La Nuova Minaccia Ransomware: Triple Extortion

redazione

Alcuni giorni fa, l’FBI ha confermato che un gruppo di criminali informatici professionisti, chiamato DarkSide, è stato responsabile dell’attacco ransomware alla rete Colonial Pipeline. DarkSide è lavora attraverso il modello Ransomware-as-a-Service (RaaS), in cui viene utilizzato un programma partner per effettuare attacchi informatici, però si sa poco altro su questo attacco.

DarkSide è noto per essere parte di un trend di attacchi ransomware che coinvolgono sistemi raramente visti dalla comunità informatica, come i server ESXi. Ciò ha portato a credere che la rete ICS fosse coinvolta. È risaputo che questo ransomware è stato utilizzato in numerosi attacchi mirati, tra cui altre compagnie petrolifere come Forbes Energy Services e Gyrodata.

A seguito di altri attacchi su larga scala come quello alla città di Tulsa, e il ransomware REvil che ha cercato di estorcere Apple, è chiaro che gli attacchi di ransomware sono una delle principali preoccupazioni a livello globale. Tuttavia, c’è una reale mancanza di impegno da parte delle organizzazioni nel prepararsi a difendersi dagli incidenti o persino nel cercare di proteggersi in primo luogo.

Dati Globali

CPR riporta che, a marzo, gli attacchi ransomware avevano registrato un aumento del 57% rispetto a quelli di inizio 2021 a causa della divulgazione delle vulnerabilità di Microsoft Exchange. Più recentemente, Colonial Pipeline, una delle principali società di carburante degli Stati Uniti, è stata vittima di un simile attacco e nel 2020 si stima che il ransomware sia costato alle aziende di tutto il mondo circa 20 miliardi di dollari, una cifra che è quasi il 75% in più rispetto al 2019.

Da aprile, i ricercatori di CPR hanno notato che, in media, più di 1.000 organizzazioni vengono colpite da ransomware ogni settimana. Ciò segue un significativo aumento del numero di organizzazioni colpite finora: 21% nel primo trimestre del 2021 e 7% da aprile fino ad ora. Questa crescita ha portato a un incredibile aumento complessivo del 102% di aziende colpite da ransomware rispetto all’inizio del 2020.

cid:image004.png@01D74727.2C118000

Figura 1: numero settimanale di organizzazioni colpite da ransomware (2020-2021)

Media di attacchi settimanali per organizzazione in base al settore

I settori industriali che stanno attualmente sperimentando i volumi più elevati di tentativi di attacco ransomware a livello globale sono: l’healthcare, con una media di 109 tentativi di attacco per organizzazione ogni settimana, il settore delle utility con 59 attacchi, e, infine, il settore assicurativo/legale con 34 tentativi.

cid:image011.png@01D7472E.AA7C9CC0

Figura 2: Media di Attacchi Settimanali per organizzazione in base al settore – Aprile 2021

Geo-Data

L’impatto del ransomware per Regione

Un’organizzazione dell’Asia Pacifico (APAC), attualmente, subisce il maggior volume di attacchi ransomware. In media, le organizzazioni nell’APAC vengono attaccate 51 volte a settimana. Si tratta di un aumento del 14% rispetto all’inizio di quest’anno. Inoltre, le organizzazioni africane hanno visto il più alto aumento di attacchi, il 34%, da aprile.

In media, un’organizzazione nordamericana subisce 29 attacchi a settimana, le aziende europee e latinoamericane 14 e le aziende africane hanno quattro attacchi settimanali ciascuna.

Figura 3: Media settimanale di attacchi ransomware per organizzazione e regione – aprile 2021

I primi cinque Paesi con il maggior numero di attacchi ransomware

L’India ha registrato il maggior numero di tentativi di attacco per organizzazione, con una media di 213 attacchi settimanali dall’inizio dell’anno. Seguono l’Argentina con 104 per organizzazione, il Cile con 103, la Francia con 61 e Taiwan con 50.

Figura 4: “Mappa termica” dei paesi in cui le organizzazioni sono maggiormente colpite dal ransomware da aprile 2021

I principali settori attaccati per regione nel 2021

Come mostra la tabella, i ransomware si stanno concentrando in tutti i settori a livello globale. Mentre in Nord America le organizzazioni sanitarie hanno subito il maggior numero di attacchi dall’inizio dell’anno, in Europa le organizzazioni di servizi pubblici assimilano la maggior parte degli attacchi. In APAC, il settore le assicurativo/legale è il più colpito, mentre in LATAM, il settore più colpito è quella delle comunicazioni. In Africa, invece, il settore finanziario e bancario è il più attaccato.

Asia PacificLatin AmericaAfricaEuropeNorth America
Insurance/LegalCommunicationsFinance/BankingUtilitiesHealthcare
ManufacturingManufacturingManufacturingSoftware vendorSoftware vendor
HealthcareRetail/WholesaleRetail/WholesaleHealthcareInsurance/Legal
ISP/MSPFinance/BankingISP/MSPISP/MSPEducation/Research
Government/MilitaryGovernment/MilitaryGovernment/MilitaryGovernment/MilitaryGovernment/Military

Triple Extortion: la minaccia di terze parti

Il successo della double extortion nel corso del 2020, in particolare dallo scoppio della pandemia del Covid-19, è innegabile. Sebbene non tutti gli incidenti – e i relativi risultati – siano divulgati e pubblicati, le statistiche raccolte nel periodo 2020-2021 riflettono l’importanza del vettore di attacco. 

Il pagamento medio del riscatto è aumentato del 171% nell’ultimo anno e ora è di circa 310.000$. Oltre 1.000 aziende hanno subito perdite di dati dopo essersi rifiutate di soddisfare le richieste di riscatto nel 2020 e circa il 40% di tutte le famiglie di ransomware scoperte di recente ha incorporato l’infiltrazione dei dati nel proprio processo di attacco. Poiché i numeri riflettono un’eccellente tecnica d’attacco, che combina sia una violazione dei dati che una minaccia ransomware, è chiaro che gli aggressori stiano ancora cercando metodi per migliorare le percentuali sui pagamenti del riscatto.

I grandi attacchi che hanno avuto luogo alla fine del 2020 e all’inizio del 2021 indicano una nuova catena, essenzialmente un’espansione della tecnica del ransomware a doppia estorsione, che integra un’ulteriore minaccia unica al processo, e che possiamo chiamare Triple Extortion.

Il primo caso degno di nota è l’attacco alla clinica Vastaamo, avvenuto nell’ottobre 2020. Innovativa all’epoca, la clinica di psicoterapia finlandese di 40.000 pazienti ha subito una violazione della durata di un anno che è culminata in un vasto furto di dati dei pazienti e un attacco ransomware. All’operatore sanitario è stato chiesto un riscatto, mentre sono state richieste somme – inferiori – anche ai pazienti, che avevano ricevuto le richieste di riscatto individualmente tramite e-mail. In quelle e-mail, gli aggressori minacciavano di pubblicare gli appunti sulla sessione del terapeuta. Questo è stato il primo attacco del suo genere nel panorama degli attacchi ransomware.

Su scala più ampia, nel febbraio 2021 il gruppo ransomware REvil ha annunciato di aver aggiunto due fasi al loro doppio schema di estorsione: attacchi DDoS e telefonate ai partner commerciali della vittima e ai media. Il gruppo REvil ransomware, responsabile della distribuzione del ransomware Sodinokibi, opera secondo un modello di business ransomware-as-a-service. Il gruppo ora agisce con attacchi DDoS e chiamate VoIP con codifica vocale a giornalisti e colleghi come servizio gratuito per i suoi affiliati, volto ad esercitare ulteriori pressioni sull’azienda della vittima per soddisfare le richieste di riscatto entro il periodo di tempo stabilito.

Le vittime di terze parti, come clienti aziendali, colleghi esterni e service provider, sono fortemente influenzate e danneggiate dalle violazioni dei dati causate da questi attacchi ransomware, anche se le loro risorse di rete non sono prese di mira direttamente. Indipendentemente dal fatto che venga richiesto loro un ulteriore riscatto o meno, sono impotenti di fronte a tale minaccia e hanno molto da perdere se l’incidente prende una piega sbagliata. Tali vittime sono un bersaglio naturale per l’estorsione e, d’ora in poi, potrebbero essere sul radar dei gruppi di ransomware.

Come prevenire un attacco ransomware?

  1. Attenzione ai fine settimana e durante le vacanze: la maggior parte degli attacchi ransomware nell’ultimo anno si sono verificati durante i fine settimana e le vacanze, quando le persone hanno una soglia di attenzione più bassa.
  2. Aggiornamento delle patch: al momento del famoso attacco WannaCry nel maggio 2017, esisteva una patch per la vulnerabilità EternalBlue utilizzata da WannaCry. Questa patch era disponibile un mese prima dell’attacco ed era etichettata come “critica” a causa del suo alto potenziale di sfruttamento. Tuttavia, molte organizzazioni e individui non hanno applicato la patch in tempo, provocando un’epidemia ransomware che ha infettato più di 200.000 computer in tre giorni. 
    Mantenere i computer aggiornati e applicare le patch di sicurezza, in particolare quelle etichettate come critiche, può aiutare a limitare la vulnerabilità di un’organizzazione agli attacchi ransomware.
  3. Soluzioni anti-ransomware specifiche: alcuni hacker utilizzano e-mail di spear phishing ben studiate e altamente mirate come vettore di attacco. Queste e-mail possono ingannare anche il dipendente più diligente, con il risultato che il ransomware ottiene l’accesso ai sistemi interni di un’organizzazione. Per raggiungere il suo obiettivo, il ransomware deve eseguire determinate azioni anomale, come l’apertura e la crittografia di un gran numero di file. Le soluzioni anti-ransomware monitorano i programmi in esecuzione su un computer per comportamenti sospetti tipici ransomware e, se questi comportamenti vengono rilevati, il programma può intervenire per interrompere la crittografia prima che possano essere causati ulteriori danni.
  4. Istruzione: è fondamentale formare gli utenti e i dipendenti su come identificare ed evitare potenziali attacchi ransomware. Molti degli attuali attacchi informatici iniziano con un’e-mail e un messaggio che incoraggia l’utente a fare clic su un collegamento dannoso. La formazione è una delle difese più importanti che un’organizzazione può implementare.
  5. Il tutto non inizia con un ransomware: Ryuk e altri ransomware acquistano virus per organizzazioni mirate. I professionisti della sicurezza dovrebbero essere a conoscenza dei virus causati da Trickbot, Emotet, Dridex e CobaltStrik all’interno delle loro reti, e rimuoverli utilizzando soluzioni di ricerca delle minacce, poiché danno l’accesso a Ryuk o ad altri virus ransomware per infiltrarsi nelle organizzazioni.

I dati utilizzati in questo report sono stati rilevati dalle tecnologie di Check Point Threat Prevention, archiviati e analizzati in Check Point ThreatCloud. Quest’ultima fornisce informazioni sulle minacce in tempo reale derivate da centinaia di milioni di sensori in tutto il mondo, su reti, endpoint e dispositivi mobile. L’intelligence è arricchita con motori basati sull’intelligenza artificiale e dati di ricerca esclusivi di Check Point Research – The Intelligence & Research Arm di Check Point Software Technologies.