l ransomware è sempre esistito ed è in continua evoluzione. Tuttavia, gli attacchi massicci di ransomware sono apparsi meno frequentemente rispetto agli anni precedenti, poiché gli aggressori si sono spostati verso attacchi mirati. Ondrej Kubovic, Security Awareness Specialist di ESET, presenta questa visione in dettaglio.
Attacchi più mirati
In passato, campagne massicce come WannaCry finivano nelle caselle di posta elettronica delle persone. Ora, tali attacchi si verificano solo eccezionalmente. "La nostra telemetria mostra che il numero di campagne e-mail a diffusione massiccia che distribuiscono ransomware è diminuito", spiega Kubovic.
Ci sono anche altre notizie positive: sempre più creatori e operatori di ransomware vengono rintracciati e puniti. Nel 2021, Darkside ha criptato i dati di Colonial Pipeline, spingendo l'amministrazione della Casa Bianca e le forze dell'ordine statunitensi a concentrarsi maggiormente su questo problema e ad aumentare la cooperazione internazionale per contrastare il ransomware.
Come spiega Ondrej Kubovic, "le forze dell'ordine internazionali hanno trovato il modo di tracciare i criminali informatici e le loro attività, di infiltrarsi nelle loro infrastrutture e, in alcuni casi, di arrestare gli affiliati e i membri principali delle bande di ransomware, limitando così il numero di attacchi. In alcuni casi, le autorità hanno ottenuto le chiavi di cifratura che hanno permesso alle vittime di decifrare i loro dati".
Sempre più membri di bande di criminali informatici vengono incriminati. Talvolta sono trapelate informazioni preziose sulle operazioni di questi gruppi, di solito da parte di infiltrati o sabotatori interni, come nei casi di Conti e Yanluowang. Questo avvalora la crescente idea che la criminalità organizzata digitale non sia più inviolabile. "I dati trapelati dimostrano che questi gruppi funzionano in modo simile alle normali aziende, con vertici e quadri, dipartimenti di sviluppo, test e supporto, e persino dipartimenti per le risorse umane", sottolinea Ondrej Kubovic.
Come la polizia ha violato gli hacker
All'inizio del 2023, il Dipartimento di Giustizia degli Stati Uniti ha smantellato il gruppo di ransomware Hive. Per diversi mesi, la polizia ha analizzato i sistemi e il funzionamento del gruppo, raccogliendo chiavi di decrittazione che sono state poi distribuite a circa 1300 vittime. Secondo le stime del Dipartimento di Giustizia degli Stati Uniti, sono stati evitati danni per un valore di circa 130 miliardi di dollari: questa è la cifra che il gruppo Hive chiedeva alle vittime. "Anche se non è possibile aiutare tutte le vittime, il numero di autori puniti e i casi di recupero dei dati sono in aumento", afferma Ondrej Kubovic.
Il ransomware non deve essere sottovalutato. Gli aggressori sono passati maggiormente ad attacchi mirati. Scelgono una vittima, ad esempio una piccola impresa, in base ai risultati economici previsti: un profitto più elevato significa che l'azienda potrebbe essere più propensa a pagare il riscatto. "Spesso i criminali informatici scelgono un settore interessante o critico. In questi settori è fondamentale ripristinare il prima possibile le operazioni aziendali in caso di interruzione e, in alcuni casi, la soluzione più rapida è pagare quanto richiesto dall'aggressore, anche se non è consigliabile pagare perché non c'è alcuna garanzia di riavere i propri dati", aggiunge Kubovic.
Come scelgono gli aggressori le loro vittime?
I criminali informatici cercano nuove vulnerabilità che vengono segnalate pubblicamente per analizzarle. Successivamente, scansionano Internet alla ricerca di sistemi vulnerabili e cercano di identificare le aziende che li gestiscono. Da questo pool, selezionano gli obiettivi in base al mix più interessante di probabili guadagni economici e accesso a dati potenzialmente preziosi o critici per l'azienda. In genere seguono le violazioni delle reti selezionate, il furto di dati, la crittografia e l'estorsione.
Se le bande di ransomware compromettono piccole aziende che fanno parte di una catena di fornitura interessante, questo può essere sfruttato per ottenere l'accesso ad altre aziende e sistemi. Ad esempio, infestando un fornitore di servizi web, i criminali informatici potrebbero essere in grado di accedere ai clienti e ai loro siti web. "Anche i fornitori di sicurezza gestita (MSP) sono bersagli comuni, poiché dispongono di un ampio accesso e di autorizzazioni nei sistemi dei loro clienti. Se l'aggressore compromette un MSP, può arrivare a compromettere decine, se non centinaia, di clienti allo stesso tempo. La cattiva notizia è che gli attacchi alla catena di fornitura sono in aumento", afferma Kubovic.
In un attacco, 1500 aziende colpite
Nel 2021, l'azienda tecnologica aziendale Kaseya ha subito una violazione che ha preso di mira il suo software di gestione dei dispositivi remoti. Gli aggressori lo hanno utilizzato per diffondere un ransomware. Sono stati colpiti circa 60 dei suoi clienti e 1500 aziende a valle. "Sembra che gli aggressori abbiano condotto un attacco ransomware a catena sfruttando una vulnerabilità nel software VSA di Kaseya contro diversi fornitori di servizi gestiti (MSP) e i loro clienti", ha dichiarato ZDNet. Alla fine, Kaseya ha ottenuto le chiavi di decrittazione da una fonte affidabile, che poi si è rivelata essere l'FBI, che si era infiltrata nei sistemi del gruppo REvil.
Cercate altri esempi di attacchi alla catena di approvvigionamento? Conoscete 3CX, SolarWinds e NotPetya. C'è molto da imparare da loro.
Quali sono quindi gli elementi chiave da prendere in considerazione per la vostra azienda? Ricordate che le aziende con catene di fornitura interessanti, come gli MSP, sono bersagli popolari degli attacchi ransomware. Inoltre, poiché gli attacchi sono diventati più mirati, assicuratevi che il vostro software e i vostri sistemi operativi siano patchati il prima possibile, utilizzate una soluzione di sicurezza multilivello per rilevare e bloccare un attacco e istruite i vostri dipendenti a identificare il social engineering. Inoltre, non dimenticate di eseguire il backup dei dati e di predisporre una strategia di disaster recovery. Imparate e proteggete la vostra azienda in modo efficace. Anche i piccoli passi sono importanti.