando situazioni di panico nella società e necessità di interventi coordinati a un livello sovraordinato alle singole nazioni. L’attacco è stato talmente grave che il gruppo criminale che l’ha condotto, Darkside, ha subito azioni di contrasto direttamente dalla National Security Agency (NSA) USA, la quale in poco tempo è riuscita a smantellarne le operazioni. L’evento è stato notato anche dagli altri gruppi criminali che hanno cominciato a prendere accorgimenti per la selezione delle vittime, in modo da evitare conseguenze tanto gravi come quelle di Colonial Pipeline. Voglio essere franco: non è un atto di generosità, ma semplicemente vogliono continuare a trarre profitto dalle loro azioni criminali e quindi intendono evitare rischi di ritorsioni così devastanti”.

La risposta della NSA contro Darkside non è servita a fermare gli attacchi ransomware. I gruppi del cybercrime dietro alle offensive ora usano tecniche diverse per aumentare il pressing sulle vittime e i profitti

Nonostante la dura risposta della NSA contro Darkside, infatti, gli attacchi ransomware non sono cessati. Anzi, sono continuati “sfruttando il modello della doppia estorsione, che funziona – ha aggiunto Mella -. I gruppi criminali lo hanno capito bene e il volume degli attacchi cresce. Vari gruppi stanno sperimentando evoluzioni per aumentare la pressione sulle vittime, con l’intento di incrementare le chances del pagamento del riscatto. Ad esempio, Avaddon sta sistematicamente combinando il furto di dati con attacchi DoS, in grado di oscurare i siti web pubblici aziendali. Ciò in modo da far capire bene che l’azienda ha qualcosa che non va. Altri gruppi prendono contatto con la stampa locale per far si che le aziende ricevano attenzioni dai media. Sono situazioni delicate perché la comunicazione ‘di crisi’ richiede accortezze, pena effetti sul brand e fiducia degli stakeholder. Altri gruppi criminali come Cl0p, infine – ha concluso il ricercatore di cybersecurity di Yoroi – contattano direttamente i clienti dell’azienda colpita per fargli sapere che i loro dati verranno pubblicati se questa non collabora, spesso chiedendo loro di fare pressione sulla vittima”.