La nuova strategia degli aggressori: pubblicazioni sensibili. I criminali informatici attaccano sempre più aziende e settori selezionati nell'ambito di campagne mirate. I dati sensibili non sono più solo crittografati, ma esistono minacce di pubblicazione su Internet. Secondo Kaspersky, questo è l'aspetto del ransomware 2.0.
I recenti attacchi ransomware mostrano che i criminali informatici stanno cambiando la loro strategia: si stanno spostando dalla pura crittografia ad attacchi mirati con la minaccia di pubblicare dati riservati se il riscatto non viene pagato. Questa è la conclusione a cui giungono gli esperti di Kaspersky analizzando le due famiglie di ransomware, Ragnar Locker ed Egregor.
Nuove strategie di attacco ransomware
Le compromissioni con richieste di riscatto, i cosiddetti attacchi ransomware, sono comunemente considerate gravi scenari di attacco. Non solo possono interrompere le operazioni aziendali critiche, ma possono anche causare enormi perdite finanziarie e, in alcuni casi, persino mandare in bancarotta l'organizzazione interessata a causa di multe e azioni legali. Si stima che attacchi come WannaCry abbiano causato perdite finanziarie per oltre 4 miliardi di dollari. Tuttavia, le campagne ransomware più recenti stanno cambiando il loro modus operandi: minacciano di esporre al pubblico informazioni aziendali rubate. Due noti rappresentanti di questo nuovo tipo di ransomware: Ragnar Locker ed Egregor
Come procedono Ragnar Locker ed Egregor
Ragnar Locker è stato scoperto nel 2019, ma ha acquisito importanza solo nella prima metà del 2020, quando sono state prese di mira le grandi aziende. Gli attacchi sono altamente mirati, con ogni attività dannosa su misura per la vittima designata. In tal modo, le informazioni riservate delle aziende che si rifiutano di pagare vengono pubblicate sulla pagina Wall of Shame dei cybercriminali. Se la vittima comunica con gli aggressori e poi si rifiuta di pagare, verrà pubblicata anche quella chat. Gli obiettivi principali sono aziende negli Stati Uniti di diversi settori. Lo scorso luglio, Ragnar Locker ha annunciato di aver aderito al cartello del ransomware Maze. Ciò significa che da allora c'è stato uno scambio di informazioni rubate e una concreta collaborazione tra i due. Maze è diventata una delle famiglie di ransomware più conosciute nel 2020.
La vittima ha solo 72 ore
Egregor è stato scoperto per la prima volta lo scorso settembre. Il malware utilizza molte tattiche identiche e condivide anche somiglianze di codice con Maze. Di solito viene implementato interrompendo la rete; una volta filtrati i dettagli dell'azienda bersaglio, alla vittima vengono concesse 72 ore per pagare il riscatto prima che le informazioni rubate vengano rese pubbliche. Se l'organizzazione interessata si rifiuta di pagare, gli aggressori pubblicano il nome e i collegamenti per scaricare i dati aziendali riservati sulla loro pagina di fuga.
Il raggio di attacco di Egregor è molto più ampio di quello di Ragnar Locker. I criminali informatici dietro questo ransomware hanno preso di mira vittime in Nord America, Europa e parti dell'APAC.
Ransomware 2.0 in aumento
"Stiamo assistendo all'ascesa del ransomware 2.0, il che significa che gli attacchi stanno diventando più mirati e l'attenzione non è più solo sulla crittografia dei dati sensibili, ma sul concetto di pubblicarli online", commenta Dmitry Bestuzhev, Head of Global Research and Analysis Team (GReAT) America Latina a Kaspersky. Ciò non solo mette a repentaglio la reputazione di un'azienda, ma crea anche il rischio di azioni legali se i dati pubblicati violano normative come HIPAA (Health Insurance Portability and Accountability Act) o GDPR. Quindi c'è in gioco molto di più di una semplice perdita finanziaria".
"Di conseguenza, le organizzazioni non possono più visualizzare le minacce ransomware in modo unidimensionale come un solo tipo di malware", aggiunge Fedor Sinitsyn, ricercatore di sicurezza presso Kaspersky. “In effetti, il ransomware è spesso solo l'ultima fase della compromissione della rete. Quando il ransomware viene eseguito, l'attaccante ha già perlustrato l'intera rete, identificato i dati sensibili e li ha estratti. È importante che le organizzazioni implementino l'intera gamma di best practice per la sicurezza informatica. Il rilevamento tempestivo degli attacchi informatici, prima che gli aggressori raggiungano l'obiettivo prefissato, può far risparmiare alle aziende un sacco di soldi".
Ulteriori informazioni su SecureList su Kaspersky.com
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/