Il nuovo rapporto pubblicato da Yoroi evidenzia le ultime tendenze dei gruppi ransomware, ne individua la composizione, i metodi di azione e gli obiettivi.

Yoroi

È stato da poco pubblicato l’ultimo Rapporto Yoroi sulle tendenze dei gruppi ransomware osservate negli ultimi mesi. Gli attacchi di tipo Ransomware sono infatti una delle principali minacce cibernetiche che ogni organizzazione è costretta ad affrontare.

Per questo Yoroi, security service provider, ha evidenziato i metodi e la composizione di noti gruppi ransomware come Maze, REvil, Conti ed altri.

Nel corso del 2021 sono stati affrontati numerosi attacchi ransomware e attacchi di altissimo profilo ormai noti agli addetti ai lavori con il nome di “Double Extortion”. Gli attacchi ransomware sono la minaccia cyber che una qualsiasi organizzazione che conserva dati in formato digitale deve affrontare. Ormai esistono numerosi gruppi criminali che hanno creato dei veri e propri brand per rimarcare la loro supremazia nei confronti dei loro “competitor” nella stessa tipologia di “business”.

La composizione dei gruppi ransomware

I gruppi ransomware agiscono come delle imprese legittime e hanno all’interno del suo organico i seguenti profili:

  • I veterani del gruppo che rappresentano il consiglio di amministrazione del gruppo;
  • Il gruppo di sviluppatori altamente specializzati nel produrre malware e strumenti di supporto per compiere gli attacchi;
  • Esperti penetration tester e red-teamer che compiono le operazioni di intrusione avanzata all’interno delle organizzazioni bersaglio;
  • I contabili che sono addetti al riciclaggio del denaro, e particolarmente nel mixing di bitcoin;
  • I recruiter che cercano di attrarre persone all’interno del circuito;
  • Gli esperti di negoziazione utilizzati per trattare con le vittime e gli eventuali consulenti e agenti di giustizia in modo da estorcere efficacemente i pagamenti;
  • Gli esperti di marketing focalizzati a posizionare il brand all’interno della comunità.

I metodi dei gruppi ransomware

  1. Metodi di estorsione multipli. Dal 2019 i metodi di estorsione si sono evoluti notevolmente, dalla richiesta di riscatto per dissequestrare i file presi in ostaggio fino al furto di informazioni critiche e al “public shaming”.
  2. Sviluppo di applicazioni as a service (Ransomware as a Service).
  3. Sviluppo offensivo (Weaponization) della propria tecnologia nella ricerca e sfruttamento di nuove vulnerabilità.
  4. Sempre più spesso le cybergang acquistano da “access brokers” gli ingressi delle organizzazioni da attaccare.
  5. Nessuna regola è rispettata.

Gli obiettivi e i riscatti

Osservando la distribuzione geografica delle richieste di estorsione note da parte delle gang del ransomware, Yoroi ha notato come le Americhe (principalmente USA e Canada) siano state le principali vittime a livello globale, con l’Europa e l’Australia al secondo e terzo in termini di incidenti.

Yoroi ha inoltre riscontrato un notevole incremento di attacchi rivolti alla pubblica amministrazione ed enti governativi a partire dagli ultimi anni, e l’aumento delle richieste di riscatto che da un valore minore di $1.000 è diventato superiore ai $5M.

Quindi, il problema da porsi è come riuscire a gestire in maniera opportuna queste situazioni per affrontare nel migliore dei modi anche i vincoli operativi che necessariamente limitano ogni realtà aziendale, e che possono essere dovute sia alle logiche di business-continuity, sia a limitazioni dell’organizzazione di staff che preveda un team di IT security adeguato.

 

Articoli correlatiAltro dello stesso autore