Secondo Kaspersky, negli ultimi due anni, i comuni attacchi ransomware, che prevedono l’utilizzo di malware per criptare i dati e richiedere un riscatto, sono stati sostituiti da attacchi più mirati contro aziende e settori specifici.
In questi casi, gli attaccanti non solo minacciano di criptare i dati ma pubblicano online le informazioni riservate. I ricercatori di Kaspersky hanno osservato questo trend nella recente analisi su Ragnar Locker ed Egregor, due importanti famiglie di ransomware.
In generale, gli attacchi ransomware sono considerati una delle minacce più gravi per le imprese. Non solo possono interrompere le operazioni aziendali critiche, ma possono anche causare ingenti perdite finanziarie. In alcuni casi, le multe e le cause legali sostenute in seguito alla violazione di leggi e regolamenti possono persino portare un’azienda al fallimento. Ad esempio, si stima che gli attacchi di WannaCry abbiano causato più di 4 miliardi di dollari di perdite finanziarie.
Come stanno cambiando le campagne ransomware
Tuttavia, le nuove campagne ransomware stanno modificando il loro modus operandi, minacciando di rendere pubbliche le informazioni aziendali rubate.
Ragnar Locker ed Egregor sono due note famiglie di ransomware che impiegano questo nuovo metodo di estorsione.
Ragnar Locker è stato scoperto per la prima volta nel 2019, ma è diventato noto solo nella prima metà del 2020, quando ha rivolto la propria attenzione a grandi organizzazioni. Gli attacchi sono estremamente mirati con ogni campione specificatamente adattato alla vittima designata. I dati riservati di chi si rifiuta di pagare il riscatto, così come le conversazioni intercorse con gli attaccanti, vengono pubblicati nella sezione “Wall of Shame” del loro sito dedicato informazioni rubate. I principali obiettivi di Ragnar Locker sono aziende situate negli Stati Uniti che operano in diversi settori industriali. Lo scorso luglio, Ragnar Locker ha dichiarato di aver aderito al cartello del ransomware Maze, una delle più note famiglie ransomware del 2020, e questo sta a indicare che i due collaboreranno e si scambieranno le informazioni rubate.
Egregor, osservato per la prima volta a settembre, è un ransomware più recente rispetto a Ragnar Locke. Utilizza però molte tattiche simili a quelle usate da Maze oltre a presentare delle somiglianze nel codice. Il malware viene in genere rilasciato violando la rete e, una volta che i dati dell’obiettivo sono stati esfiltrati, concede alla vittima 72 ore di tempo per pagare il riscatto prima che le informazioni rubate diventino di dominio pubblico. Nel caso in cui le vittime si rifiutassero di pagare il riscatto, i loro nomi e i collegamenti per scaricare i dati aziendali riservati verrebbero pubblicati sul sito preposto alla fuga di notizie creato dagli attaccanti.
La superficie d’attacco di Egregor è molto più estesa di quello di Ragnar Locker. Sono state registrate vittime in Nord America, Europa e in alcune zone della regione APAC (Asia Pacific).
Le conseguenze vanno oltre le perdite finanziarie
Come sottolineato in una nota ufficiale da Dmitry Bestuzhev, Head del Latin American Global Research and Analysis Team (GReAT): «Il trend che stiamo osservando in questo momento è l’ascesa dei ransomware 2.0. Rileviamo attacchi sempre più mirati che utilizzano un processo di estorsione che non si basa più solo sulla crittografia, ma implica anche la pubblicazione online di dati riservati. La reputazione aziendale non è la sola a essere messa a repentaglio. Nel caso in cui i dati pubblicati violino norme come l’HIPAA o il GDPR, è possibile che vengano intraprese anche azioni legali, con delle conseguenze che vanno oltre le perdite finanziarie».
Per Fedor Sinitsyn, security expert di Kaspersky: «Nello scenario attuale, le organizzazioni devono considerare i ransomware come una minaccia più pericolosa di un semplice malware. Il ransomware è spesso solo la fase finale di una violazione della rete. Nel momento in cui il ransomware viene implementato, l’attaccante ha già eseguito una ricognizione della rete, identificato i dati confidenziali e provveduto all’esfiltrazione. È importante, quindi, che le organizzazioni implementino tutte le buone pratiche in materia di sicurezza informatica. Identificare l’attacco in una fase iniziale, prima che gli attaccanti raggiungano il loro obiettivo finale, permette un notevole risparmio economico».
Per proteggersi dagli attacchi ransomware
I consigli degli esperti di Kaspersky
- Non esporre i servizi di desktop remoto (come l’RDP, il Remote Desktop Protocol) a reti pubbliche se non strettamente necessario e utilizzare sempre password complesse.
- Aggiornare sempre il software su tutti i dispositivi utilizzati. Per impedire al ransomware di sfruttare le vulnerabilità, servirsi di strumenti in grado di rilevarle in modo automatico e scaricare e installare le patch.
- Installare tempestivamente le patch disponibili per le soluzioni VPN commerciali che forniscono l’accesso ai dipendenti da remoto e agiscono come gateway all’interno della rete.
- Non aprire allegati sospetti ricevuti via mail da mittenti sconosciuti.
- Utilizzare soluzioni per identificare e bloccare l’attacco nella sua fase iniziale, prima che gli attaccanti raggiungano l’obiettivo.
- Focalizzare la propria strategia di difesa nel rilevare tattiche di movimento laterale e esfiltrazione di dati su internet. Prestare particolare attenzione al traffico in uscita in modo da rilevare connessioni da parte dei cybercriminali, eseguire regolarmente il backup dei dati e assicurarsi di potervi accedere rapidamente in caso di emergenza quando necessario.
- Formare i dipendenti per proteggere le risorse aziendali. I corsi di formazione dedicati, come quelli forniti da Kaspersky Automated Security Awareness Platform, possono offrire un valido aiuto.
- Utilizzare una soluzione di sicurezza affidabile per i dispositivi personali che protegga dagli encryption malware e ripristini le modifiche apportate dalle applicazioni dannose.
- Migliorare la protezione aziendale con Anti-Ransomware Tool for Business, uno strumento gratuito offerto da Kaspersky. La versione recentemente aggiornata integra una funzionalità di prevenzione degli exploit per evitare che il ransomware e altre minacce sfruttino le vulnerabilità di software e applicazioni. È utile anche per i clienti che utilizzano Windows 7, poiché al termine del supporto per questo sistema operativo lo sviluppatore non rilascerà più patch per le nuove vulnerabilità.
- Per una protezione completa, utilizzare una soluzione di sicurezza degli endpoint che si basa sulla prevenzione degli exploit, sulle tecnologie di behavior detection e su un motore di remediation in grado di annullare le operazioni dannose.
