Il mondo della sicurezza informatica è caratterizzato da un’economia clandestina che, ormai, si può definire parallela dell’economia che tutti conosciamo: i numeri aumentano di anno in anno e l’organizzazione che c’è dietro è sempre più raffinata: in questo scenario, possiamo senz’altro confermare che il 2021 è stato caratterizzato dallo sviluppo e dalla sempre maggiore diffusione del meccanismo ransomware a doppia estorsione.
Indice degli argomenti
L’evoluzione del ransomware a doppia estorsione
Abbiamo imparato a riconoscere questo genere di attacco, che inizia con il classico malware che cifra il contenuto delle macchine vittima rendendole inutilizzabili e lascia all’infrastruttura una nota di riscatto per avere la chiave utile a decifrare tutto il materiale.
Il tentativo di estorsione, però, non comprende solo il pagamento di questa chiave, ma la minaccia si rafforza e, appunto, tiene “sotto scacco” i dati cifrati esfiltrati durante l’attacco per una futura pubblicazione online, facendoli diventare di pubblico dominio, qualsiasi sia la loro importanza.
Abbiamo visto così comparire archivi di dati sensibili, dati personali, dati bancari e fiscali, delle più diverse aziende medio grandi italiane (e straniere) e delle più disparate Pubbliche Amministrazioni.
La diffusione di carte d’identità, bilanci, fatture, indirizzi di residenza e codici fiscali è ormai all’ordine del giorno e avviene come dimostrazione di un avvenuto attacco o come rilascio finale a seguito di un probabile mancato pagamento di riscatto. Il 2021 è stato l’anno di questa tipologia di attacchi.
Le tendenze ransomware del 2021
Se guardiamo indietro, a livello globale, nell’anno appena concluso gli attacchi ransomware sono aumentati rispetto agli anni precedenti e in particolare negli ultimi mesi. Nel novembre 2021, secondo i ricercatori di sicurezza del gruppo NCC, con la doppia estorsione che rimane una tecnica chiave nell’arsenale degli attori delle minacce, l’attenzione degli attori delle minacce si è rivolta sempre più alle organizzazioni governative, che sono state prese di mira il 400 percento in più rispetto a ottobre.
A novembre, il gruppo di ransomware PYSA (nota anche come Mespinoza) si è particolarmente distinta nella scena criminale, con un picco del 50 percento di infezioni.
Lockbit e Conti sono altri due importanti gruppi di ransomware che hanno condotto attacchi contro infrastrutture critiche, ma in numero inferiore rispetto ai mesi precedenti: un dato che, però, non elimina il primato di questi ultimi due gruppi per numero di attacchi per anno a livello mondiale.
In quest’ottica, l’FBI aveva emesso un avviso relativo all’aumento dell’attività di PYSA dopo l’analisi delle prime prove secondo le quali l’attività del gruppo aveva raggiunto livelli critici, già nel marzo 2021. PYSA, come quasi tutte le bande di ransomware attualmente attive, ruba i dati da una rete compromessa prima di crittografare gli originali al fine di interrompere le operazioni dell’infrastruttura, e poter stabilire una doppia estorsione.
Altri gruppi, si sono distinti nel corso 2021 da questa tipologia che invece li caratterizza quasi tutti, come Everest. Sono rari, ma i gruppi come Everest sono si limitano a chiedere un riscatto per terminare l’attacco. Qualora quest’ultimo non venisse onorato, assistiamo alla vendita ad attori criminali terzi dell’accesso all’infrastruttura aziendale (o PA) compromessa. Fornendo un vero e proprio servizio ransomware già testato e giustificando così la sequenza di attacchi molto ravvicinati tra loro, verso una stessa vittima.
Everest: chi è e come agisce la gang del ransomware che ha rubato l’archivio dati della SIAE
“Sebbene la vendita di ransomware-as-a-service abbia registrato un’impennata di popolarità nell’ultimo anno, questo è un raro caso di un gruppo che rinuncia a una richiesta di riscatto e offre l’accesso all’infrastruttura IT, ma potremmo assistere ad attacchi imitativi nel 2022 e in futuro”, riprendendo un concetto chiave dal rapporto del Gruppo NCC.
Cyber minacce: cosa aspettarci per il 2022
A completamento del quadro ransomware che ha caratterizzato il 2021 e che impatterà sicuramente nello sviluppo della sicurezza informatica per l’anno nuovo che ci attende, non dobbiamo trascurare il campo delle vulnerabilità, soprattutto quelle zero-day.
Ad esempio, la vulnerabilità Log4Shell presente nella libreria Log4J della Apache Foundation viene già sfruttata per distribuire payload ransomware nei server delle vittime esposti.
Il bug Log4J minaccia mezza internet: ecco il fix urgente per le aziende
Nella preparazione per il nuovo anno è quindi doveroso mettere in campo sforzi adeguati alla sanificazione di questa altamente grave vulnerabilità, rallentando così indirettamente anche la grande corsa del fenomeno ransomware, per tutti i gruppi criminali attualmente interessati.
Mentre quest’anno abbiamo visto la crescita esponenziale del ransomware a doppia estorsione, in cui gli avversari chiedono un riscatto per la restituzione dei dati e un altro per assicurarsi che i dati non siano trapelati o venduti, nel 2022 assisteremo alla crescita e all’evolversi di questo modello, dichiara Mike Sentonas, Chief Tehnology Officer di CrowdStrike.
Facciamo trovarci preparati.
