Le aziende e le organizzazioni colpite da offensive digitali con ransomware stanno pagando riscatti più alti che mai. Dati confermati anche da un report pubblicato da Palo Alto Networks.
Le informazioni rese disponibili analizzano le ultime tendenze a tema “ransomware” mettendo a confronto l’ammontare medio dei pagamenti effettuati rispetto agli anni precedenti. Secondo i ricercatori, il pagamento medio avvenuto a seguito di un attacco ransomware nel 2020 è schizzato in alto del 171%, passando da 115.123 dollari (dati relativi al 2019) a 312.493 dollari.
In questo articolo cercheremo di capire perché e come gli aggressori siano riusciti ad aumentare i propri incassi illeciti.
Indice degli argomenti
Ransomware nuovi record dei riscatti
Il report ha rivelato che il riscatto più alto richiesto nel 2020 ammontava a 30 milioni di dollari, valore doppio rispetto al picco massimo registrato nei cinque anni precedenti (15 milioni di dollari).
A richieste più alte è corrisposto anche un incasso mediamente più alto.
In tal senso, la transazione singola a maggior valore è stata di dieci milioni di dollari, anche in questo caso doppia rispetto al vertice massimo toccato nel lustro precedente.
In media, secondo quanto è emerso dal report, gli operatori dei ransomware hanno estorto 847.344 dollari per attacco nel corso dell’anno scorso.
Queste cifre da capogiro e l’apparente facilità con cui i criminal hacker sono riusciti a infiltrarsi in modo efficace in un numero sempre maggiore di sistemi informatici aziendali e governativi, dimostrano indirettamente quanto il nuovo canale della “doppia estorsione” abbia di fatto segnato una svolta, in positivo, per le organizzazioni cyber criminali.
La tecnica della doppia estorsione
Nel caso di una doppia estorsione, i criminali che gestiscono il ransomware cifrano e rubano dati dai sistemi della vittima per spingerla con ancora maggiore forza a pagare il riscatto.
Se la vittima decide di non pagare, gli aggressori fanno seguire i fatti alle minacce, pubblicando i dati su di un “leak site”, un sito in cui vengono spifferate informazioni sensibili dell’azienda colpita, arrecando ulteriore danno (avvantaggiando potenzialmente la concorrenza ma soprattutto minando la reputazione dell’azienda violata).
In alternativa, i dati rubati vengono diffusi, a pagamento, sulla Dark Web.
Un approccio comune tra gli operatori di ransomware
Sono almeno 16 le varianti di ransomware che minacciano attualmente di rendere pubblici i dati sottratti o utilizzare “leak sites” e altre varianti seguiranno questo solco.
Con un attacco ransomware tradizionale, una soluzione è semplicemente quella di ripristinare i dati cifrati o sottratti attraverso un backup (non colpito dal ransomware).
Ma questo ripristino da backup non risolve il vero e proprio problema, ovvero che un aggressore è entrato a sistema e ha esfiltrato i dati, minacciando di venderli ad altri criminali o pubblicarli su internet.
In alcuni casi, gli aggressori hanno anche cercato di mettersi in contatto con giornalisti specializzati in cyber security nel tentativo di danneggiare il nome e la reputazione dell’azienda nel peggior modo possibile.
In altri casi hanno minacciato di mettersi in contatto con gli investitori aziendali, con l’obiettivo indiretto di far scendere il valore azionario del titolo relativo alla società colpita.
Secondo il report, il ransomware che più di tutti ha “spifferato” i dati sottratti nel corso del 2020 è stato NetWalker. Nel complesso sono stati rivelati i dati di 113 organizzazioni su scala mondiale, superando di diverse misure il secondo piazzato, RagnarLocker che aveva rivelato i dati di 26 vittime.
Cos’è NetWalker?
NetWalker (noto anche come Mailto) è il nome di una sofisticata famiglia di ransomware Windows che ha messo nel mirino le macchine di figure di spicco all’interno di aziende importanti, criptando i file trovati al loro interno, richiedendo il pagamento di un riscatto in criptovaluta per poter recuperare in modo sicuro i dati criptati.
E tale fenomeno non va visto come qualcosa di univoco e immodificabile. Infatti, la gang che opera NetWalker si è impegnata anche a fornire i propri “servizi” seguendo l’approccio denominato “ransomware-as-a-service” (RaaS), ovvero rendendo disponibili gli strumenti e l’infrastruttura necessaria per lanciare attacchi ransomware ad altre organizzazioni criminali, chiedendo in cambio pagamenti secondo il modello dell’affiliazione.
Fra le vittime colpite da NetWalker rese pubbliche possiamo citare Toll Group (azienda australiana attiva in ambito logistico e infrastrutturale), Champaign Urbana Public Health District (CHUPD) dell’Illinois, i sistemi informatici del municipio di Weiz in Austria e anche quelli della Michigan State University.
Come difendersi da questa minaccia
L’aspetto positivo è che nel gennaio 2021, le agenzie investigative di tutto il mondo si sono impegnate congiuntamente per bloccare le operazioni della gang criminale che tirava le fila di NetWalker, riuscendo inoltre a sequestrare e disattivare il sito utilizzato.
Sebbene la gang non possa dirsi sgominata del tutto, è possibile mettersi al riparo da questo rischio seguendo le best practice, ovvero:
- creare backup offsite sicuri;
- aggiornare tutti gli elementi software e hardware che hanno accesso alla rete aziendale;
- assicurarsi che tutte le ultime patch siano state installate per porre rimedio alle principali vulnerabilità.
Un’ultima nota di cautela: nonostante NetWalker sia stato ufficialmente smantellato, nel mondo del Cyber Crime nulla viene mai veramente distrutto (pensiamo al caso di Maze) e l’eredità di questo Ransomware – e soprattutto le skill di chi le gestiva – difficilmente rimarrà inutilizzata…
Non abbassiamo la guardia.
