Passa ai contenuti principali

Ransomware: emergenze nazionali e ricatti milionari

Il ransomware è diventato oggi una delle minacce più note e prevalenti contro le aziende. Solo quest'anno, abbiamo visto casi di alto profilo di infezione da ransomware, anche contro Colonial Pipeline, Kaseya e il servizio sanitario irlandese, causare di tutto, dall'interruzione dell'attività alla carenza di carburante, alle dichiarazioni di emergenza nazionale e alle cure mediche limitate.

Questi attacchi vengono eseguiti per quelli che possono finire per essere vincite multimilionarie e ora queste campagne stanno diventando più facili da eseguire con le offerte di accesso iniziale che diventano prontamente disponibili per l'acquisto online, eliminando il tempo necessario per lanciare ransomware su una rete aziendale .

Ci sono una serie di tendenze nello spazio ransomware degno di nota, tra cui:

  • Pagamenti: dopo che DarkSide ha costretto Colonial Pipeline a disattivare i tubi del carburante, provocando acquisti di panico in tutti gli Stati Uniti, l'azienda ha pagato un riscatto di $ 4,4 milioni.  L'amministratore delegato Joseph Blount ha affermato che è "la cosa giusta da fare per il paese". Il più grande pagamento di riscatto ammonta a oltre $ 30 milioni.
  • Entrate elevate: dopo aver analizzato l'attività criminale online, KELA afferma che le organizzazioni con un fatturato annuo di oltre $ 100 milioni sono considerate le più attraenti.
  • Broker di accesso iniziale (IAB): gli IAB sono diventati un'attività criminale consolidata , spesso ricercata dai gruppi di ransomware alla ricerca del loro prossimo obiettivo.
  • I metodi di accesso preferiti includono credenziali o vulnerabilità RDP e VPN .
  • Gli anglofoni sono anche molto richiesti per assumere gli aspetti di negoziazione di un attacco di successo.
  • Siti di fuga: i gruppi ransomware ora minacciano spesso di divulgare dati sensibili rubati durante un attacco se una vittima non paga. Cisco Secure lo chiama un metodo di estorsione " uno-due-punch ".
  • Cartelli: i ricercatori hanno scoperto che si stanno formando anche "cartelli", in cui gli operatori di ransomware condividono informazioni e tattiche.

In un rapporto sulle minacce alla sicurezza informatica pubblicato martedì, i ricercatori di Trend Micro hanno affermato che durante la prima metà di quest'anno, il ransomware è rimasto una "minaccia eccezionale" con le grandi aziende particolarmente a rischio, a causa delle loro entrate e della prospettiva di grandi vincite. - nella cosiddetta " caccia grossa ".

Durante i primi sei mesi del 2021, sono stati rilevati 7,3 milioni di eventi correlati al ransomware, la maggior parte dei quali erano varianti di WannaCry e Locky.

Tuttavia, questo è circa la metà del numero di rilevamenti durante lo stesso periodo del 2020, un calo che i ricercatori hanno attribuito a un passaggio dai tentativi di basso valore alla caccia alla grossa selvaggina.

"Un incidente con il ransomware DarkSide [attacco Colonial Pipeline] ha attirato maggiore attenzione sugli operatori di ransomware, il che potrebbe aver indotto alcuni di loro a restare nascosti", affermano i ricercatori. "Nel frattempo, le forze dell'ordine di tutto il mondo hanno condotto una serie di operazioni di rimozione di ransomware che potrebbero aver avuto un impatto su gruppi attivi di vasta portata".

Le banche, gli enti governativi e l'industria manifatturiera rimangono oggi i principali obiettivi per gli operatori di ransomware.

Anche i test di penetrazione open source e legittimi o gli strumenti di sicurezza informatica vengono ampiamente abusati da questi attori delle minacce. Cobalt Strike, PsExec, Mimikatz e Process Hacker sono indicati nel rapporto come presenti negli arsenali dei gruppi Ransomware-as-a-Service (RaaS) tra cui Clop, Conti, Maze e Sodinokibi.

Oltre al ransomware, anche i tassi di compromissione della posta elettronica aziendale (BEC) sono leggermente aumentati, del 4%, e i minatori di criptovaluta sono ora uno dei ceppi più comuni di malware rilevati in natura.

Trend Micro ha anche esplorato come la disinformazione relativa alla pandemia di COVID-19 viene utilizzata per diffondere malware. Phishing, social media e ingegneria sociale sono comunemente impiegati per indurre gli utenti a fare clic su allegati dannosi o a visitare domini fraudolenti e i temi relativi al coronavirus in genere non si riferiscono alla malattia in sé, ma a progetti di test e vaccinazione.

Le app dannose fanno parte della diffusione, alcune delle quali diffondono Trojan ad accesso remoto (RAT) bancari tra cui Cerberus e Anubis.
Tag:

Commenti

Posta un commento

Popolari

WinRAR sotto attacco, zero-day critica sfruttata da hacker russi

Il 10 agosto 2025 è stata resa pubblica la vulnerabilità CVE-2025-8088 di WinRAR, una falla di tipo directory traversal già sfruttata in attacchi mirati da RomCom, gruppo hacker legato alla Russia e noto per operazioni di cyber-spionaggio ed estorsione. Il problema risiede nella gestione dei percorsi all’interno di archivi compressi: un file RAR malevolo può includere riferimenti a directory specifiche del sistema, forzando WinRAR a estrarre file in percorsi diversi da quelli scelti dall’utente. In particolare, è possibile copiare eseguibili nelle cartelle di avvio automatico di Windows, come %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup o %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp. Alla successiva accensione del PC, il malware viene avviato in automatico, ottenendo così persistenza sul sistema e potenzialmente consentendo il controllo remoto. Gli attacchi osservati sono stati condotti tramite campagne di spear-phishing: le vittime ricevevano email contenenti...
Posta un commento
Continua a leggere »

Nuovo attacco agli ambienti ibridi Microsoft, l’allarme lanciato a Black Hat. Active Directory ed Entra ID sotto esame, la tecnica che sfida MFA e controlli tradizionali

A Black Hat USA 2025 è stata mostrata una lezione dura ma utile per chiunque gestisca identità e mail aziendali: un ricercatore ha dimostrato come, in certi ambienti ibridi che sincronizzano Active Directory locale con Microsoft Entra ID (ex Azure AD), un account cloud apparentemente a bassa priorità possa essere trasformato in un account “ibrido” con privilegi amministrativi, senza passare dalle normali barriere di autenticazione e senza far scattare gli allarmi tradizionali. La dimostrazione — presentata da Dirk-jan Mollema di Outsider Security — ha messo in luce vettori di abuso legati al server di sincronizzazione (Entra Connect), alle modalità di corrispondenza degli account tra on-prem e cloud (soft matching) e a token/claim usati nei meccanismi di delega e in Exchange ibrido. Per chi non mastica quotidianamente questi termini: molte aziende hanno ancora un Active Directory “dentro l’azienda” per utenti e servizi, e allo stesso tempo usano servizi cloud come Microsoft 365. Per fa...
Posta un commento
Continua a leggere »

Italia, via libera al contrattacco cyber. Il nostro Paese ora può rispondere colpo su colpo

Immagina una stanza blindata, luci basse, grafici e mappe digitali proiettati sulle pareti: in mezzo al tavolo, una decisione da prendere in pochi minuti. È lo scenario che la nuova norma italiana rende possibile, dando al Presidente del Consiglio il potere di autorizzare, dopo consultazione con CISR e Copasir, un contrattacco cibernetico vero e proprio. Non parliamo di alzare firewall o bloccare un IP, ma di operazioni offensive su scala statale, condotte da AISE e AISI, con il coordinamento del DIS e il supporto del Ministero della Difesa. Il quadro è stato reso operativo con il Decreto Sicurezza (DL 48/2025, legge dal 9 giugno), che ha messo nero su bianco procedure, ruoli e condizioni. La norma prevede tre requisiti fondamentali: il bersaglio dev’essere identificabile con alto grado di certezza (ad esempio un gruppo APT o un’infrastruttura C2 specifica), le difese convenzionali devono essersi dimostrate inefficaci e la minaccia deve riguardare la sicurezza nazionale o quella di un...
Posta un commento
Continua a leggere »