Senza scrupoli, organizzato, in rete: il ransomware non è più solo un passatempo per hacker annoiati, ma un business criminale con alti fatturati e posta in gioco. Ma alla fine, i criminali informatici sono solo persone che falliscono anche gli attacchi ransomware perfettamente pianificati. Sophos nomina alcuni difetti.
Un tipico ransomware è un sofisticato attacco guidato dall'uomo, in cui gli intrusi spesso rimangono sulla rete per diversi giorni o settimane prima di lanciare le loro estorsioni. Durante quel periodo, vagano per la rete, rubando dati, installando nuovi strumenti, eliminando backup e altro ancora.
Quando gli aggressori commettono errori sotto stress
In qualsiasi momento, l'attacco potrebbe essere rilevato e bloccato, e questo mette molto sotto stress i criminali informatici che controllano l'attacco tramite tastiera. Devono cambiare tattica durante l'implementazione o fare un secondo tentativo di implementazione pianificata del malware se il primo fallisce. Questa pressione può portare a errori. Dopotutto, i cyber gangster sono solo umani.
Il Sophos Rapid Response Team ha ripetutamente ridacchiato sugli attacchi ransomware falliti durante le sue recenti analisi. Ecco i primi 5 glitch ransomware:
- Il gruppo Avadon, che è stato chiesto dalla sua vittima di pubblicare i propri dati - non è stato possibile ripristinare una parte. Il gruppo, troppo stupido per capire cosa avesse in mente la vittima, ha dato seguito all'annuncio di rilasciare i dati delle vittime e l'azienda interessata è tornata in possesso dei propri dati.
- Gli attaccanti del labirintoche ha rubato una grande quantità di dati da un'azienda, solo per scoprire che erano illeggibili: già crittografati dal ransomware DoppelPaymer. Una settimana fa.
- Gli specialisti Conti crittografando la propria backdoor appena installata. Hanno installato AnyDesk su una macchina infetta per proteggere l'accesso remoto e quindi hanno lanciato il ransomware, che ha crittografato tutto sul dispositivo. Anche AnyDesk, ovviamente.
- La banda di Mount Locker, che non riusciva a capire perché una vittima si fosse rifiutata di pagare dopo aver fatto trapelare un campione. Perché? I dati pubblicati appartenevano a un'azienda completamente diversa.
- Gli aggressoriche ha lasciato i file di configurazione per il server FTP che hanno utilizzato per l'esfiltrazione dei dati. Ciò ha consentito alla vittima di accedere ed eliminare tutti i dati rubati.
"I problemi tecnici degli avversari che hanno attirato la nostra attenzione sono una testimonianza di quanto sia diventato affollato e commercializzato il panorama del ransomware", ha affermato Peter Mackenzie, manager del Sophos Rapid Response Team. “Come risultato di questa tendenza, trovi diversi aggressori che prendono di mira la stessa potenziale vittima. Aggiungi la pressione del software di sicurezza e dei risponditori agli incidenti ed è comprensibile che gli attacchi diventino soggetti a errori".
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.