Un gran numero di attori diversi si scambiano servizi attraverso il mercato del dark web

Ransomware in aumento, Italia quarto paese più colpito

I ransomware sono senza ombra di dubbio diventati una delle principali fonti di preoccupazione per le aziende. Gli attaccanti continuano ad aumentare la portata e la frequenza di questi attacchi e le notizie relative ad organizzazioni prese di mira da ransomware sono quotidianamente sulle pagine dei principali media internazionali. Tenuto conto che l’ecosistema dei ransomware è molto più complesso di quello che appare, Kaspersky ha deciso di aiutare le aziende a capirne il funzionamento e offrire dei suggerimenti su come combatterlo. A questo proposito, i ricercatori di Kaspersky hanno pubblicato un report nel quale è possibile trovare i risultati di uno studio sui forum della darknet e un’analisi dei gruppi REvil e Babuk. Inoltre vengono sfatati alcuni dei miti più comuni sui ransomware.

Anche l’ecosistema dei ransomware, come qualsiasi altro settore industriale, è composto da vari attori che ricoprono ruoli diversi. Contrariamente alla convinzione comune secondo cui i gruppi criminali che sfruttano questa minaccia siano in realtà organizzazioni ben affiatate che lavorano sempre insieme, in stile “Il Padrino”, la realtà è più simile al mondo descritto in “The Gentlemen” di Guy Ritchie. Infatti, nella maggior parte degli attacchi, viene coinvolto un gran numero di attori diversi, che si scambiano servizi a vicenda attraverso il mercato del dark web. Tra questi figurano sviluppatori, botmaster, venditori di accessi e operatori di ransomware.

Tutti questi attori si incontrano sui forum specializzati della darknet, dove è possibile trovare offerte di servizi e collaborazioni. Solitamente i gruppi più importanti che operano da soli non frequentano questi siti, tuttavia, alcuni tra i più noti e più attivi, tra cui REvil, pubblicizzano regolarmente le loro offerte e notizie utilizzando programmi di affiliazione. Questo tipo di coinvolgimento presuppone una partnership tra il gruppo operatore del ransomware e l’affiliato e prevede che l’operatore del ransomware prenda una quota del profitto tra il 20% e il 40% mentre all’affiliato toccherà il restante 60-80%.

REvil annuncia la possibilità di organizzare chiamate ai media e ai partner dell’organizzazione presa di mira per esercitare ulteriore pressione sul pagamento del riscatto
Esempi di offerte che elencano le condizioni di pagamento dei programmi di affiliazione

La selezione dei partner è un processo che segue delle regole di base prestabilite dagli operatori di ransomware, comprese le restrizioni geografiche e le opinioni politiche. Allo stesso tempo, le vittime vengono selezionate tenendo conto di quanto siano redditizie.

Tenuto conto che i gruppi che infettano le organizzazioni e quelli che realizzano il ransomware sono diversi ma uniti dal comune obiettivo di fare profitto, le aziende più colpite sono spesso quelle il cui accesso viene ottenuto con maggiore facilità e quindi il costo dell’attacco può essere considerato basso. Gli attaccanti potrebbero appartenere sia a gruppi che operano all’interno di programmi di affiliazione sia ad operatori indipendenti che vendono gli accessi mettendoli all’asta o come fix a partire da un minimo di 50 dollari. La maggior parte delle volte, gli attaccanti si dividono in due tipologie: i proprietari di botnet che lavorano su campagne di ampia portata e che vendono gli accessi alle macchine delle vittime in grandi quantità e i venditori di accessi che cercano vulnerabilità rese note pubblicamente all’interno dei software collegati a Internet, come le VPN o e-mail gateway. Queste vulnerabilità vengono poi sfruttate per accedere alle organizzazioni.

Nei forum dedicati ai ransomware si trovano anche altre tipologie di offerte. Alcuni operatori vendono campioni di malware e ransomware builder ad un prezzo che va dai 300 ai 4.000 dollari. Altri propongono Ransomware-as-a-Service, ovvero la vendita di ransomware con il supporto continuo dei suoi sviluppatori, ad un prezzo che varia dai 120 dollari al mese a pacchetti da 1.900 dollari all’anno.

Secondo Craig Jones, Director of Cybercrime dell’INTERPOL, “Negli ultimi due anni, i criminali informatici hanno sfruttato i ransomware con maggiore frequenza. I creatori di ransomware non si limitano a prendere di mira le società e le organizzazioni governative ma sono pronti a colpire qualsiasi azienda, indipendentemente dalle dimensioni. L’industria del ransomware è di per sé complessa e coinvolge molti attori diversi che ricoprono vari ruoli. Per combatterli è necessario comprendere il modo in cui lavorano e i metodi per poterli contrastare. L’Anti-Ransomware Day è una buona occasione per evidenziare questa necessità e ricordare agli utenti quanto sia importante seguire pratiche di sicurezza efficaci. Il Global Cybercrime Programme di INTERPOL, sviluppato insieme ai nostri partner, si pone l’obiettivo di ridurre l’impatto globale del ransomware e proteggere le comunità dai danni causati da questa crescente minaccia”.

“L’ecosistema dei ransomware è complesso e ci sono molti interessi in gioco. È un mercato nel quale operano diversi player, alcuni più opportunisti e altri più professionali ed esperti. Non si scelgono obiettivi specifici ma qualsiasi organizzazione può essere presa di mira, dalle enterprise alle piccole aziende, purché si riesca ad ottenerne l’accesso. Inoltre, il loro business è in crescita e non sembra essere destinato scomparire, ha commentato Dmitry Galov, security researcher del Global Research and Analysis Team di Kaspersky. La buona notizia è che anche le misure di sicurezza più semplici, come gli aggiornamenti regolari del software e il backup dei dati, possono permettere alle organizzazioni di difendersi dagli attacchi”.

“Prima di poter compiere azioni efficaci contro l’ecosistema dei ransomware è necessario comprenderne pienamente i fondamenti. Con questo report, speriamo di far luce sul modo in cui questi attacchi vengono organizzati, in modo che la comunità possa prendere le adeguate contromisure”, ha aggiunto Ivan Kwiatkowski, senior security researcher del Global Research and Analysis Team di Kaspersky.

Ulteriori informazioni sul mondo dei ransomware sono disponibili nel report su Securelist.

A questo link, è possibile registrarsi al webinar gratuito “Darknet and cybergangs: a deep dive into the ransomware ecosystem” che si terrà il 12 maggio alle 16:00.

In occasione dell’Anti-Ransomware Day, Kaspersky ha preparato alcuni suggerimenti per aiutare le aziende a proteggersi dai ransomware:

  • Aggiornare regolarmente i software su tutti i dispositivi utilizzati per evitare che gli attaccanti riescano ad avere accesso alla rete sfruttandone le vulnerabilità.
  • Impostare la propria strategia di difesa sul rilevamento dei movimenti laterali e dell’esfiltrazione dei dati da Internet. Prestare particolare attenzione al traffico in uscita per rilevare le connessioni dei criminali informatici. Impostare backup offline che non possano essere manomessi da terzi. Assicurarsi di potervi accedere rapidamente quando necessario.
  • Abilitare la protezione ransomware per tutti gli endpoint. Kaspersky Anti-Ransomware Tool for Business è uno strumento gratuito che protegge i computer e i server da ransomware e altri tipi di malware, previene gli attacchi ed è compatibile con le soluzioni di sicurezza già installate.
  • Installare soluzioni anti-APT e EDR, abilitando le funzionalità avanzate di threat detection, per l’analisi delle minacce e la risoluzione tempestiva degli incidenti. Si consiglia anche di fornire al team SOC l’accesso alle più recenti risorse di threat intelligence, con regolari aggiornamenti erogati da formatori professionisti. Kaspersky Expert Security offre tutte le funzionalità necessarie.