La nuova tendenza nel mondo del cyber crimine è quella dei ransomware 2.0, una pericolosa evoluzione del malware che, in aggiunta alla crittografia dei dati, ha adottato nuove tecniche di attacco per costringere le vittime a pagare il riscatto minacciandole di pubblicare dati e informazioni riservate.
Il trend, già presente massicciamente nei primi sei mesi dell’anno secondo il report Global Threat Landscape di Fortinet, è stato riscontrato in tracce e poi analizzato a fondo negli ultimi due anni dai ricercatori Kaspersky. Gli analisti lo hanno recentemente riscontrato su Ragnar Locker ed Egregor, due importanti famiglie di ransomware.
Indice degli argomenti
Il fenomeno in crescita dei ransomware 2.0
Il Global Threat Landscape Report, in particolare, ha evidenziato che il trend dei ransomware non punta verso la scomparsa dallo scenario dei pericoli digitali, ma che anzi si evolve verso nuove forme di pressione e costrizione ai danni delle vittime.
In parte veicolate mediante messaggi di posta elettronica e allegati aventi come tema la COVID-19 utilizzata come esche, in diverse campagne sono state osservate tendenze di danneggiamento dei dati come nel caso del malware che riscriveva il master boot record (MBR) dei computer prima di crittografare i dati, oppure i dati dell’azienda target sono stati esfiltrati utilizzando, oltre alla criptazione, la minaccia della distribuzione su larga scala come leva aggiuntiva per tentare di estorcere il pagamento del riscatto. Si tratta, in questi casi, di ransomware a doppia estorsione.
Questa tendenza, in aumento, accresce notevolmente il rischio che le aziende possano perdere informazioni preziose o altri dati sensibili.
A livello globale, nessun settore è stato risparmiato dal ransomware 2.0: i dati mostrano che i cinque settori maggiormente presi di mira da questa tipologia di attacchi sono le telecomunicazioni, gli MSSP, l’istruzione, il governo e la tecnologia.
Sfortunatamente, poi, l’aumento della vendita del ransomware come servizio (RaaS) e l’evoluzione di alcune varianti indicano che la situazione non sta migliorando.
Secondo un report specializzato sui ransomware e divulgato da Kaspersky, che ha analizzato il fenomeno a cavallo del 2018-2020, gli attacchi ransomware “standard”, sono stati modificati in attacchi più mirati contro aziende e settori specifici.
Il doppio ricatto è divenuto un mezzo di pressione molto più sofisticato della sola crittografia dei dati per ottenere il pagamento dalle vittime.
I ricercatori di Kaspersky hanno osservato questo trend nella recente analisi sulle famiglie di ransomware Ragnar Locker ed Egregor. Il primo Ragnar Locker, scoperto per la prima volta nel 2019, è salito agli onori della cronaca solo nella prima metà del 2020, quando ha colpito alcune grandi organizzazioni con attacchi molto mirati.
Lo scorso luglio, Ragnar Locker ha dichiarato di aver aderito al cartello del ransomware Maze, una delle più note famiglie ransomware del 2020. Egregor, invece, è un ransomware più recente rispetto a Ragnar Locker, tanto da essere emerso a settembre 2020, ma utilizza tattiche simili a quelle usate dal gruppo Maze oltre a presentare delle somiglianze nel codice. Concede 72 ore alla vittima per il pagamento del riscatto, trascorse le quali attiva la pubblicazione dei dati riservati, inserendo nomi e collegamenti per scaricare i dati su un sito preposto alla fuga di notizie. Egregor ha mietuto vittime in Nord America, Europa e in alcune zone della regione APAC (Asia Pacific).
Dmitry Bestuzhev, Head del Latin American Global Research and Analysis Team (GReAT), fa notare anche una ulteriore componente di rischio che “preme” sulle potenziali vittime: “La reputazione aziendale non è la sola a essere messa a repentaglio. Nel caso in cui i dati pubblicati violino norme come l’HIPAA o il GDPR, è possibile che vengano intraprese anche azioni legali, con delle conseguenze che vanno oltre le perdite finanziarie”.
Ransomware 2.0: la double extortion spiegata
Marco Ramilli, esperto di sicurezza informatica, ricercatore e CEO di Yoroi, spiega che gli attacchi ransomware così evoluti sono denominati “double extortion”. La tendenza è già attiva da numerosi mesi e Maze è, storicamente, il primo gruppo ad averla adottata ed il primo gruppo a manifestare un complesso sistema di organizzazione che comprende, per esempio, anche un ufficio stampa (ie. Maze ha recentemente annunciato di cessare le proprie attività, proprio attraverso un comunicato stampa).
Il gruppo ha avuto grande successo nell’ultimo anno, guadagnando milioni di dollari, tanto da aver reinvestito in parte i suoi guadagni per crescere e strutturarsi come una vera e propria organizzazione fino all’ultimo comunicato di cessazione attività.
La sofisticazione degli attacchi di double extortion è sempre in crescita, causato in parte dal continuo sviluppo di malware sempre più evasivi e in parte dalla capacità di creare team dedicati ad ogni vittima, capaci di lavorare in modalità mirata, al fine di insediarsi nell’intera rete target, per rapire tanti più dati possibili.
Da un punto di vista psicologico, la double extortion trova terreno più fertile rispetto alla tradizionale richiesta di riscatto. Nonostante la frustrazione iniziale dovuta alla compromissione della propria rete aziendale comune, in entrambi gli schemi di ricatto, la sola compromissione dei propri dati, attraverso ransomware (schema single extortion), può essere parzialmente placata attraverso robusti sistemi di backup offline e attraverso sistemi di ultima generazione per la detection e l’identification della minaccia.
La nuova modalità estorsiva, ovvero la minaccia di pubblicare i dati dell’organizzazione vittima, tocca tasti ben più dolenti all’interno della psiche.
Il timore del beneficio che i concorrenti possano trarre dalla visione dei propri documenti, l’esposizione potenziale di “scheletri nell’armadio”, l’evidenza della struttura interna dei propri sistemi di condivisione, giocano tutte insieme un ruolo sostanziale nella psiche del management che potrebbe cedere più facilmente al ricatto stesso.
Oggi i gruppi di criminal hacker che ricorrono alla tecnica della doppia estorsione sono numerosi e tutti molto efficaci. Si muovono attraverso exploiting di apparati esposti e vulnerabili, attraverso la compromissione di fornitori ed il conseguente accesso VPN, oppure attraverso la realizzazione di phishing-kit specifici atti ad indurre la vittima ad aprire documenti malevoli.
Raccomandazioni e buone prassi
Fedor Sinitsyn, security expert di Kaspersky, suggerisce di “implementare tutte le buone pratiche in materia di sicurezza informatica poiché il ransomware 2.0 è spesso solo la fase finale di una violazione della rete. È necessario identificare l’attacco in una fase iniziale, prima che gli attaccanti raggiungano il loro obiettivo finale, quindi si devono attuare prassi per prevenire il più possibile l’entrata dell’attaccante interessato ad effettuare la ricognizione della rete, l’identificazione dei dati confidenziali e la loro esfiltrazione”.
Per questo fine si consiglia di:
- non esporre i servizi di desktop remoto (come l’RDP, il Remote Desktop Protocol) a reti pubbliche se non strettamente necessario e utilizzare sempre password complesse;
- aggiornare sempre il software su tutti i dispositivi utilizzati. Per impedire al ransomware di sfruttare le vulnerabilità, servirsi di strumenti in grado di rilevarle in modo automatico e scaricare e installare le patch soprattutto per le soluzioni VPN commerciali che forniscono l’accesso ai dipendenti da remoto e agiscono come gateway all’interno della rete;
- non aprire allegati sospetti ricevuti via mail da mittenti sconosciuti e formare i dipendenti alla protezione delle risorse aziendali. Ad esempio, Kaspersky ha messo a disposizione una lezione gratuita su come proteggersi da attacchi ransomware;
- utilizzare soluzioni di endpoint detection & response per identificare e bloccare l’attacco nella sua fase iniziale e coadiuvarla con una soluzione di prevenzione da 0-day basate su behaviour detection;
- focalizzarsi nella rilevazione dei movimenti laterali e sull’esfiltrazione di dati su internet, monitorando il traffico in uscita ed eseguendo regolarmente il backup dei dati con capacità di ripristino immediato in caso di attacco;
- utilizzare una soluzione di sicurezza affidabile per i dispositivi personali che protegga dagli encryption malware e ripristini le modifiche apportate dalle applicazioni dannose.
