AGI - Gli attacchi ransomware sono la minaccia cyber che una qualsiasi organizzazione che conserva dati in formato digitale deve affrontare. Ormai esistono numerosi gruppi criminali che hanno creato dei veri e propri brand per rimarcare la loro supremazia nei confronti dei loro "competitor" nella stessa tipologia di "business".
Gli attacchi di tipo ransomware sono infatti una delle principali minacce cibernetiche che ogni organizzazione è costretta ad affrontare. Per questo Yoroi, una società di consulenza sulla cybersecurity del gruppo Tinexta, ha realizzato un rapporto in cui si evidenziano i metodi e la composizione di noti gruppi ransomware come Maze, REvil, Conti ed altri.
Nel corso del 2021 sono stati affrontati numerosi attacchi ransomware e attacchi di altissimo profilo ormai noti agli addetti ai lavori con il nome di "Double Extortion".
La composizione dei gruppi ransomware
I gruppi ransomware agiscono come delle imprese legittime e hanno all'interno del suo organico i seguenti profili, si legge sul rapporto Yoroi:
- i veterani del gruppo che rappresentano il consiglio di amministrazione del gruppo; il gruppo di sviluppatori altamente specializzati nel produrre malware e strumenti di supporto per compiere gli attacchi;
- esperti penetration tester e red-teamer che compiono le operazioni di intrusione avanzata all'interno delle organizzazioni bersaglio;
- i contabili che sono addetti al riciclaggio del denaro, e particolarmente nel mixing di bitcoin;
- i recruiter che cercano di attrarre persone all'interno del circuito; gli esperti di negoziazione utilizzati per trattare con le vittime e gli eventuali consulenti e agenti di giustizia in modo da estorcere efficacemente i pagamenti;
- gli esperti di marketing focalizzati a posizionare il brand all'interno della comunità.
I metodi dei gruppi ransomware
1. Metodi di estorsione multipli. Dal 2019 i metodi di estorsione si sono evoluti notevolmente, dalla richiesta di riscatto per dissequestrare i file presi in ostaggio fino al furto di informazioni critiche e al "public shaming". 2. Sviluppo di applicazioni as a service (Ransomware as a Service).
3. Sviluppo offensivo (Weaponization) della propria tecnologia nella ricerca e sfruttamento di nuove vulnerabilità.
4. Sempre più spesso le cybergang acquistano da "access brokers" gli ingressi delle organizzazioni da attaccare.
5. Nessuna regola è rispettata.
Gli obbiettivi e i riscatti
Osservando la distribuzione geografica delle richieste di estorsione note da parte delle gang del ransomware, Yoroi ha rilevato come le Americhe (principalmente USA e Canada) siano state le principali vittime a livello globale, con l'Europa e l'Australia al secondo e terzo in termini di incidenti.
Si è inoltre riscontrato un notevole incremento di attacchi rivolti alla pubblica amministrazione ed enti governativi a partire dagli ultimi anni, e l'aumento delle richieste di riscatto che da un valore minore di 1.000 dollari è diventato superiore ai cinque milioni di dollari.