È probabile che il 2021 passi alla storia della sicurezza informatica come l'anno del ransomware. L'elenco globale delle vittime di spicco spazia dagli operatori di gasdotti e interi distretti agli editori e alle catene di vendita al dettaglio.
I Varonis Threat Labs hanno identificato tre tendenze chiave che ci terranno impegnati anche nel 2022. Perché una cosa è certa: anche quest'anno dovremo fare i conti con i ransomware, probabilmente ancora più forti e con ancora più attacchi rispetto al 2021.
Ransomware-as-a-Service
Nell'ultimo anno, c'è stato un cambiamento significativo verso il modello di business ransomware-as-a-service (RaaS), in cui i gruppi reclutano partner per eseguire determinate parti delle operazioni. Queste molteplici offerte consentono anche ai criminali informatici meno esperti di accedere a malware potenti e toolkit dannosi, abbassando la barriera all'ingresso per molti potenziali aggressori.
Esistono essenzialmente due diversi modelli: da un lato, gli abbonamenti, in cui il ransomware può essere utilizzato a pagamento, e dall'altro, le quote percentuali dei profitti. La seconda variante in particolare genera un intero ecosistema di singoli partner, i cosiddetti affiliati, e sottogruppi specializzati in determinate aree di attacco.
Le tecniche di scansione di massa cercano l'accesso
Un esempio della crescente distribuzione dei compiti e della specializzazione sono gli "Initial Access Brokers" (IAB). Sebbene non si tratti di un fenomeno nuovo, attualmente stanno vivendo un certo boom. In genere impiegano tecniche di scansione di massa per identificare gli host vulnerabili e quindi ottenere l'accesso iniziale ai sistemi delle potenziali vittime. Tradizionalmente, questi accessi vengono venduti attraverso forum e mercati clandestini, con prezzi basati sul valore percepito: ad esempio, accedere a un'azienda grande, ben nota e finanziariamente forte è più costoso che accedere a una piccola azienda. Ciò consente ai gruppi di ransomware di prendere di mira le proprie vittime in modo molto mirato. Molti IAB ora si stanno anche affiliando o collaborando con gruppi di ransomware, diventando subappaltatori. In cambio ricevono una parte del riscatto. Questo di solito è più redditizio del classico modello di vendita.
Una quota di profitto elevata riflette sempre un rischio più elevato. In definitiva, i partner in quanto "organi esecutivi" corrono un rischio maggiore di essere scoperti, mentre i fornitori di RaaS sullo sfondo sono molto meno a rischio, soprattutto perché spesso nascondono la propria identità ai partner. Se tuttavia sono al centro dell'attenzione delle autorità di perseguimento penale, i gruppi generalmente si nascondono per un breve periodo per poi riorganizzarsi, di solito sotto un nome diverso.
Ransomware personalizzato
Varonis Threat Labs ha identificato un numero crescente di ransomware progettati specificamente per vittime specifiche nell'ultimo anno. Ciò dovrebbe rendere il rilevamento molto più difficile e aumentare l'efficacia dell'attacco.
La maggior parte delle minacce ransomware sono file eseguibili che prendono di mira Windows e sono spesso distribuiti tramite botnet. Tuttavia, gli attacchi sono sempre più diretti anche agli host basati su Linux, inclusi quelli utilizzati per l'archiviazione e la virtualizzazione dei file (come VMware ESX).
ALPHV (BlackCat) adatta il ransomware
Il gruppo di ransomware ALPHV (BlackCat) recentemente identificato sta sviluppando varianti sia per Linux che per Windows. Il ransomware viene ricreato per ogni vittima. Ciò include, ad esempio, il tipo di crittografia utilizzato (come la crittografia solo di porzioni di file di grandi dimensioni) o l'incorporamento delle credenziali della vittima per consentire la propagazione automatica del ransomware ad altri server.
Ma non solo il ransomware stesso, ma anche l'importo del riscatto richiesto è specificamente adattato alla vittima: i dati finanziari acquisiti dell'azienda vengono analizzati per determinare una somma finanziabile. In alcuni casi, anche le polizze assicurative informatiche vengono esaminate in dettaglio per l'ammontare del danno coperto, che viene poi presentato come richiesta dai criminali informatici.
La doppia estrazione diventa lo standard
Con l'approccio della "doppia estorsione", i dati vengono rubati anche prima della crittografia per minacciare di pubblicarli e quindi esercitare una pressione ancora maggiore sulle vittime. In definitiva, non è la crittografia e il conseguente guasto del sistema a rappresentare la minaccia maggiore per le aziende, ma piuttosto il furto di dati: il furto e la pubblicazione di dati personali (PII) non è solo dannoso per la reputazione, ma può anche comportare sanzioni GDPR. I criminali informatici ora minacciano persino esplicitamente di coinvolgere le autorità di controllo competenti. Ma anche le fughe di proprietà intellettuale possono causare danni enormi se, di conseguenza, gli sviluppi innovativi sono accessibili anche ai concorrenti.
Lo sviluppo tattico non è affatto finito con il doppio ricatto. I gruppi di ransomware evolvono costantemente i loro metodi di estorsione, dall'inizio con una semplice richiesta di riscatto, alle tattiche di "furto, crittografia e pubblicazione", al contatto con clienti, dipendenti, autorità e stampa per informarli della compromissione. Per aggiungere ancora più pressione, molti gruppi si rifiutano di lavorare con i negoziatori e consigliano alle vittime di pagare i soldi senza coinvolgere i fornitori di sicurezza informatica e le forze dell'ordine. In caso contrario, le vittime rischierebbero una richiesta di riscatto più elevata o la perdita permanente dei dati.
Livelli di escalation come mezzo di pressione per pagare
Alcuni criminali informatici aggiungono anche un altro livello di escalation: con questa "tripla estorsione", i partner o i clienti interessati vengono quindi informati oppure vengono minacciati ulteriori attacchi come gli attacchi DDoS. Tutte queste misure alla fine servono ad aumentare notevolmente la pressione sulle vittime per convincerle a pagare rapidamente. E a quanto pare con successo: si stima che nel 2021 il ransomware abbia causato danni per 6 trilioni di dollari in tutto il mondo. Per fare un confronto: nel 2020 il prodotto interno lordo della Repubblica Federale Tedesca era di "solo" 3,8 trilioni di dollari USA.
Altro su Varonis.de
A proposito di Varoni Fin dalla sua fondazione nel 2005, Varonis ha adottato un approccio diverso nei confronti della maggior parte dei fornitori di sicurezza IT ponendo i dati aziendali archiviati sia on-premise che nel cloud al centro della sua strategia di sicurezza: file ed e-mail sensibili, informazioni riservate su clienti, pazienti e pazienti Documenti dei dipendenti, documenti finanziari, piani strategici e di prodotto e altra proprietà intellettuale. La Varonis Data Security Platform (DSP) rileva le minacce interne e gli attacchi informatici analizzando i dati, l'attività dell'account, la telemetria e il comportamento degli utenti, previene o mitiga le violazioni della sicurezza dei dati bloccando i dati sensibili, regolamentati e obsoleti e mantiene uno stato sicuro dei sistemi attraverso un'efficiente automazione.,