Ransomware-as-a-Service: i malintenzionati e il loro servizio RaaS

2. Settembre 2022
| Non ci sono commenti
Ransomware-as-a-Service: i cattivi e il loro servizio

Condividi post

Le offerte "As-a-Service" possono essere trovate ovunque nell'IT. Anche i criminali informatici hanno adattato questa idea di servizio e da tempo offrono ransomware-as-a-service, in breve RaaS. Ciò significa che gli aggressori meno sofisticati possono anche eseguire attacchi ransomware. Il numero di attacchi aumenta così tanto. Un'analisi di Arctic Wolf.

Come un Studio dell'associazione digitale Bitcom eV mostra, l'2020% di tutte le aziende è stato colpito da attacchi ransomware nel 21/88. Il boom del lavoro da remoto, dell'home office, della cloudificazione e dei dispositivi IoT in rete sta facendo il gioco degli aggressori, poiché queste tendenze aumentano la superficie di attacco e offrono nuovi gateway.

In tali attacchi, i criminali informatici irrompono nei sistemi aziendali e rubano e/o crittografano determinate informazioni. Per poter decrittografare nuovamente questi dati, viene quindi richiesto un riscatto. Oltre al notevole danno finanziario causato dal pagamento o dai processi di recupero, tali attacchi possono anche portare a enormi danni reputazionali. La maggior parte di questi attacchi (stimati 64 per cento) stanno già avvenendo utilizzando il metodo RaaS e la tendenza è in aumento.

Un servizio dal lato oscuro

Nel caso delle offerte RaaS, gruppi ransomware come Conti, REvil o RagnarLocker e i loro gruppi scissionisti e successori forniscono gli strumenti o le piattaforme appropriati, nonché servizi supplementari come istruzioni, best practice e persino un helpdesk IT. Sebbene i nomi dei gruppi siano molto volatili, gli attori effettivi spesso rimangono gli stessi. Agiscono in modo altamente professionale e non hanno nulla a che fare con il comune cliché degli hacker del lupo solitario con la felpa con cappuccio. In effetti, difficilmente si distinguono dalle aziende rispettabili: con il proprio dipartimento delle risorse umane, programmi di bonus e premi per "Impiegato del mese", come recentemente un trucco ha mostrato.

Cyber ​​​​gangster con struttura aziendale

I servizi di solito possono essere trovati tramite il deep web o il dark web. I fornitori a volte differiscono notevolmente in ciò che offrono. Proprio come con i fornitori di servizi affidabili, anche le bande RaaS offrono tutto ciò che un cuore (criminale) desidera, dal semplice acquisto di ransomware a un modello di abbonamento. I fornitori offrono anche diversi modelli per quanto riguarda la strategia dei prezzi: da un pagamento una tantum all'acquisto a modelli di leasing e quote del riscatto.

Le criptovalute come Bitcoin, Monero e Co. sono un fattore chiave di successo per gli attacchi RaaS, in quanto sono difficili da rintracciare e possono essere "riciclate" relativamente facilmente. In quanto tali, sono eccellenti per i pagamenti RaaS e le richieste di riscatto, ed è improbabile che siano recenti Diminuzione del prezzo della criptovaluta molto cambierà. I prezzi in calo vengono semplicemente compensati nella fase di negoziazione con la vittima.

Cosa fare quando le cose si fanno serie?

La crittografia dei sistemi e la minaccia di pubblicare i dati acquisiti, come informazioni sui clienti, dettagli sui prodotti e dati finanziari, possono minacciare l'esistenza delle aziende. Questo è ciò che rende RaaS così attraente e rende il ransomware una merce di scambio incredibilmente potente nelle mani dei criminali informatici. Se un attacco ransomware ha avuto successo, molte aziende sono spesso in perdita all'inizio. Disperati e impotenti, spesso non hanno altra scelta che soddisfare la richiesta di riscatto, sebbene LKA, BKA e BSI lo sconsigliano severamente, per non finanziare ulteriormente la criminalità organizzata e creare motivazione per ulteriori crimini. Ma come dovrebbero reagire le aziende?

Dopo l'attacco, conta il riposo

dott Sebastian Schmerl, Direttore dei servizi di sicurezza EMEA, Arctic Wolf

Prima di tutto, mantieni la calma! L'attacco acuto non è il momento giusto per attribuire colpe. Piuttosto, è giunto il momento di lavorare insieme e non agire frettolosamente. Le autorità competenti dovrebbero essere informate immediatamente (sono anche disponibili a fornire consulenza). Se un'azienda dispone già di un piano di emergenza, dovrebbe essere seguito. Il passo successivo è analizzare e riflettere sulla situazione e quindi avviare le necessarie contromisure. Se le risorse interne e le competenze mancano in questa situazione eccezionale, le aziende possono anche rivolgersi all'aiuto professionale di fornitori di servizi di sicurezza esterni come lupo artico ripiegare su.

  • Il primo passo è chiarire la situazione attuale. Ciò significa l'attuazione di Risposta agli incidenti- Misure per fermare l'ulteriore diffusione dell'incidente.
  • Una volta chiarito lo status quo, devono farlo entità del danno e opzioni di ripristino essere determinato. Quali backup sono ancora disponibili e devono essere portati offline? Quali servizi sono interessati, quali dati sono crittografati e quali azioni di ripristino devono essere intraprese?
  • Una volta che queste domande hanno avuto risposta, il terzo passo è farlo Informazioni sull'intelligence sulle minacce raccogliere tutte le informazioni sugli aggressori, sul malware utilizzato e su incidenti simili.
  • Nella quarta fase, il Business Case impostare - la richiesta di riscatto dovrebbe essere soddisfatta o no? Tutti gli aspetti vanno soppesati con molta attenzione: capitale della società, eventuali danni reputazionali, azioni legali, ecc.
  • Nella quinta e ultima fase, ci mettiamo al lavoro: il Trattative con i criminali informatici. Ci sono due punti da notare qui: i negoziati sono in corso con i criminali, cioè non ci sono garanzie. Tuttavia, la cortesia è richiesta per non infastidire inutilmente l'altra persona.

Ransomware: prevenire è meglio che curare

Indipendentemente dal fatto che il riscatto sia stato pagato o meno, il caso dovrebbe essere ben elaborato per posizionare meglio l'azienda in futuro. Dopo l'attacco, tutti i sistemi dovrebbero quindi essere prima accuratamente scansionati e puliti e i dati di accesso di tutti gli utenti dovrebbero essere riassegnati. Inoltre, dovrebbe seguire una caccia intensiva o un monitoraggio pubblico, oscuro e profondo del web per garantire che nessun dato sia stato realmente pubblicato.

Ultimo ma non meno importante: meglio prevenire che curare! “La migliore protezione contro gli attacchi ransomware è una buona preparazione. Le lacune di sicurezza e le debolezze del sistema dovrebbero essere colmate con patch regolari e dovrebbe essere effettuato un monitoraggio completo della sicurezza. Come spesso accade, la più grande debolezza è il fattore umano. La misura più importante è quindi formare regolarmente i dipendenti e stabilire così una mentalità di sicurezza in azienda. Se l'azienda non dispone delle risorse interne necessarie per questo, può rivolgersi a esperti di sicurezza affidabili - come Arctic Wolf - che la supportano nell'implementazione di queste misure di sicurezza. Se si tiene conto di tutto ciò, l'azienda è ben preparata per un'emergenza”. secondo il dott. Sebastian Schmerl, Direttore dei servizi di sicurezza EMEA, Arctic Wolf.

Altro su ArcticWolf.com

 

A proposito di lupo artico

Arctic Wolf è un leader globale nelle operazioni di sicurezza, fornendo la prima piattaforma di operazioni di sicurezza nativa del cloud per mitigare il rischio informatico. Sulla base della telemetria delle minacce che copre endpoint, rete e fonti cloud, Arctic Wolf® Security Operations Cloud analizza più di 1,6 trilioni di eventi di sicurezza alla settimana in tutto il mondo. Fornisce informazioni critiche per l'azienda su quasi tutti i casi d'uso della sicurezza e ottimizza le soluzioni di sicurezza eterogenee dei clienti. La piattaforma Arctic Wolf è utilizzata da oltre 2.000 clienti in tutto il mondo. Fornisce rilevamento e risposta automatizzati alle minacce, consentendo alle organizzazioni di tutte le dimensioni di impostare operazioni di sicurezza di livello mondiale con la semplice pressione di un pulsante.

 

Articoli relativi all'argomento

Sicurezza IT: NIS-2 ne fa una priorità assoluta

Solo in un quarto delle aziende tedesche il management si assume la responsabilità della sicurezza informatica. Soprattutto nelle aziende più piccole ➡ Leggi di più

Gli attacchi informatici aumenteranno del 104% nel 2023

Una società di sicurezza informatica ha dato uno sguardo al panorama delle minacce dello scorso anno. I risultati forniscono informazioni cruciali su ➡ Leggi di più

Sicurezza informatica: base per LockBit 4.0 disinnescata

Trend Micro, in collaborazione con la National Crime Agency (NCA) del Regno Unito, ha analizzato la versione inedita che era in fase di sviluppo ➡ Leggi di più

MDR e XDR tramite Google Workspace

Che si tratti di un bar, di un terminal aeroportuale o di un ufficio a casa, i dipendenti lavorano in molti luoghi. Tuttavia, questo sviluppo comporta anche delle sfide ➡ Leggi di più

Lo spyware mobile rappresenta una minaccia per le aziende

Sempre più persone utilizzano i dispositivi mobili sia nella vita di tutti i giorni che in azienda. Ciò riduce anche il rischio di “mobile ➡ Leggi di più

La sicurezza in crowdsourcing individua molte vulnerabilità

La sicurezza in crowdsourcing è aumentata in modo significativo nell’ultimo anno. Nel settore pubblico sono state segnalate il 151% in più di vulnerabilità rispetto all’anno precedente. ➡ Leggi di più

L'intelligenza artificiale su Enterprise Storage combatte il ransomware in tempo reale

NetApp è uno dei primi a integrare l'intelligenza artificiale (AI) e il machine learning (ML) direttamente nello storage primario per combattere il ransomware ➡ Leggi di più

FBI: Internet Crime Report conta 12,5 miliardi di dollari di danni 

L'Internet Crime Complaint Center (IC3) dell'FBI ha pubblicato il suo Internet Crime Report 2023, che include informazioni provenienti da oltre 880.000 persone ➡ Leggi di più

 

racconti
, , , , ,