Doppia estorsione: ecco i trend evolutivi dei ransomware e perché siamo tutti a rischio attacco - Cyber Security 360

SICUREZZA INFORMATICA

Doppia estorsione: ecco i trend evolutivi dei ransomware e perché siamo tutti a rischio attacco

Gli attacchi ransomware a doppia estorsione rappresentano uno standard de facto per le organizzazioni criminali e uno dei principali fattori di rischio per la business continuity aziendale. Ecco come si è evoluto questo fenomeno criminale e perché siamo tutti sotto attacco

06 Ott 2021
M
Luca Mella

Cyber Security Expert

Il cyber crimine è confermato come uno dei principali fattori di rischio per la continuità di business delle aziende italiane ed europee. Questo primato è stato possibile grazie al boom delle pratiche di attacco ransomware a doppia estorsione, ormai uno standard de facto per le organizzazioni criminali più pericolose che operano nel cyber spazio.

Oggi, la conduzione di attacchi cibernetici si articola su modelli di intrusione consolidati e redditizi: i programmi affiliazione attirano i “talenti” del cyber crimine, i gruppi organizzati forniscono strumenti, indicazioni tattiche ed alle volte persino le liste dei bersagli da prendere di mira, come ha recentemente fatto la gang Groove con la pubblicazione di 500 mila credenziali Fortigate, e parecchie delle aziende che finiscono sotto scacco non riescono a resistere alle fortissime pressioni dei criminali, e pagano per riavere il controllo della loro vita digitale.

Il modello delle doppie estorsioni è estremamente allettante per i cyber criminali: in nessuna epoca storica precedente si erano allineate tante condizioni favorevoli allo sviluppo di questo business illecito: il boom delle criptovalute, le accelerazioni nei processo di digitalizzazione durante la pandemia, lo smart working, le tensioni internazionali, l’impunità dei crimini, il fortissimo e grave ritardo degli stati nazionali nel promuovere un ecosistema della cyber sicurezza, sono stati catalizzatori di un fenomeno che si è notevolmente diversificato nel tempo.

Doppia estorsione: l’esplosione dei “brand”

Sin dalle origini degli attacchi ransomware moderni uno dei punti saldi che ha caratterizzato il fenomeno è stato l’astuto uso del “brand”. Mai come da due anni a questa parte, il cyber crimine ha dato prova di saper utilizzare gli strumenti della comunicazione per creare entità riconoscibili e riconosciute, che caratterizzino il loro operato.

Le ragioni dietro al successo di questa oculata scelta sono sostanzialmente due: in primis, il brand del gruppo ransomware ha un ruolo molto importante nell’alimentare il flusso di nuovi affiliati alle operazioni criminali, un po’ come si fa in tante aziende all’avanguardia con l’employer branding per attrarre le nuove risorse, che poi permettono al modello di business delle doppie estorsioni di scalare e generare profitti ingenti.

In secondo luogo, il brand criminale diventa un elemento distintivo anche agli occhi delle vittime: ad esempio, chi sa di essere vittima di particolari gruppi, sa di cosa sono capaci e ha modo di sapere se utilizzano strumenti ransomware realmente decifrabili.

Il tempo lo ha confermato: l’applicazione del “branding” alle organizzazioni cyber criminali è stato un esperimento riuscito. Da inizio 2020, i gruppi che operavano questo genere di attacchi erano pochissimi, una manciata, mentre oggi ci troviamo di fronte ad una vera e propria esplosione di brand: oltre 52 attori hanno fatto la loro comparsa nel cyber spazio.

I dati sugli attacchi e le attività di tutti questi gruppi criminali riservano però altre sorprese.

L’esplosione dei brand non è meramente questione di addizioni. La conferma della rilevanza dell’aspetto reputazionale si legge anche nella rapidità con cui alcuni di questi “marchi” sono svaniti: infatti, vari gruppi criminali hanno portato avanti progetti di re-branding per salvare parte del loro illecito guadagno dopo errori nella gestione degli affiliati o importanti arresti tra le loro fila.

Attività dei principali gruppi ransomware (Fonte:doubleextortion.com).

L’incremento degli attacchi a doppia estorsione

Che il trend degli attacchi ransomware sia in crescita è un dato di fatto corroborato dagli osservatori di tutto il mondo.

Lo stesso vale anche per le pratiche di attacco a doppia estorsione: anche se si tratta di una limitata parte dell’ecosistema criminale che si basa sui modelli di business Ransomware as a Service, la sua crescita rappresenta un fortissimo rischio per le aziende perché, tipicamente, i gruppi che operano questa variante di attacchi cyber sono tra i più pericolosi, organizzati ed esperti in circolazione.

Analizzando le curve cumulative degli attacchi pubblicati nei canali underground utilizzati agli attori delle double extortion ci troviamo di fronte ad un costante incremento dei casi che, anche se rappresentano una piccola parte degli attacchi portati a termine, si può quantificare con una linearizzazione con pendenza positiva a fattore 6.

In altre parole, significa che di questo passo, a fine 2022, gli attacchi noti potrebbero essere oltre 5.000, sempre che non vi siano derive esponenziali nel corso dei prossimi mesi. Il rischio di deriva esponenziale è concreto e rappresenta un problema serio per il tessuto produttivo.

Già oggi si fatica a tenere testa al fenomeno e le aziende che non hanno il supporto adeguato per gestire al meglio la situazione subiscono conseguenze anche nel medio-lungo termine.

Questo trend va tenuto sotto stretta osservazione proprio per monitorare le deviazioni esponenziali, perché gli attacchi di cui si è composto sono stati, sono e saranno estremamente dannosi per le filiere produttive, per gli ecosistemi locali e nazionali. Non solo per il mondo privato.

Cumulativa degli attacchi ransomware pubblicati dagli attori (Fonte:doubleextortion.com).

I rischi per le infrastrutture critiche

L’attacco a Colonial Pipeline dello scorso mese di maggio 2021 fa parte di questi dati e rappresenta in maniera inequivocabile l’impatto che i gruppi di attacco ransomware a doppia estorsione possono avere sulla tenuta della società stessa.

A seguito dell’attacco, una buona fetta della east coast degli Stati Uniti di America è rimasta per giorni senza approvvigionamento di carburanti, condizione che ha fatto scattare le allerte massime sino alla Presidenza, che ha dovuto attivare protocolli emergenziali mai visti prima per un attacco cyber.

Attacco a Colonial Pipeline, il prima e dopo che stanno cambiando lo scenario del cyber crime

La supply chain nel mirino dei criminal hacker

L’attacco a Kaseya di luglio 2021 è l’esempio più drammatico dell’impatto che gli operatori ransomware a doppia estorsione possono avere: migliaia di organizzazioni in tutto il mondo sono state colpite tramite l’inoculazione di codice malevolo nei prodotti software di Kaseya.

Qualcosa di simile era già successo nel 2020 con il caso SolarWinds, ma mai a firma di attori cyber criminali.

Altro caso notevole che ha fatto tremare le supply chain di tantissime gruppi industriali in Europa è stato il caso Accenture. La nota compagnia di consulenza ha infatti subito la violenza delle attenzioni della gang Lockbit che ha prelevato oltre 2300 documenti interni di progetti riservati da una delle sue subsidiarie.

Lockbit, chi è e come agisce la gang del ransomware

Grandi multinazionali sotto attacco

Nelle statistiche delle estorsioni ransomware ci sono organizzazioni di ogni tipo, non solo piccole e medie imprese. A riprova del rischio concreto e del livello di minaccia che questi attori pongono ci sono casi di estorsioni cyber che hanno coinvolto grandi organizzazioni multinazionali.

La tedesca Puma, ad esempio, un colosso di modernità e innovazione nel mondo della moda è stata colpita dagli operatori dell’organizzazione criminali Marketo, o ancora il delicato caso di Olympus, la multinazionale giapponese specializzata in apparecchiature ottiche e tecnologie per la chirurgia che ha letteralmente spento i datacenter dell’intera area EMEA a causa della potente cyber estorsione di cui è stata vittima.

USA e cyber guerra: ecco le misure di sicurezza per proteggere il sistema Paese

Anche la PA italiana vittima della doppia estorsione

Nei numeri dei trend ci sono dentro anche attacchi che abbiamo dolorosamente subito proprio come cittadini italiani.

A partire dal caso più eclatante della Regione Lazio, colpita duramente dalla gang RansomExx con ripercussioni persino sulla campagna vaccinale covid19, le stesse sorti sono toccate anche alla Regione Toscana, che proprio poche settimane dopo gli eventi di Regione Lazio è stata anch’essa vittima di pesanti estorsioni cyber.

Il coinvolgimento italiano in questi fenomeni non si ferma qui. Il Consiglio Nazionale Forense e il Consiglio Nazionale del Notariato sono anch’essi finiti nelle mire dei criminali di Conti e RansomExx.

Per non parlare delle ondate di attacchi che tra aprile e maggio 2021 hanno investito i comuni di Comune di Porto Sant’Elpidio, Brescia, Città di Caselle Torinese e il Comune di Rho, a firma degli operativi del gruppo DoppelPaymer.

Attacchi ripresi anche a settembre con le estorsioni ai danni dell’unione dei comuni del Reno Galliera, nel bolognese.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3