Parte 1 di 3 della serie Ransomware: una guida sul campo
Nel 1989, il primo attacco ransomware, noto come “AIDS Trojan” è stato distribuito tramite un floppy disk. I criminali informatici chiedevano alle vittime di pagare solo 189 dollari, equivalenti a circa 450 dollari nel 2023, tramite assegno postale in cambio di una chiave di decrittografia.
Oggi, i criminali informatici responsabili del ransomware continuano a perfezionare le loro tattiche e a mettere a segno colpi più redditizi. Hanno estorto milioni di dollari a club sportivi, aziende Fortune 500, governi di tutto il mondo, tra gli altri.
I professionisti della sicurezza informatica devono tenere il passo con il panorama del ransomware in continua evoluzione per prevenire questi attacchi costosi. Di seguito, abbiamo riunito le cinque principali tendenze del ransomware identificate di recente da Proofpoint e di cui le aziende dovrebbero essere al corrente.
1. Il ransomware persiste e lancia altri attacchi contro le infrastrutture critiche
Gli attacchi ransomware possono sembrare in fase di stallo ultimamente, ma rimangono una minaccia persistente. Questa apparente tregua potrebbe essere legata alla chiusura di numerose bande di ransomware prolifiche da parte delle forze dell'ordine. Inoltre, altri gruppi si sono recentemente sciolti o riorganizzati. Questi sviluppi hanno temporaneamente sconvolto il mercato. Inoltre, i gruppi Ransomware-as-a-Service (RaaS) si sono consolidati. I gruppi RaaS sviluppano strumenti ransomware pronti per l'uso e li vendono in abbonamento. Riducendo il costo e il livello di competenza tecnica necessari per lanciare attacchi ransomware, questi gruppi hanno aperto il mercato ai criminali informatici meno esperti.
Oggi il bacino di potenziali vittime si sta riducendo perché molte aziende stanno rafforzando le loro misure di sicurezza. Di conseguenza, i criminali informatici hanno spostato la loro attenzione su obiettivi più facili, per esempio le infrastrutture critiche, come i trasporti, le comunicazioni, la sanità e l'istruzione. Solo nel 2022, queste aziende hanno presentato all’FBI 870 denunce di attacchi ransomware, un aumento del 34% rispetto all’anno precedente.
Secondo il report 2022 Cost of a Data Breach (Report 2022 sul costo delle violazioni dei dati) pubblicato da IBM, le aziende che si occupano di infrastrutture critiche sono spesso in ritardo quando si tratta di implementare una strategia Zero Trust e di investire in tecnologie di sicurezza. Per questo motivo, quando subiscono una violazione, i costi possono essere fino al 23% più alti rispetto ad altre aziende, rendendole un obiettivo primario per i gruppi di ransomware. Le aziende del settore dell’istruzione e della sanità sono state colpite in modo particolare da questa tendenza nell’ultima parte del 2022.
Non solo gli attacchi ransomware contro le infrastrutture critiche sono estremamente costosi, ma sono anche considerati una minaccia per la sicurezza nazionale. La Casa Bianca ha recentemente pubblicato la sua strategia nazionale per la sicurezza informatica, che riclassifica questi attacchi come minacce contro la “sicurezza nazionale, la sicurezza pubblica e la prosperità economica”.
2. Le tecniche di estorsione a più fasi sono in aumento
I tempi in cui gli attacchi ransomware si limitavano a bloccare l’accesso ai sistemi e a crittografare i dati dopo un attacco ransomware sono ormai lontani. I criminali informatici si concentrano ora sull'aumento dei pagamenti. Richiedono perciò pagamenti multipli, violano diverse serie di dati, rendono pubbliche le loro vittime sui siti di divulgazione (“leak sites”) e ricattano i consumatori con tecniche di doppia e tripla estorsione in cui ricattano i clienti.
Secondo il report State of the Phish 2023 di Proofpoint, il 64% delle aziende infettate dal ransomware ha accettato di pagare il riscatto. Di queste, il 41% è stato costretto a pagare più di una volta. Una piccola percentuale degli sventurati non ha mai riottenuto l’accesso ai propri dati. Questa situazione, purtroppo, non è rara.
Negli ultimi anni, è aumentata la frequenza d’uso di tecniche di doppia estorsione da parte degli operativi di ransomware. Anziché limitarsi a bloccare le operazioni aziendali, i criminali informatici che utilizzano queste tecniche esportano i dati dei clienti e li usano come leva. A volte, questi criminali informatici saltano la fase di crittografia e passano direttamente alle tattiche di estorsione.
Il numero di criminali informatici che preferiscono il furto di dati e gli attacchi di estorsione - e non utilizzano il ransomware - è in aumento. In base al report sulle minacce globali 2023 di CrowdStrike, questo gruppo è aumentato del 20% nel 2022. Anche le tecniche di estorsione si sono evolute, dando vita alla tripla estorsione, in cui i gruppi ransomware aggirano le aziende contattando direttamente i consumatori i cui dati sono stati rubati per avvisarli di una violazione.
L’obiettivo della tripla estorsione è convincere i clienti ad esercitare un’ulteriore pressione sull’azienda vittima e, raramente, estorcere denaro ai clienti stessi. Questa tecnica criminale è stata utilizzata negli Stati Uniti nel dicembre 2022 contro il Knox College, un’università americana con sede in Illinois. Il gruppo di ransomware Hive, recentemente chiuso, ha avuto accesso a informazioni sensibili degli studenti e li ha contattati direttamente per richiede un riscatto.
3. Man mano che i livelli di sicurezza aumentano, gli importi dei riscatti si stabilizzano
Gli anni di lotta al ransomware su più fronti sembrano dare i loro frutti. A gennaio, Chainalysis ha stimato che i pagamenti di ransomware sono diminuiti in modo significativo nel 2022, passando da 5,7 milioni di dollari a 4,1 milioni di dollari. Questo calo può essere attribuito ai progressi compiuti su diversi fronti, più che a una diminuzione sostanziale delle minacce ransomware. Oggi le aziende sono meglio attrezzate per prevenire gli attacchi ransomware. Per i criminali informatici è più difficile ricevere pagamenti a causa delle turbolenze nei mercati delle criptovalute. Inoltre, le aziende seguono anche le linee guida delle forze dell'ordine, che suggeriscono di non pagare i riscatti.
Questa è una buona notizia per qualsiasi azienda venga infettata da un ransomware in futuro. Ma il pagamento del riscatto rimane una preoccupazione, specialmente per le aziende che contano sull’assicurazione contro i rischi informatici per ottenere un rimborso. Secondo il nostro report State of the Phish 2023, l’82% delle aziende che hanno subito un incidente ransomware e richiesto copertura dalle loro polizze di assicurazione contro i rischi informatici, meno del 40% ha ricevuto un risarcimento completo. Inoltre le polizze di assicurazione contro i rischi informatici sono sempre più costose e difficili da sottoscrivere. Nel 2022, Forrester ha rilevato che solo un’azienda su cinque disponeva di una polizza assicurativa contro i rischi informatici con copertura superiore ai 660.000 dollari. Questa cifra è di gran lunga inferiore alla richiesta di riscatto media di 2,2 milioni di dollari stimata da Palo Alto Networks.
Questo sottolinea ancora una volta quanto sia diventato fondamentale l’adozione di un “Shift Left” per prevenire i payload iniziali. Un altro aspetto positivo di questa tendenza è che anche lo sconto medio sui pagamenti dei ransomware sembra essere in aumento. Le vittime possono aspettarsi uno sconto del 20%-25% sui pagamenti, a volte anche fino al 60%.
4. I gruppi ransomware diventano più mirati e sofisticati
Poiché sempre più aziende si rifiutano di pagare, i gruppi ransomware stanno diventando più strategici per quanto riguarda le modalità di attacco e la scelta delle vittime.
I gruppi ransomware hanno anche ampliato i loro vettori di attacco includendo applicazioni di messaggistica, SMS e telefonate. Definiamo queste minacce come Attacchi tramite telefonate (TOAD, Telephone-Oriented Attack Delivery). Nel dicembre 2022, Proofpoint ha osservato una media di 300.000-400.000 minacce TOAD al giorno. Questi canali di comunicazione spesso non sono protetti. E alcune vittime continuano a ricevere messaggi di testo e vocali minacciosi anche dopo che la richiesta di riscatto del criminale informatico è stata consegnata.
I gruppi ransomware continuano anche a reclutare direttamente i collaboratori per compromettere i loro datori di lavoro, promettendo loro ricompense a sei cifre in caso di successo. In precedenza, tali richieste venivano fatte privatamente tramite email o messaggi su LinkedIn. Più recentemente, gruppi ransomware come Lapsus$, hanno pubblicato annunci di ricerca di personale su Reddit e sul Deep Web per ottenere l’accesso ad aziende specifiche. Queste tattiche segnano una svolta inquietante nell’aumento delle minacce interne.
Quando i criminali informatici violano un’azienda, si spostano lateralmente attraverso la sua rete. In questo modo, cercano dati sensibili e si appropriano di account con privilegi per accedervi. Questa tattica di violazione delle identità è diventata popolare tra i criminali informatici. Per questo evidenziare questo problema crescente, gli analisti hanno coniato un nuovo termine di sicurezza, “rilevamento e neutralizzazione delle minacce legate alle identità” (ITDR, Identity Threat Detection and Response). Il termine IDTR si riferisce alle strategie e alle soluzioni, come Illusive, che rilevano e bloccano i criminali informatici impedendo loro di ottenere accesso agli account e rubare le credenziali d’accesso e neutralizzando altre minacce legate alle identità.
Una volta che si sono infiltrati in un sistema, alcuni gruppi ransomware, come Lorenz, effettuano una ricognizione prolungata sulle loro vittime. Il malware che utilizzano per compromettere il sistema della vittima è sempre più mirato e personalizzato. Questa strategia aumenta le probabilità di successo e aiuta a trarre il massimo da ogni attacco.
5. L’evoluzione del ransomware accelera
Come settore, il ransomware si sta evolvendo più rapidamente che mai. Secondo Ivanti, le vulnerabilità di sistema note associate al ransomware sono aumentate del 12% anno su anno nel terzo trimestre 2022. Inoltre, molti gruppi ransomware sono sempre più agili e flessibili nello sfruttare queste vulnerabilità una volta rese note, o anche prima.
Questi gruppi sfruttano questa flessibilità anche per migliorare i loro prodotti ed eludere le forze dell’ordine. Arete e Cyentia hanno rilevato nel loro report congiunto sul ransomware che il 70% dei ceppi di ransomware più comuni nel 2022 non esisteva nel 2021, segno di un ambiente estremamente instabile. Questo potrebbe essere dovuto, in parte, al rebranding, pratica comune nel settore.
Alcuni gruppi ransomware, come BlackCat, sono noti per entrare in clandestinità per evitare di essere scoperti, per poi migliorare il loro malware e riemergere con un nome completamente diverso. Questa pratica rende molto più difficile rintracciare e smantellare questi gruppi.
La tua azienda previene il malware?
Il 2022 è stato un anno impegnativo per il ransomware. E nel 2023 il panorama delle minacce continua a evolvere quotidianamente. I criminali informatici trovano sempre più modi per incrementare i loro guadagni restituendo meno dati. Ecco perché è fondamentale concentrarsi sulla prevenzione del ransomware piuttosto che sul suo rilevamento dopo un attacco.
Grazie al suo approccio a più livelli alla sicurezza e agli algoritmi di rilevamento avanzati, Proofpoint interviene prima nella catena d’attacco per bloccare il ransomware prima che raggiunga le caselle email dei tuoi utenti.
Come puoi sapere se la tua azienda riesce a bloccare gli attacchi ransomware? Approfitta della valutazione rapida dei rischi legati all'email gratuita di Proofpoint per identificare il ransomware e il malware nel tuo ambiente. In meno di cinque minuti potrai:
- Identificare le minacce che la tua soluzione di sicurezza dell’email non rileva
- Visualizzare i collaboratori dell’azienda che vengono presi di mira, come i VAP (Very Attacked People™ ovvero le persone più attaccate)
- Scoprire come Proofpoint offre la miglior protezione a più livelli integrata contro le minacce in costante evoluzione