Il ransomware prende di mira aziende da miliardi di dollari

30. Giugno 2021
| Non ci sono commenti
Il ransomware prende di mira aziende da miliardi di dollari

Condividi post

Il ransomware Nefilim prende di mira specificamente le vittime con oltre 1 miliardo di dollari di entrate annuali. Lo studio Trend Micro analizza uno dei gruppi di minacce ransomware moderni di maggior successo.

Trend Micro, uno dei principali fornitori mondiali di soluzioni di sicurezza informatica, ha pubblicato un caso di studio sul gruppo ransomware Nefilim, fornendo uno sguardo approfondito sulla natura dei moderni attacchi ransomware. Lo studio fornisce un prezioso background su come i gruppi di ransomware si evolvono, operano in clandestinità e su come le piattaforme avanzate di rilevamento e risposta aiutano a difendersi da loro.

Come funzionano le moderne famiglie di ransomware

Il modo in cui operano le moderne famiglie di ransomware rende molto più difficile per i team di sicurezza IT e SOC (Security Operations Center) già sovraccarichi rilevare e combattere gli attacchi informatici (rilevamento e risposta). Questo non è solo fondamentale per il successo aziendale e la reputazione aziendale, ma anche per il livello di stress degli stessi team SOC.

“I moderni attacchi ransomware sono altamente mirati, adattivi e furtivi, utilizzando approcci collaudati perfezionati dai gruppi Advanced Persistent Threat (APT). Rubando dati e bloccando sistemi critici, gruppi come Nefilim cercano di ricattare aziende globali altamente redditizie", ha affermato Richard Werner, consulente aziendale di Trend Micro. "Il nostro ultimo studio è una lettura obbligata per chiunque nel settore desideri comprendere appieno questa economia sommersa in rapida crescita e come le soluzioni Extended Detection and Response (XDR) possono aiutare a combatterla".

Al microscopio: 16 gruppi di ransomware

Tra i 2020 gruppi di ransomware intervistati da marzo 2021 a gennaio 16, Conti, Doppelpaymer, Egregor e REvil sono stati i migliori in termini di numero di vittime a rischio. Cl0p aveva i dati più rubati ospitati online a 5 terabyte (TB).

Tuttavia, a causa della sua stretta attenzione alle aziende con vendite annuali superiori a $ XNUMX miliardo, il reddito medio più alto di Nefilim proveniva dall'estorsione.

Come mostra lo studio Trend Micro, un attacco Nefilim di solito ha le seguenti fasi

  1. Accesso introduttivo che abusa di credenziali deboli su servizi RDP (Remote Desktop Protocol) esposti o altri servizi HTTP rivolti verso l'esterno.
  2. Una volta infiltrati, gli strumenti di amministrazione legittimi vengono utilizzati per i movimenti laterali per scoprire sistemi preziosi per il furto di dati e la crittografia.
  3. Viene impostato un "sistema di chiamata a casa" con Cobalt Strike e protocolli come HTTP, HTTPS e DNS che possono passare attraverso qualsiasi firewall.
  4. Per i server C&C vengono utilizzati servizi particolarmente sicuri, cosiddetti "antiproiettile".
  5. I dati vengono letti e poi pubblicati su siti Web protetti da Tor per ricattare le vittime. L'anno scorso, Nefilim ha rilasciato circa due terabyte di dati.
  6. La parte ransomware viene attivata manualmente non appena sono disponibili dati sufficienti.

Risultati dello studio: relazioni tra caricatori di malware e l'ultimo payload di ransomware (Immagine: Trend Micro).

Trend Micro ha già avvertito dell'uso diffuso di strumenti legittimi come AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec e MegaSync che consentono agli aggressori ransomware di raggiungere il loro obiettivo rimanendo inosservati. Ciò può rendere difficile per gli analisti SOC esaminare i registri degli eventi da diverse parti dell'ambiente per vedere il contesto e gli attacchi di alto livello.

Sfida per gli analisti SOC

Trend Micro Vision One monitora e correla i comportamenti sospetti su più livelli, dagli endpoint alla posta elettronica, ai server e ai carichi di lavoro cloud per garantire che non vi siano backdoor per gli autori delle minacce. Ciò garantisce tempi di risposta più rapidi in caso di incidenti. I team possono spesso bloccare gli attacchi prima che abbiano un serio impatto sul business.

Il rapporto completo, Modern Ransomware's Double Extortion Tactics and How to Protect Enterprises Against Them, è disponibile online su Trend Micro.

Altro su TrendMicro.com

 

Informazioni su TrendMicro

In qualità di uno dei principali fornitori mondiali di sicurezza IT, Trend Micro contribuisce a creare un mondo sicuro per lo scambio di dati digitali. Con oltre 30 anni di esperienza nella sicurezza, ricerca sulle minacce globali e costante innovazione, Trend Micro offre protezione per aziende, agenzie governative e consumatori. Grazie alla nostra strategia di sicurezza XGen™, le nostre soluzioni beneficiano di una combinazione intergenerazionale di tecniche di difesa ottimizzate per ambienti all'avanguardia. Le informazioni sulle minacce in rete consentono una protezione migliore e più rapida. Ottimizzate per carichi di lavoro cloud, endpoint, e-mail, IIoT e reti, le nostre soluzioni connesse forniscono visibilità centralizzata in tutta l'azienda per un rilevamento e una risposta più rapidi alle minacce.

 

Articoli relativi all'argomento

Sicurezza IT: NIS-2 ne fa una priorità assoluta

Solo in un quarto delle aziende tedesche il management si assume la responsabilità della sicurezza informatica. Soprattutto nelle aziende più piccole ➡ Leggi di più

Gli attacchi informatici aumenteranno del 104% nel 2023

Una società di sicurezza informatica ha dato uno sguardo al panorama delle minacce dello scorso anno. I risultati forniscono informazioni cruciali su ➡ Leggi di più

Sicurezza informatica: base per LockBit 4.0 disinnescata

Trend Micro, in collaborazione con la National Crime Agency (NCA) del Regno Unito, ha analizzato la versione inedita che era in fase di sviluppo ➡ Leggi di più

MDR e XDR tramite Google Workspace

Che si tratti di un bar, di un terminal aeroportuale o di un ufficio a casa, i dipendenti lavorano in molti luoghi. Tuttavia, questo sviluppo comporta anche delle sfide ➡ Leggi di più

Lo spyware mobile rappresenta una minaccia per le aziende

Sempre più persone utilizzano i dispositivi mobili sia nella vita di tutti i giorni che in azienda. Ciò riduce anche il rischio di “mobile ➡ Leggi di più

La sicurezza in crowdsourcing individua molte vulnerabilità

La sicurezza in crowdsourcing è aumentata in modo significativo nell’ultimo anno. Nel settore pubblico sono state segnalate il 151% in più di vulnerabilità rispetto all’anno precedente. ➡ Leggi di più

L'intelligenza artificiale su Enterprise Storage combatte il ransomware in tempo reale

NetApp è uno dei primi a integrare l'intelligenza artificiale (AI) e il machine learning (ML) direttamente nello storage primario per combattere il ransomware ➡ Leggi di più

FBI: Internet Crime Report conta 12,5 miliardi di dollari di danni 

L'Internet Crime Complaint Center (IC3) dell'FBI ha pubblicato il suo Internet Crime Report 2023, che include informazioni provenienti da oltre 880.000 persone ➡ Leggi di più

racconti
, , , ,