Ransomware: tendenze comuni ed evoluzioni

Payload multistadio, scelta accurata delle vittime e punti di ingresso sono alcuni degli elementi che accomunano gli attacchi ransomware di oggi. Ecco l'analisi.

Business Vulnerabilità
L'evoluzione del ransomware è al centro di un lavoro dei ricercatori di sicurezza di Proofpoint Threat Research, che hanno analizzato gli attacchi ransomware di alto profilo dello scorso anno e hanno osservato diverse tendenze comuni. L'analisi che ne segue è importante perché, a parte il numero delle vittime, dei riscatti e dei danni arrecati, permette di fare il punto sugli elementi su cui si basa l'attività oggi più importante: la prevenzione.

Posto che ogni attacco ransomware è unico, mirato contro target ben precisi, ci sono degli elementi comuni. Il primo è la collaborazione tra gli ecosistemi cybercriminali. È lo spartiacque fra il passato e il presente. Fra i piccoli attacchi in ordine sparso che costituivano un problema solo per le vittime; e una condivisione di strategie, armi e persone, che di fatto ha portato i crimini informatici a diventare un problema di sicurezza nazionale.

Non è un caso che a seguito della tempesta di attacchi piovuta durante la pandemia, Interpol, FBI, DOJ e tutti i Paesi partecipanti al G7 abbiamo compreso che serve un'azione globale unita per una lotta efficace contro il ransomware.
europe
Un altro cambiamento che si potrebbe definire epocale è di natura tecnica. In passato esistevano solo gli attacchi ransomware a fase singola: in un colpo solo crittografava una singola macchina. I criminali informatici chiedevano piccoli riscatti per ripristinare l'accesso ai dati.

Il ransomware oggi


Oggi tutti gli attacchi ransomware sfruttano elaborati payload multistadio. Crittografano tutti i sistemi di un'azienda nello stesso momento e portano a richieste di riscatto anche milionarie. Criminali specializzati nell'accesso iniziale, i broker, compromettono le vittime con il payload iniziale, che è un downloader malware come The Trick (noto anche come Trickbot), Dridex o Buer Loader. I broker a loro volta vendono il loro accesso agli operatori di ransomware. Fra i loro clienti ci sono anche i gruppi APT.  

Un altro elemento comune che si è evoluto è la scelta della vittima. Un tempo vigeva il modello automatizzato "spray and pray": si scatenava l'attacco, sperando di colpire una vittima danarosa disposta a pagare. Oggi gli operatori ransomware spesso conducono attività di sorveglianza per identificare obiettivi di alto valore. E per determinare quali macchine siano più vulnerabili e chi è più propenso a pagare un riscatto.

Il motivo è nel passaggio precedente. Orchestrare un attacco ransomware è costoso: diverse persone lavorano agli strumenti per l'ingresso in rete, sviluppano soluzioni per la distribuzione dei payload, per i movimenti laterali, per l'offuscamento, per il furto di dati, per la contrattazione del riscatto. Nel caso dei RaaS c'è poi una ripartizione del bottino fra sviluppatori e affiliati. Tutti devono guadagnare, perché il cybercrime è fondato sul profitto. Capita di rimanere con un pugno di mosche, ma bisogna fare di tutto affinché non accada.
proofpoint 2Da qui la sorveglianza e agli attacchi mirati, che sono l'altro comune denominatore. La caccia grossa, o la pesca a strascico come si chiamavano un tempo, hanno fatto il loro tempo. Oggi gli attaccanti danno meno peso al volume e più importanza all'efficacia. Mirano i mercati più grandi e promettenti, in particolare quelli che hanno implicazioni critiche nel caso di interruzioni del business per periodi prolungati. 

I classici esempi di questo sono l'azione contro Colonial Pipeline e JBS. La prima ha generato il panico tra i cittadini statunitensi che hanno svuotato gran parte delle stazioni di servizio in tutto il sud-est. Quella contro la società di lavorazione della carne JBS ha scatenato i timori di una carenza di fornitura di carne bovina nazionale.

I punti di ingresso


La pandemia ha appiattito la scelta di punti di ingresso nelle reti. In precedenza il mercato era diversificato. Oggi, grazie alla diffusione dello smart working è giocofacile bersagliare il protocollo RDP e le VPN per fare breccia nelle reti aziendali.

Gli exploit zero day (molto costosi) sono ancora usati dai gruppi più danarosi e avanzati e dagli APT. Gli altri arrivano in scia o sfruttano le vecchie vulnerabilità ormai chiuse, approfittando dell'ampia platea di aziende e istituzioni perennemente in ritardo con il patching.
proofpointLa parte del leone in ambito vulnerabilità resta però appannaggio degli utenti finali, che continuano ad abboccare ai messaggi di phishing: un clic su un'email o su un link malevolo può sfociare in un arresto completo delle attività fino al pagamento di un riscatto.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale sicurezza mobile

Speciale

Proteggere il nuovo smart working

Speciale

Sicurezza cloud native

Speciale

Backup e protezione dei dati

Speciale

Speciale video sorveglianza

Calendario Tutto

Set 30
Webinar Kaspersky - Guai con i ransomware? Volete essere flessibili ma al riparo da attacchi informatici?
Ott 05
VMworld 5-7 ottobre 2021
Ott 12
Webinar Zyxel - Uffici “ibridi” e modalità di lavoro “fluida"

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori