Vedi di più
| 27 de agosto de 2024

Analisi del Ransomware moderno e delle operazioni RaaS

Immagini di svegliarsi con uno schermo bloccato che chiede un riscatto in Bitcoin – i suoi dati in ostaggio.

Autore: SealPath

Condividi    

  • Immagini di svegliarsi con uno schermo bloccato che chiede un riscatto in Bitcoin – i suoi dati in ostaggio. Questo scenario da incubo è la triste realtà di oggi, con il ransomware che si sta evolvendo in una sofisticata piaga informatica. Come professionisti della cybersecurity, conosciamo da vicino la devastazione che provoca. Aziende paralizzate, tempi stressanti: nessuna organizzazione è immune. Immergiamoci nel mondo sotterraneo digitale del ransomware del 2024, impariamo come operano questi criminali informatici e armiamoci delle conoscenze necessarie per proteggerci.

1. Capire il ransomware nel 2024

Il ransomware, un software maligno progettato per bloccare l’accesso a un sistema informatico fino al pagamento di una somma di denaro, ha afflitto il mondo digitale per anni. Le sue origini risalgono alla fine degli anni ’80, ma solo a metà degli anni 2000 è diventato una minaccia importante. Nel 2024, il ransomware si è evoluto in un attacco altamente sofisticato, sfruttando strumenti di crittografia e anonimato per sfruttare individui e organizzazioni. Poiché continua ad adattarsi, la comprensione dei suoi meccanismi è fondamentale per una difesa efficace.

1.1 Evoluzione del ransomware nel 2024

  • 1989: Il Trojan AIDS – Considerato il primo ransomware, criptava i nomi dei file sul computer della vittima, richiedendo il pagamento per il recupero.
  • 2005-2006: Gpcode, TROJ.RANSOM.A, Archiveus – Primi esempi che crittografavano i file, mostrando un approccio più diretto per estorcere denaro agli utenti.
  • 2013: Cryptolocker – Un cambio di rotta nella storia del ransomware, Cryptolocker utilizzava metodi di crittografia forti che rendevano impossibile decifrare i file senza una chiave, diffondendosi attraverso gli allegati e-mail. Crittografia dei file su piccola scala, a livello individuale.
  • 2017: WannaCry – Famoso per aver sfruttato le vulnerabilità di Windows, ha colpito migliaia di computer in tutto il mondo, con significative interruzioni dei servizi sanitari. Gli attacchi mirati si sono concentrati sulle organizzazioni che dichiaravano di voler ripristinare le operazioni.
  • 2019: Maze – Non solo Maze criptava i file, ma rubava anche i dati, minacciando di rilasciarli a meno che non venisse pagato un riscatto, introducendo la doppia estorsione e l’uso di una tattica di fuga di notizie pubblica.
  • 2020-2021: REvil/Sodinokibi – Conosciuto per gli attacchi di alto profilo e per la richiesta di riscatti milionari, REvil ha colpito grandi aziende, sfruttando le vulnerabilità nelle catene di fornitura del software.
  • 2022-2023: LockBit – Un ransomware-as-a-service (RaaS) che consente agli affiliati di distribuire attacchi, sottolineando la tendenza alla commercializzazione del ransomware. LockBit automatizza l’esfiltrazione dei dati, aumentando la pressione sulle vittime.
  • 2024: Emersione del Ransomware guidato dall’AI – Gli attacchi Ransomware diventano più sofisticati con l’AI, personalizzando gli attacchi in base ai dati delle vittime, rendendo la prevenzione e la risposta più impegnative.

1.2 L’impatto del ransomware continua a crescere: Alcune statistiche

Vediamo il crescente impatto del Ransomware con alcune statistiche:

  • Nel 2023, gli incidenti di ransomware sono aumentati del 20%, con tentativi che hanno raggiunto l’incredibile cifra di 7,6 trilioni, come riportato dal Cyber Threat Report di SonicWall.
  • Gli attacchi globali di ransomware ammontano a 317,59 milioni di casi nel 2023, come registrato da Statista.
  • Uno schiacciante 83% delle persone prese di mira dal ransomware ha capitolato pagando gli aggressori e oltre il 50% ha pagato almeno 100.000 dollari, come documentato da Splunk.
  • La fascia di pagamento più comune nelle risoluzioni di ransomware è stata quella compresa tra 25.000 e 99.999 dollari, che rappresenta il 44% di tutti i pagamenti di questo tipo, secondo Splunk.
  • Le violazioni dei dati hanno raggiunto nuovi massimi finanziari nel 2023, con un costo medio dell’incidente record di 4,45 milioni di dollari, secondo gli approfondimenti di IBM.
  • Dal primo al secondo trimestre del 2023, il pagamento standard del riscatto è più che raddoppiato, passando da circa 328.000 dollari a oltre 740.000 dollari, come rilevato da Statista.
  • A seguito di attacchi ransomware, il 32% delle vittime non solo ha avuto i propri dati in ostaggio, ma ha anche subito un furto di dati, come registrato da Sophos.
  • Secondo Sophos, il 70% degli attacchi ransomware si è concluso con il criptaggio dei dati delle vittime da parte degli aggressori.
  • La richiesta di riscatto iniziale media è stata fissata a 2,0 milioni di dollari, come documentato da Sophos.
  • I costi associati al recupero dagli attacchi ransomware sono stati in media di 2,73 milioni di dollari, come registrato da Sophos.
  • Dal 1° trimestre 2023 al 1° trimestre 2024 è stata osservata un’impressionante espansione del 55% nei gruppi di ransomware attivi, passando da 29 a 45 gruppi distinti, come evidenziato nel Rapporto Ransomware Q1 2024 di GuidePoint Security .
  • In linea con l’aumento del 68% dei casi di ransomware nel 2023, c’è stato anche un aumento significativo del riscatto medio richiesto. LockBit ha probabilmente stabilito un record con una richiesta di 80 milioni di dollari dopo aver violato la Royal Mail, come dettagliato da Malwarebytes nel suo rapporto 2024 ThreatDown State of Malware.

2. Il ransomware oggi

Il 2024 ha visto anche l’avvento di varianti di ransomware più specializzate. I RansomOps rappresentano un approccio più intricato, che prevede campagne orchestrate che prendono di mira organizzazioni specifiche per ottenere la massima interruzione e il massimo guadagno finanziario. Un facilitatore critico della crescita di questo ecosistema è l’ascesa dei Broker di Accesso Iniziale (IAB), specializzati nella violazione e nell’infiltrazione nelle reti aziendali, per poi vendere questo accesso non autorizzato agli operatori di ransomware che fanno offerte elevate. Questa divisione del lavoro dimostra uno spostamento verso un’operazione più organizzata e di tipo commerciale tra i criminali informatici, che rispecchia le reti criminali tradizionali nella loro struttura ed efficienza.

Una tendenza significativa è la proliferazione del Ransomware-as-a-Service (RaaS), una preoccupante democratizzazione del crimine informatico. Questo modello consente anche a chi ha una competenza tecnica minima di lanciare attacchi ransomware, sfruttando l’infrastruttura, il software e il supporto forniti da hacker esperti, in cambio di una quota dei profitti del riscatto. La specializzazione e la segmentazione dei ruoli all’interno dell’ecosistema del ransomware, evidenziata dall’emergere di ruoli di esperti come gli IAB e dalla diffusione di piattaforme RaaS, evidenziaun cambiamento preoccupante. I criminali informatici non sono più lupi solitari o gruppi isolati, ma fanno parte di un’industria altamente organizzata e orientata ai servizi, che mira a massimizzare i profitti delle loro attività illecite con un livello di professionalità ed efficienza preoccupante.

3. Il modello RaaS

Come abbiamo sottolineato, questo modello è perfettamente organizzato e ogni agente all’interno della catena svolge ruoli specifici.

Diamo un’occhiata a ciascuno di essi:

  • Gruppi RaaS: Gli architetti del modello RaaS, queste entità progettano, sviluppano e mantengono il ransomware. Il loro ruolo è quello di innovare la creazione di software ransomware, assicurando che rimangano non violabili ed efficaci. Forniscono l’infrastruttura per le campagne di ransomware, compresi i portali di pagamento e i servizi di negoziazione. I gruppi RaaS commercializzano i loro servizi sul dark web, offrendo i loro strumenti agli affiliati in cambio di un compenso o di una parte del riscatto.
  • Broker di accesso iniziale (IAB): Si tratta di criminali informatici specializzati che si concentrano sull’accesso non autorizzato alle reti aziendali. Gli IAB utilizzano vari metodi, come lo sfruttamento delle vulnerabilità, gli attacchi di phishing o l’utilizzo di credenziali rubate per infiltrarsi nei sistemi. Una volta ottenuto l’accesso, lo vendono al miglior offerente sui mercati del dark web. I loro servizi sono fondamentali per i gruppi RaaS e gli affiliati che hanno bisogno di un punto di ingresso nella rete di un obiettivo.
  • Affiliati: I clienti o “affiliati” dei gruppi RaaS, noleggiano gli strumenti ransomware per lanciare gli attacchi. Gli affiliati sono responsabili della scelta degli obiettivi, dell’esecuzione dell’attacco ransomware e talvolta della gestione del processo di estorsione. In cambio dell’utilizzo della piattaforma RaaS, condividono una parte dei loro guadagni con i gruppi RaaS. Gli affiliati variano in termini di sofisticazione, da criminali informatici opportunisti a gruppi di criminalità organizzata.
  • Mercati del Dark Web: Le vetrine digitali del mondo del crimine informatico. Questi mercati operano nelle parti nascoste di Internet e offrono una varietà di beni e servizi illegali. Nell’ambito del RaaS, i mercati del dark web facilitano il commercio di credenziali rubate, servizi di broker di accesso, strumenti di hacking e le stesse piattaforme RaaS. Questi mercati sono la spina dorsale dell’ecosistema RaaS e mettono in contatto acquirenti e venditori in modo anonimo.
  • Ladri di credenziali: Specialisti nell’acquisizione di credenziali di accesso non autorizzate ad account e sistemi online. Questi individui o gruppi utilizzano tecniche come il phishing, il keylogging o lo sfruttamento delle vulnerabilità del sistema per rubare nomi utente, password e altri dati di autenticazione. La loro merce rubata viene poi venduta sui mercati del dark web al miglior offerente, diventando spesso il punto di partenza per ulteriori attacchi da parte di IAB e affiliati RaaS.
  • Sviluppatori di strumenti di hacking: Gli innovatori e i fornitori del mondo del crimine informatico, questi sviluppatori creano e vendono strumenti software progettati per sfruttare le vulnerabilità, condurre la sorveglianza o facilitare l’accesso non autorizzato ai sistemi. I loro prodotti sono fondamentali per gli IAB e gli affiliati per effettuare violazioni di successo e mantenere l’accesso alle reti delle vittime.
  • Riciclaggio di denaro criptato: Facilitatori delle transazioni finanziarie che sono alla base dell’ecosistema RaaS. Data la dipendenza dalle criptovalute per i pagamenti dei riscatti, i riciclatori di denaro sono specializzati nell’offuscare le origini dei guadagni illeciti. Utilizzano tecniche come il ‘mixing’ o il ‘tumbling’ per ripulire la criptovaluta, rendendola difficile da ricondurre alle attività criminali. Questo servizio assicura che i gruppi RaaS, gli affiliati e altri criminali informatici possano utilizzare i loro profitti senza essere facilmente rintracciati dalle forze dell’ordine.

Insieme, questi agenti formano una rete complessa e altamente organizzata che sostiene la proliferazione del modello RaaS. Ognuno di loro svolge un ruolo specifico nel garantire il successo e la sostenibilità delle campagne ransomware, dall’accesso iniziale alla monetizzazione dell’attacco.

4. Come selezionano le organizzazioni?

Gli attacchi non sono più casuali come in passato, ora scelgono molto bene le loro vittime e per questo le analizzano a fondo per massimizzare il ROI dell’attacco:

  • Reddito potenziale: La motivazione principale per prendere di mira una particolare organizzazione è il reddito potenziale che si può ricavare da essa. I criminali informatici studiano meticolosamente i loro obiettivi, valutando i flussi di entrate dell’organizzazione, la salute finanziaria e il valore percepito dei dati memorizzati. Le aziende ad alto reddito sono particolarmente attraenti perché sono più propense a pagare un riscatto sostanzioso per recuperare i loro dati o per evitare un danno potenziale alla loro reputazione. Il calcolo include la valutazione delle informazioni finanziarie disponibili pubblicamente, del settore in cui operano e di eventuali precedenti casi di pagamento di riscatti. Le organizzazioni che vengono percepite come dotate di tasche profonde o che operano in settori in cui i dati sono cruciali, si classificano più in alto nella lista dei bersagli.
  • Settori deboli e facilità di accesso: Le vulnerabilità presenti in alcuni settori li rendono più interessanti per i criminali informatici. I settori poco regolamentati in termini di cybersicurezza, quelli che sono in ritardo nella consapevolezza digitale o quelli in cui l’infrastruttura IT è notoriamente obsoleta sono obiettivi primari. Tra questi vi sono l’assistenza sanitaria, l’istruzione e le piccole e medie imprese (PMI) in vari settori. La facilità di accesso è cruciale; i settori noti per le pratiche di sicurezza deboli, come la crittografia insufficiente, la mancanza di monitoraggio della rete o la scarsa consapevolezza dei dipendenti in materia di cybersicurezza, saranno probabilmente più in alto nella lista degli obiettivi. La logica è semplice: più è facile penetrare le difese di un’organizzazione, minore è il costo e lo sforzo necessario per eseguire un attacco di successo.
  • Misure difensive e capacità di risposta: Al di là delle entrate e delle vulnerabilità potenziali, gli aggressori valutano la postura difensiva di un’organizzazione. Ciò include la sofisticazione delle misure di cybersecurity, la capacità dei team IT e di sicurezza e la preparazione ad un attacco. Le organizzazioni che non dispongono di un solido quadro di cybersecurity, che non conducono regolari audit di sicurezza o che non investono nella formazione dei dipendenti per il phishing e altri vettori di attacco comuni, rappresentano una sfida minore per i criminali informatici. Inoltre, le entità prive di un chiaro piano di risposta agli incidenti sono considerate obiettivi più redditizi, in quanto è probabile che impieghino più tempo per rilevare e rispondere a un attacco, aumentando le possibilità di successo degli aggressori e portando potenzialmente al pagamento di un riscatto più elevato.

In sintesi, i criminali informatici impiegano un approccio strategico nella selezione dei loro obiettivi, dando priorità alle organizzazioni con prospettive finanziarie promettenti, vulnerabilità note e capacità difensive più deboli. Questi criteri massimizzano il ritorno sull’investimento degli aggressori, puntando alle entità più propense a pagare riscatti e dove possono fare breccia con relativa facilità.

5. La sua infrastruttura nel dark web

Nel dark web, utilizzano diversi mercati, siti web e piattaforme per svolgere le loro operazioni:

  • Mercati: Il dark web ospita una serie di mercati specializzati che funzionano in modo simile alle piattaforme di e-commerce convenzionali, ma sono utilizzati per scopi illeciti. Questi mercati sono fondamentali per lo scambio di strumenti di hacking, accesso alla rete aziendale e dati rubati. I criminali informatici sfruttano queste piattaforme per reclutare affiliati, vendere software dannoso e persino acquistare vulnerabilità e credenziali di accesso per favorire i loro attacchi. Una caratteristica notevole di questi mercati è la loro natura organizzata, con articoli categorizzati meticolosamente, che rispecchiano i mercati online legittimi. Ad esempio, piattaforme come AlphaBay sono note per ospitare migliaia di inserzioni, che offrono di tutto, dagli exploit zero-day all’accesso a sistemi compromessi, gestiti in modo semplice per facilitare le transazioni.
  • Piattaforme: Oltre ai marketplace, il dark web ospita diverse piattaforme progettate per attività specifiche legate al crimine informatico. Queste includono forum per lo scambio di conoscenze e strumenti, servizi di chat privati per la comunicazione tra gli attori e bacheche per annunci o inviti a partecipare ad attacchi su larga scala. Queste piattaforme fungono da base per la comunità dei criminali informatici, fornendo spazi per la collaborazione, la condivisione di consigli tecnici e la formazione di alleanze. Consentono ai criminali informatici di rimanere aggiornati sulle ultime tecniche di hacking, di condividere strategie di successo e persino di reclutare talenti per le prossime operazioni. L’ambiente collaborativo favorisce un ecosistema in cui le conoscenze e le risorse vengono condivise liberamente, potenziando le capacità dei singoli attori e dei gruppi.
  • Siti web: I siti web dedicati sul dark web offrono vari servizi direttamente collegati alle attività di criminalità informatica. Tra questi ci sono i siti di “Ransomware as a Service” (RaaS), dove gli individui possono noleggiare il ransomware per lanciare le loro campagne, e i “siti di fuga” dove i criminali informatici pubblicano i dati rubati alle loro vittime. Questi siti web spesso implementano conti alla rovescia e mostrano elenchi di aziende che sono state compromesse ma non hanno ancora soddisfatto le richieste di riscatto, aumentando la pressione sulle vittime affinché paghino. La presenza di questi siti web indica un approccio strutturato e professionale al crimine informatico, con servizi e funzionalità progettati per massimizzare l’impatto e il profitto. L’uso di questi siti per pubblicizzare gli attacchi di successo non serve solo come mezzo per estorcere le vittime, ma anche come strumento di marketing per attirare nuovi clienti e affiliati, dimostrando capacità e successo.

L’infrastruttura del dark web costituisce la spina dorsale del crimine informatico moderno, fornendo gli strumenti, le piattaforme e i servizi necessari che facilitano l’esecuzione di attacchi sofisticati.

6. La doppia estorsione

La doppia estorsione è un’evoluzione critica nella metodologia dei cyberattacchi, che aumenta in modo significativo il danno potenziale e gli incentivi per le vittime a rispettare le richieste di riscatto.
Questa tattica prevede non solo la criptazione dei dati e la richiesta di un riscatto per la loro decriptazione, ma anche l’esfiltrazione di dati sensibili con minacce di divulgazione pubblica, a meno che non venga pagato un ulteriore riscatto. Da qui l’importanza di conoscere le diverse classificazioni dei dati sensibili e di essere consapevoli di quali vengono gestiti dalla sua organizzazione. Questo approccio aggrava le potenziali conseguenze per le vittime, introducendo danni alla reputazione, sanzioni e perdite economiche che vanno ben oltre gli impatti operativi immediati.

Vediamo in dettaglio quale impatto ha:

  • Danno alla reputazione: La minaccia di rendere pubbliche informazioni sensibili può portare a gravi danni alla reputazione delle organizzazioni colpite. Per le aziende, la divulgazione di informazioni proprietarie, dati dei clienti o comunicazioni imbarazzanti può erodere la fiducia di clienti, partner e pubblico. Il danno a lungo termine all’immagine del marchio e alla fedeltà dei clienti di un’organizzazione può spesso superare i costi finanziari immediati del riscatto. Per le istituzioni pubbliche, l’esposizione di dati sensibili dei cittadini mina la fiducia del pubblico e può avere ramificazioni politiche significative.
  • Sanzioni: Oltre al danno reputazionale, il rilascio non autorizzato di dati sensibili può comportare notevoli sanzioni legali. Le organizzazioni che non riescono a proteggere i dati dei clienti possono trovarsi in violazione delle normative sulla protezione dei dati, come il GDPR DORA Act e la Direttiva NIS2 in Europa, il CCPA in California o altre leggi sulla privacy in tutto il mondo. Queste normative possono imporre multe salate, spesso in proporzione alla gravità e alla portata della violazione dei dati. Le sanzioni possono andare oltre i danni finanziari e includere azioni correttive obbligatorie e audit continui, imponendo ulteriori tensioni operative all’organizzazione vittima.
  • Perdite economiche: L’impatto economico della doppia estorsione va oltre i riscatti pagati. Le organizzazioni devono affrontare interruzioni operative, costi associati al recupero e alle indagini sulla violazione dei dati, aumento dei premi assicurativi e potenziali costi legali derivanti dalle cause intentate dalle parti colpite. L’effetto cumulativo di queste spese, insieme alla potenziale perdita di attività durante il recupero e a causa della reputazione danneggiata, può arrivare a milioni, paralizzando finanziariamente un’organizzazione. Il rischio di una perdita economica così sostanziale spinge le vittime a pagare un riscatto, anche quando esistono dei backup, poiché i costi e le implicazioni dell’esposizione dei dati spesso superano l’importo del riscatto. Scopra qui come calcolare il costo di una violazione dei dati.

Questo approccio si è dimostrato molto efficace, rendendolo una tattica preferita dai criminali informatici. Le implicazioni della doppia estorsione vanno ben oltre gli effetti immediati degli attacchi ransomware tradizionali, rappresentando una minaccia multiforme per le organizzazioni di tutto il mondo.

7. Anche una tripla estorsione

La tripla estorsione aumenta la complessità e il danno potenziale di un cyberattacco, aggiungendo un altro livello di minaccia alla già devastante doppia estorsione. In questo schema, gli aggressori combinano le minacce di crittografia dei dati, fuga di dati e ripercussioni di terzi con attacchi DDoS (Distributed Denial of Service) mirati. Questa tripletta di minacce informatiche amplifica la pressione sull’organizzazione vittima per il pagamento del riscatto e aumenta l’impatto complessivo dell’attacco.

Diamo un’occhiata più da vicino:

  • Attacchi DDoS: Dopo aver crittografato i dati e averne minacciato il rilascio, i criminali informatici lanciano attacchi DDoS per amplificare l’urgenza e il danno. Sovraccaricando la rete della vittima con un’inondazione di traffico, l’attacco DDoS può bloccare le operazioni, rendendo impossibile condurre affari online. Questi attacchi servono a rafforzare il messaggio degli aggressori: pagare il riscatto o affrontare un’interruzione continua e crescente.
  • Attacchi a terzi: Il punto cruciale della tripla estorsione sta nell’estensione delle minacce alla rete di terze parti della vittima – clienti, partner e fornitori. I criminali informatici possono minacciare di far trapelare i dati rubati che potrebbero incriminare o danneggiare queste terze parti o addirittura attaccare direttamente i loro sistemi. Questa superficie di attacco ampliata costringe la vittima a considerare la sicurezza dell’ecosistema più ampio e aumenta la probabilità di pagare un riscatto per evitare danni collaterali.

L’impatto esteso della tripla estorsione è profondo. È questa portata estesa e la pressione moltiplicata che caratterizza l’efficacia sinistra della tripla estorsione.

8. E quadruplica l’estorsione!

L’estorsione quadrupla aggiunge un quarto livello di pressione e complessità alle già sofisticate strategie di cyberattacco che comprendono tattiche di doppia e tripla estorsione. Questo metodo avanzato combina le minacce della crittografia dei dati, del furto di dati e degli attacchi DDoS con tattiche mirate progettate per sfruttare la pressione sociale contro la vittima. Questo include notifiche a terzi e minacce pubbliche, ampliando in modo significativo l’impatto psicologico dell’attacco e il potenziale di danno alla reputazione.

Queste sono le loro tattiche:

  • Pressione sociale: I criminali informatici utilizzano la pressione sociale come strumento chiave della quadrupla estorsione, con l’obiettivo di erodere la posizione della vittima contro il pagamento del riscatto. Svergognando pubblicamente l’organizzazione vittima per la sua presunta negligenza o irresponsabilità nel gestire l’attacco – soprattutto per quanto riguarda il potenziale danno a clienti, fornitori e partner terzi – gli aggressori cercano di creare un clamore pubblico. Questo clamore può spingere le organizzazioni a pagare il riscatto per mitigare ulteriori danni alla reputazione e per dimostrare il loro impegno verso il benessere degli stakeholder.
  • Notifiche a terzi: Andando oltre le semplici minacce di impatto da parte di terzi, l’estorsione quadrupla comporta notifiche dirette a queste parti. Gli aggressori possono contattare clienti, partner e fornitori per informarli della ‘irresponsabilità’ dell’organizzazione vittima nel non mettere al sicuro i propri dati o nello scegliere di non pagare il riscatto, mettendo così in pericolo non solo la vittima primaria, ma il suo intero ecosistema. Questa tattica non solo amplifica la paura e l’incertezza, ma mette a dura prova le relazioni tra l’organizzazione vittima e la sua rete, portando potenzialmente alla perdita di affari e a danni a lungo termine alle partnership.
  • Minacce pubbliche: La strategia può prevedere dichiarazioni pubbliche o minacce nei confronti della vittima, a volte mirando a figure specifiche all’interno dell’organizzazione, come il Chief Information Security Officer (CISO), per personalizzare e intensificare l’attacco. I CISO sono costantemente sotto pressione per affrontare le sfide della cyber-sicurezza, quindi sono un obiettivo perfetto. Raffigurando i responsabili delle decisioni chiave come direttamente responsabili di eventuali ricadute, gli aggressori cercano di isolarli, minando la loro autorità e capacità decisionale all’interno dell’organizzazione e tra gli stakeholder.

In sintesi, l’estorsione quadrupla rappresenta un’evoluzione sofisticata nella strategia del ransomware, che sfrutta non solo le minacce tecniche, ma anche la guerra psicologica e le tattiche di pubbliche relazioni per costringere le organizzazioni vittime a rispettare le regole.

9. I mega-attacchi

I mega-attacchi rappresentano una nuova categoria di minacce informatiche, che si distinguono per la loro scala, la sofisticazione e l’ampia gamma di danni che sono in grado di infliggere nell’ecosistema digitale. Questi attacchi sono rivolti in particolare ai fornitori di servizi cloud (CSP), sfruttando vulnerabilità zero-day per compromettere non solo singole entità, ma potenzialmente centinaia o migliaia di organizzazioni che fanno affidamento su queste infrastrutture cloud. Il bersaglio strategico dei CSP segna un cambiamento significativo nell’attenzione dei criminali informatici. Violando un singolo fornitore di servizi cloud, gli aggressori possono ottenere l’accesso ai dati e ai sistemi di numerose organizzazioni contemporaneamente. Questo approccio amplifica in modo esponenziale l’impatto dell’attacco, poiché i CSP sono fondamentali per le operazioni di una vasta gamma di aziende in vari settori.

Al centro della metodologia dei mega-attacchi c’è lo sfruttamento delle vulnerabilità zero-day –falle di sicurezza precedentemente sconosciute per le quali non esistono patch o correzioni immediate. Queste vulnerabilità offrono agli aggressori una finestra d’oro di opportunità per infiltrarsi nei sistemi e distribuire malware prima che la vulnerabilità diventi nota e venga corretta dai fornitori. Il ricorso a tali vulnerabilità sottolinea la sofisticazione dei mega-attacchi e l’alto livello di abilità e risorse possedute dagli aggressori.

Le conseguenze di un mega-attacco a un provider di servizi cloud possono essere catastrofiche, colpendo potenzialmente migliaia di aziende e organizzazioni dipendenti. Questo danno diffuso può andare dalla perdita finanziaria, all’interruzione operativa, fino a gravi danni alla reputazione. L’audit delle pratiche di sicurezza dei CSP, la definizione di standard di sicurezza rigorosi negli accordi sul livello di servizio e il mantenimento di una postura attiva di vigilanza sono passi critici per mitigare il rischio di cadere vittima di questi assalti informatici su larga scala.

10. Quali tattiche utilizzano gli aggressori?

Le operazioni RaaS, proprio come le aziende legittime, aggiornano le loro tattiche e i loro strumenti per stare al passo con le misure di cybersecurity, impegnandosi in una serie di passi calcolati per eseguire i loro attacchi con successo. Di seguito è riportato uno schema del processo tipico e delle tattiche chiave che i gruppi RaaS utilizzano nelle loro operazioni:

  1. Accesso iniziale: I gruppi RaaS spesso ottengono il loro punto d’appoggio iniziale attraverso campagne di phishing progettate per ingannare gli utenti e indurli a rivelare le credenziali o a installare malware.
    Sono anche noti per sfruttare le vulnerabilità di sicurezza note nel software o per acquistare vulnerabilità zero-day dai mercati neri per aggirare le misure di sicurezza senza essere rilevati.
  2. Escalation dei privilegi: Dopo aver ottenuto l’accesso, gli aggressori cercano di aumentare le loro autorizzazioni a livelli amministrativi. Ciò potrebbe comportare lo sfruttamento di punti deboli nelle configurazioni di Active Directory, la manipolazione dei Criteri di gruppo o lo sfruttamento di vulnerabilità del sistema che consentano loro di ottenere un accesso più ampio all’interno dell’ambiente.
  3. Infiltrazione: Con l’escalation dei privilegi, gli aggressori stabiliscono una presenza più forte all’interno del sistema. Possono creare nuovi account con privilegi elevati, duplicare i token di autenticazione o raccogliere credenziali che consentono un ulteriore accesso ai sistemi e ai dati, assicurandosi così di avere più strade per mantenere l’accesso.
  4. Movimento laterale: Gli aggressori si muovono all’interno della rete per identificare e accedere a sistemi e asset critici. Questo movimento spesso comporta ulteriori tentativi di phishing all’interno dell’organizzazione, lo sfruttamento delle relazioni di fiducia tra i sistemi e l’uso di tecniche furtive per evitare di far scattare l’allarme.
  5. Evasione della difesa: Per mantenere la loro presenza senza essere rilevati, gli operatori RaaS possono pulire o alterare i registri, disattivare i sistemi di rilevamento e risposta degli endpoint (EDR) e utilizzare la crittografia per offuscare le loro attività. Esistono molti tipi di crittografia, si assicuri di utilizzare la migliore. Questa fase è fondamentale per consentire agli aggressori di portare a termine i loro obiettivi senza interruzioni.
  6. Raccolta, estrazione e distribuzione dei dati: Gli aggressori identificano i dati preziosi, li esfiltrano in una posizione che controllano e poi procedono a distribuire il ransomware. Ciò potrebbe comportare la crittografia dei dati e dei sistemi aziendali critici, interrompendo così le operazioni e obbligando la vittima a pagare un riscatto per la chiave di decrittazione.

11. Lista di controllo delle misure per proteggersi dai moderni attacchi Ransomware

Per rafforzare le difese contro i moderni attacchi ransomware, le organizzazioni dovrebbero adottare un approccio completo, integrando sia soluzioni tecnologiche che strategie incentrate sull’uomo. La seguente lista di controllo delinea le misure difensive chiave che possono migliorare in modo significativo la resilienza di un’organizzazione contro queste minacce:

  • Implementare una crittografia forte: Impieghi la crittografia per i dati sensibili nei loro tre stati, a riposo, in uso e in transito, rendendoli meno utili agli aggressori, anche se riescono ad esfiltrare i dati.
  • Conduca una regolare formazione di sensibilizzazione sulla sicurezza: Istruisca il personale sui rischi del ransomware, compreso il riconoscimento dei tentativi di phishing e l’importanza di segnalare le attività sospette.
  • Mantenga backup regolari: Mantenga backup aggiornati dei dati critici in più luoghi, compresa l’archiviazione offline, per garantire il ripristino in caso di crittografia da parte del ransomware. Protegga i suoi documenti aziendali nei sistemi di archiviazione, imparando le migliori pratiche qui.
  • Rimanere in cima alle patch: aggiornare regolarmente il software e i sistemi per applicare le patch alle vulnerabilità note, riducendo drasticamente la superficie di attacco per i criminali informatici.
  • Applicare un rigoroso controllo degli accessi: Applichi il principio del minimo privilegio dell’approccio Zero-Trust, assicurando che gli utenti abbiano solo l’accesso necessario per i loro ruoli, limitando così la diffusione del ransomware.
  • Investire nel monitoraggio e nel rilevamento continui: Utilizzi strumenti di monitoraggio avanzati o sfrutti gli strumenti esistenti con funzionalità di monitoraggio per rilevare attività insolite indicative di un attacco ransomware, consentendo una risposta rapida.
  • Sviluppi un piano completo di risposta agli incidenti: Prepari un piano di risposta agli incidenti per garantire una risposta rapida e organizzata, riducendo al minimo i tempi di inattività e le perdite.
  • Segmentazione della rete: Segmenti la sua rete per limitare i movimenti, confinando la diffusione del ransomware a segmenti isolati della rete.
  • Migliorare la protezione degli endpoint: Impieghi soluzioni avanzate di protezione degli endpoint che contrastino in modo specifico il ransomware e altre minacce sofisticate. Ad esempio, proteggere i dati archiviati su dispositivi come PC o Mac nel modo migliore.
  • Implementare l’autenticazione a più fattori (MFA): Utilizzi l’MFA per aggiungere un ulteriore livello di sicurezza, proteggendo gli account anche se le credenziali sono compromesse.
  • Utilizzi il Whitelisting delle applicazioni: Consente l’esecuzione solo di applicazioni approvate, bloccando di fatto le applicazioni non autorizzate.
  • Implementare soluzioni anti-phishing: Implementare tecnologie e servizi anti-phishing per rilevare e bloccare le e-mail di phishing prima che raggiungano l’utente finale.
  • Stabilire politiche di utilizzo e controllo: Formuli delle politiche che disciplinino l’uso sicuro dei dispositivi e delle reti, compreso l’uso di dispositivi personali e l’accesso remoto.
  • Rafforzare la sicurezza delle e-mail: Applichi soluzioni di filtraggio e scansione delle e-mail per identificare e bloccare le e-mail dannose, riducendo il rischio di phishing e di invio di malware.
  • Gestione sicura delle password: Incoraggi l’uso di password forti e uniche e il cambio regolare delle password, oltre all’uso di password manager per migliorare la sicurezza.

Integrando queste strategie difensive, le organizzazioni possono stabilire una solida postura di sicurezza in grado di sventare gli attacchi ransomware e ridurre al minimo il loro impatto potenziale.

12. Esempio di un caso reale mitigato

Esempio di un caso reale mitigato:

  1. Contatto iniziale: Gli aggressori hanno violato la rete aziendale e criptato i dati sensibili, poi hanno contattato l’azienda chiedendo un riscatto per la decriptazione.
  2. Tattiche di estorsione: Al rifiuto del pagamento del riscatto, gli aggressori hanno minacciato di rilasciare pubblicamente i dati criptati, cercando di fare ulteriore pressione sull’azienda.
  3. Prove e verifica: Per dimostrare di avere il controllo dei dati, gli aggressori hanno inviato un campione dei dati rubati, dimostrando la natura critica delle informazioni crittografate.
  4. Valutazione dei dati compromessi: Dopo l’ispezione del campione fornito, si è scoperto che i dati erano stati precedentemente crittografati dall’azienda come parte delle sue misure di sicurezza, rendendoli inaccessibili agli aggressori.
  5. Danno attenuato: Grazie alla crittografia proattiva dei dati sensibili dell’azienda e al mantenimento di backup aggiornati, il danno potenziale è stato notevolmente mitigato. L’azienda ha ripristinato i sistemi interessati dai backup, evitando il pagamento del riscatto e prevenendo il rilascio pubblico di dati sensibili.

13. I dati sono la cosa più preziosa per loro

I dati sono senza dubbio la risorsa più preziosa per gli aggressori informatici, che non cercano di causare danni casuali, ma di trarre profitto in modo sostanziale dalle informazioni sensibili delle organizzazioni. Riconoscendo ciò, è imperativo che le organizzazioni attribuiscano alla protezione dei dati lo stesso livello di importanza che hanno gli aggressori. Ciò significa considerare la sicurezza dei dati come una preoccupazione fondamentale e implementare misure complete per salvaguardarla.

Al centro di queste misure c’è l’adozione di un quadro di sicurezza a fiducia zero. Questo approccio prevede che a nessuna entità, indipendentemente dalla sua posizione all’interno o all’esterno della rete dell’organizzazione, venga concessa una fiducia implicita, riducendo così notevolmente il potenziale di accesso non autorizzato ai dati. Oltre a implementare un modello di fiducia zero, le organizzazioni devono adottare un approccio alla sicurezza incentrato sui dati. Questa strategia dà priorità alla salvaguardia dei dati stessi, piuttosto che concentrarsi semplicemente sulle difese perimetrali. In questo modo, anche se gli aggressori aggirano altre forme di difesa, i dati rimangono inaccessibili grazie all’applicazione di una crittografia forte e di controlli di accesso rigorosi. Questi metodi assicurano che solo il personale autorizzato possa accedere e manipolare i dati, riducendo ulteriormente il rischio di violazioni dei dati.

Una posizione di sicurezza incentrata sui dati rimane efficace contro un ampio spettro di vettori di attacco, sia che le minacce provengano da servizi basati sul cloud, da fornitori terzi o anche da fonti interne all’organizzazione. Ponendo la protezione dei dati al centro della propria strategia di sicurezza, le organizzazioni possono garantire che, indipendentemente dalla natura della violazione, i loro dati rimangano al riparo da accessi non autorizzati e dall’esfiltrazione.

14. SealPath, il suo alleato per non cedere alle loro minacce.

SealPath entra in questa arena come un alleato formidabile, offrendo soluzioni di Enterprise Digital Rights Management (EDRM) progettate per fortificare i dati contro l’accesso non autorizzato, la manipolazione e l’estorsione. La tecnologia di SealPath consente alle organizzazioni di proteggere i loro dati più preziosi incorporando la sicurezza direttamente nelle informazioni stesse, garantendo che rimangano inaccessibili agli aggressori, anche in caso di violazione.

L’approccio di SealPath si concentra sulla crittografia dei file e sull’impostazione di controlli di accesso granulari che stabiliscono chi può visualizzare, modificare, copiare o condividere i dati protetti. Questo metodo di protezione viaggia con i dati, indipendentemente da dove vengono archiviati o con chi vengono condivisi, offrendo un livello di sicurezza persistente e dinamico che si adatta a vari scenari di minaccia. Ciò garantisce che, anche se gli aggressori aggirano altri livelli di difesa e ottengono l’accesso a file sensibili, non possono sfruttare i dati per attacchi ransomware o per altri scopi dannosi.

Ciò che distingue SealPath da altri strumenti è il suo design incentrato sull’utente e la facile integrazione nei flussi di lavoro esistenti. Questo approccio intuitivo fa sì che la protezione dei dati migliori la produttività, anziché ostacolarla, rendendo SealPath non solo uno strumento di sicurezza, ma un facilitatore di operazioni aziendali sicure. Inoltre, SealPath offre funzionalità dettagliate di tracciamento e reporting, consentendo alle organizzazioni di monitorare chi accede ai loro dati e quando, offrendo una visibilità e un controllo senza precedenti sulle informazioni sensibili.

In sintesi, SealPath rappresenta uno strumento critico nell’arsenale contro il ransomware e altre minacce informatiche, offrendo una miscela unica di robusta crittografia dei dati, controlli di accesso granulari e facilità di utilizzo. Il suo valore non risiede solo nella capacità di proteggere i dati da accessi non autorizzati, ma anche nella capacità di garantire che, nello spazio di lavoro digitale, sicurezza ed efficienza vadano di pari passo.

Con SealPath, le organizzazioni possono navigare con fiducia nel paesaggio digitale, sapendo che i loro dati sono protetti dalla minaccia sempre presente del ransomware. Dia un’occhiata a tutto ciò che può fare qui. Non esiti a contattarci se ha bisogno di una consulenza sulla protezione delle informazioni della sua organizzazione, il nostro team di esperti la aiuterà al più presto.

Potete vedere l'articolo originale qui


Prossimi eventi