Passa ai contenuti principali

Ransomware: emergenze nazionali e ricatti milionari

Il ransomware è diventato oggi una delle minacce più note e prevalenti contro le aziende. Solo quest'anno, abbiamo visto casi di alto profilo di infezione da ransomware, anche contro Colonial Pipeline, Kaseya e il servizio sanitario irlandese, causare di tutto, dall'interruzione dell'attività alla carenza di carburante, alle dichiarazioni di emergenza nazionale e alle cure mediche limitate.

Questi attacchi vengono eseguiti per quelli che possono finire per essere vincite multimilionarie e ora queste campagne stanno diventando più facili da eseguire con le offerte di accesso iniziale che diventano prontamente disponibili per l'acquisto online, eliminando il tempo necessario per lanciare ransomware su una rete aziendale .

Ci sono una serie di tendenze nello spazio ransomware degno di nota, tra cui:

  • Pagamenti: dopo che DarkSide ha costretto Colonial Pipeline a disattivare i tubi del carburante, provocando acquisti di panico in tutti gli Stati Uniti, l'azienda ha pagato un riscatto di $ 4,4 milioni.  L'amministratore delegato Joseph Blount ha affermato che è "la cosa giusta da fare per il paese". Il più grande pagamento di riscatto ammonta a oltre $ 30 milioni.
  • Entrate elevate: dopo aver analizzato l'attività criminale online, KELA afferma che le organizzazioni con un fatturato annuo di oltre $ 100 milioni sono considerate le più attraenti.
  • Broker di accesso iniziale (IAB): gli IAB sono diventati un'attività criminale consolidata , spesso ricercata dai gruppi di ransomware alla ricerca del loro prossimo obiettivo.
  • I metodi di accesso preferiti includono credenziali o vulnerabilità RDP e VPN .
  • Gli anglofoni sono anche molto richiesti per assumere gli aspetti di negoziazione di un attacco di successo.
  • Siti di fuga: i gruppi ransomware ora minacciano spesso di divulgare dati sensibili rubati durante un attacco se una vittima non paga. Cisco Secure lo chiama un metodo di estorsione " uno-due-punch ".
  • Cartelli: i ricercatori hanno scoperto che si stanno formando anche "cartelli", in cui gli operatori di ransomware condividono informazioni e tattiche.

In un rapporto sulle minacce alla sicurezza informatica pubblicato martedì, i ricercatori di Trend Micro hanno affermato che durante la prima metà di quest'anno, il ransomware è rimasto una "minaccia eccezionale" con le grandi aziende particolarmente a rischio, a causa delle loro entrate e della prospettiva di grandi vincite. - nella cosiddetta " caccia grossa ".

Durante i primi sei mesi del 2021, sono stati rilevati 7,3 milioni di eventi correlati al ransomware, la maggior parte dei quali erano varianti di WannaCry e Locky.

Tuttavia, questo è circa la metà del numero di rilevamenti durante lo stesso periodo del 2020, un calo che i ricercatori hanno attribuito a un passaggio dai tentativi di basso valore alla caccia alla grossa selvaggina.

"Un incidente con il ransomware DarkSide [attacco Colonial Pipeline] ha attirato maggiore attenzione sugli operatori di ransomware, il che potrebbe aver indotto alcuni di loro a restare nascosti", affermano i ricercatori. "Nel frattempo, le forze dell'ordine di tutto il mondo hanno condotto una serie di operazioni di rimozione di ransomware che potrebbero aver avuto un impatto su gruppi attivi di vasta portata".

Le banche, gli enti governativi e l'industria manifatturiera rimangono oggi i principali obiettivi per gli operatori di ransomware.

Anche i test di penetrazione open source e legittimi o gli strumenti di sicurezza informatica vengono ampiamente abusati da questi attori delle minacce. Cobalt Strike, PsExec, Mimikatz e Process Hacker sono indicati nel rapporto come presenti negli arsenali dei gruppi Ransomware-as-a-Service (RaaS) tra cui Clop, Conti, Maze e Sodinokibi.

Oltre al ransomware, anche i tassi di compromissione della posta elettronica aziendale (BEC) sono leggermente aumentati, del 4%, e i minatori di criptovaluta sono ora uno dei ceppi più comuni di malware rilevati in natura.

Trend Micro ha anche esplorato come la disinformazione relativa alla pandemia di COVID-19 viene utilizzata per diffondere malware. Phishing, social media e ingegneria sociale sono comunemente impiegati per indurre gli utenti a fare clic su allegati dannosi o a visitare domini fraudolenti e i temi relativi al coronavirus in genere non si riferiscono alla malattia in sé, ma a progetti di test e vaccinazione.

Le app dannose fanno parte della diffusione, alcune delle quali diffondono Trojan ad accesso remoto (RAT) bancari tra cui Cerberus e Anubis.
Tag:

Commenti

Posta un commento

Popolari

Attenzione al phishing via Booking.com , un caso reale e subdolo

Di recente, mio fratello mi ha raccontato un'esperienza che merita la massima attenzione. Dopo aver prenotato un hotel tramite Booking.com , ha ricevuto una mail dall’aspetto legittimo con oggetto simile a: "Your reservation is at risk of cancellation" Nel corpo del messaggio, un tono urgente: Hi, There's a page ready for you to visit now. www. xxxxxxxxxx . xxx <- sito truffa Please review it in the next 6 hours. Otherwise, your progress may be affected. Quasi in contemporanea, è arrivato un altro messaggio via "chat di Booking" (mail) , apparentemente dallo stesso hotel prenotato. Stesso contenuto, stesso link. Il phishing camuffato da "verifica prenotazione" Il sito di destinazione era una pagina clonata alla perfezione: Al primo step chiedeva i dati personali. Al secondo step, come prevedibile, chiedeva i dati della carta di credito, con la solita formula "Per motivi di sicurezza, l'importo verrà solo temporaneamente trattenuto e po...
Posta un commento
Continua a leggere »

Dopo le bombe, i byte. La guerra ibrida tra USA, Iran e Israele

Nella notte tra sabato e domenica, le bombe americane hanno colpito i siti nucleari iraniani con una precisione chirurgica che ha fatto rumore nel mondo fisico. Ma mentre le polveri si depositavano a Fordow e Isfahan, un altro fronte si apriva, invisibile agli occhi ma cruciale: il cyberspazio. E lì, non ci sono sirene né detriti, solo silenzi improvvisi nelle connessioni, pacchetti che non arrivano, servizi che collassano. Da quel momento, l’escalation digitale ha cominciato a prendere forma, accelerando quella che è, a tutti gli effetti, una guerra informatica attiva tra Iran, Israele e Stati Uniti. Nei minuti successivi ai bombardamenti, l’Iran ha cominciato a limitare drasticamente l’accesso alla rete. Una mossa difensiva, certo, ma anche preventiva. Staccare i cavi è una strategia antica quanto efficace: nessuna connessione, nessuna infiltrazione, nessuna fuga di dati. È stato documentato un blackout della connettività con punte del 97% in alcune regioni. La linea è semplice: se t...
Posta un commento
Continua a leggere »

Troppo pericolose insieme. Cina e Russia sono davvero alleate?

Secondo un’inchiesta pubblicata dal New York Times, confermata anche dal Financial Times e da fonti ucraine, hacker cinesi avrebbero violato i sistemi informatici russi rubando informazioni militari sensibili, comprese quelle sulla guerra in Ucraina. È un episodio clamoroso che mette in dubbio la tanto sbandierata "partnership senza limiti" tra Vladimir Putin e Xi Jinping. Mentre a livello ufficiale Mosca e Pechino si mostrano unite contro l’Occidente e proclamano intese strategiche, nel cyberspazio sembrano valere altre logiche: quelle del sospetto reciproco e della supremazia informativa. I gruppi cinesi, probabilmente legati all’intelligence di Pechino, hanno preso di mira agenzie statali russe e contractor della difesa, sottraendo piani, analisi e forse perfino vulnerabilità operative. Questa non è una semplice contraddizione, è una crepa. E fa emergere una realtà molto più spietata: l’interesse nazionale viene prima di ogni alleanza ideologica, soprattutto quando si parl...
Posta un commento
Continua a leggere »