Passa ai contenuti principali

Ransomware: emergenze nazionali e ricatti milionari

Il ransomware è diventato oggi una delle minacce più note e prevalenti contro le aziende. Solo quest'anno, abbiamo visto casi di alto profilo di infezione da ransomware, anche contro Colonial Pipeline, Kaseya e il servizio sanitario irlandese, causare di tutto, dall'interruzione dell'attività alla carenza di carburante, alle dichiarazioni di emergenza nazionale e alle cure mediche limitate.

Questi attacchi vengono eseguiti per quelli che possono finire per essere vincite multimilionarie e ora queste campagne stanno diventando più facili da eseguire con le offerte di accesso iniziale che diventano prontamente disponibili per l'acquisto online, eliminando il tempo necessario per lanciare ransomware su una rete aziendale .

Ci sono una serie di tendenze nello spazio ransomware degno di nota, tra cui:

  • Pagamenti: dopo che DarkSide ha costretto Colonial Pipeline a disattivare i tubi del carburante, provocando acquisti di panico in tutti gli Stati Uniti, l'azienda ha pagato un riscatto di $ 4,4 milioni.  L'amministratore delegato Joseph Blount ha affermato che è "la cosa giusta da fare per il paese". Il più grande pagamento di riscatto ammonta a oltre $ 30 milioni.
  • Entrate elevate: dopo aver analizzato l'attività criminale online, KELA afferma che le organizzazioni con un fatturato annuo di oltre $ 100 milioni sono considerate le più attraenti.
  • Broker di accesso iniziale (IAB): gli IAB sono diventati un'attività criminale consolidata , spesso ricercata dai gruppi di ransomware alla ricerca del loro prossimo obiettivo.
  • I metodi di accesso preferiti includono credenziali o vulnerabilità RDP e VPN .
  • Gli anglofoni sono anche molto richiesti per assumere gli aspetti di negoziazione di un attacco di successo.
  • Siti di fuga: i gruppi ransomware ora minacciano spesso di divulgare dati sensibili rubati durante un attacco se una vittima non paga. Cisco Secure lo chiama un metodo di estorsione " uno-due-punch ".
  • Cartelli: i ricercatori hanno scoperto che si stanno formando anche "cartelli", in cui gli operatori di ransomware condividono informazioni e tattiche.

In un rapporto sulle minacce alla sicurezza informatica pubblicato martedì, i ricercatori di Trend Micro hanno affermato che durante la prima metà di quest'anno, il ransomware è rimasto una "minaccia eccezionale" con le grandi aziende particolarmente a rischio, a causa delle loro entrate e della prospettiva di grandi vincite. - nella cosiddetta " caccia grossa ".

Durante i primi sei mesi del 2021, sono stati rilevati 7,3 milioni di eventi correlati al ransomware, la maggior parte dei quali erano varianti di WannaCry e Locky.

Tuttavia, questo è circa la metà del numero di rilevamenti durante lo stesso periodo del 2020, un calo che i ricercatori hanno attribuito a un passaggio dai tentativi di basso valore alla caccia alla grossa selvaggina.

"Un incidente con il ransomware DarkSide [attacco Colonial Pipeline] ha attirato maggiore attenzione sugli operatori di ransomware, il che potrebbe aver indotto alcuni di loro a restare nascosti", affermano i ricercatori. "Nel frattempo, le forze dell'ordine di tutto il mondo hanno condotto una serie di operazioni di rimozione di ransomware che potrebbero aver avuto un impatto su gruppi attivi di vasta portata".

Le banche, gli enti governativi e l'industria manifatturiera rimangono oggi i principali obiettivi per gli operatori di ransomware.

Anche i test di penetrazione open source e legittimi o gli strumenti di sicurezza informatica vengono ampiamente abusati da questi attori delle minacce. Cobalt Strike, PsExec, Mimikatz e Process Hacker sono indicati nel rapporto come presenti negli arsenali dei gruppi Ransomware-as-a-Service (RaaS) tra cui Clop, Conti, Maze e Sodinokibi.

Oltre al ransomware, anche i tassi di compromissione della posta elettronica aziendale (BEC) sono leggermente aumentati, del 4%, e i minatori di criptovaluta sono ora uno dei ceppi più comuni di malware rilevati in natura.

Trend Micro ha anche esplorato come la disinformazione relativa alla pandemia di COVID-19 viene utilizzata per diffondere malware. Phishing, social media e ingegneria sociale sono comunemente impiegati per indurre gli utenti a fare clic su allegati dannosi o a visitare domini fraudolenti e i temi relativi al coronavirus in genere non si riferiscono alla malattia in sé, ma a progetti di test e vaccinazione.

Le app dannose fanno parte della diffusione, alcune delle quali diffondono Trojan ad accesso remoto (RAT) bancari tra cui Cerberus e Anubis.
Tag:

Commenti

Posta un commento

Popolari

Cisco ASA sotto attacco, due zero-day sfruttati per prendere il controllo dei firewall e impiantare malware persistente

Negli ultimi giorni è uscita una notizia che vale la pena leggere con attenzione: sono stati sfruttati in attacco dei “zero-day” contro i firewall Cisco della famiglia Adaptive Security Appliance (ASA) e prodotti correlati, e diversi avvisi ufficiali invitano a intervenire subito. La storia è stata riportata da più testate tecniche e da Cisco stessa, che ha pubblicato patch e dettagli sulle falle coinvolte. Cosa è successo, in parole semplici? Alcuni bug nel servizio web/VPN dei dispositivi ASA permettono a un attaccante — inviando richieste appositamente costruite — di superare i controlli e far girare codice sul dispositivo. In pratica, chi sfrutta questi bug può eseguire comandi come se fosse l’amministratore del firewall. Cisco ha identificato più CVE coinvolte e ha confermato che almeno due di queste (quelle catalogate come sfruttate “in the wild”) sono state usate dagli aggressori prima che le correzioni fossero pubblicate. La cosa che preoccupa di più non è solo il controllo tem...
Posta un commento
Continua a leggere »

Il ragazzo che ha paralizzato Las Vegas, genio o delinquente? Colpo da 100 milioni di dollari

La notizia ha fatto il giro del mondo: un adolescente è stato arrestato per il suo presunto ruolo nell’attacco informatico ai casinò di Las Vegas nel 2023. Le vittime principali? MGM Resorts e Caesars Entertainment, che hanno denunciato perdite «dell’ordine dei 100 milioni di dollari». Secondo le autorità, il giovane si è presentato spontaneamente alle forze dell’ordine il 17 settembre 2025 presso il Clark County Juvenile Detention Center, ed è stato formalmente imputato per reati che includono estorsione, accesso illecito a sistemi informatici e uso fraudolento dei dati personali altrui. Si è cercato di trasferirlo in ambito penale adulto, data la gravità dell’operazione. Quel che rende questa vicenda particolarmente affascinante dal punto di vista della sicurezza informatica è proprio la semplicità apparente del vettore di attacco, e al tempo stesso l’efficacia devastante di quanto è successo: il ragazzo — stando alle prime ricostruzioni — avrebbe individuato un impiegato della MGM s...
Posta un commento
Continua a leggere »

Microsoft revoca l’accesso del suo cloud all’intelligence israeliana

Microsoft ha annunciato di aver cessato e disabilitato una serie di servizi cloud e di intelligenza artificiale per un’unità del Ministero della Difesa israeliano (IMOD), dopo aver accertato che tali tecnologie erano state impiegate per sostenere un sistema di sorveglianza di massa sui civili palestinesi.  L’azione dell’azienda è stata attivata in risposta a un’inchiesta giornalistica coordinata dal Guardian, +972 Magazine e Local Call, che ha rivelato come l’Unità 8200 dell’intelligence israeliana avesse archiviato e analizzato milioni di telefonate intercettate tramite la piattaforma Azure, con il fine di monitorare gli spostamenti e guidare operazioni militari nella Striscia di Gaza e in Cisgiordania.  Nel comunicato interno rivolto ai dipendenti, il vicepresidente Brad Smith ha dichiarato che Microsoft non fornisce tecnologie che facilitino la sorveglianza di massa dei civili e che, dopo un’analisi interna, sono emersi elementi che violavano i termini di servizio dell’azie...
Posta un commento
Continua a leggere »