Gli aggressori non chiedono solo il riscatto dalle organizzazioni, ma minacciano anche i loro clienti, utenti e altre terze parti.
Il ransomware è sempre stato uno dei maggiori problemi di cyber security ed è una delle più grandi forme di crimine informatico che le organizzazioni devono affrontare al giorno d’oggi.
Il ransomware si è evoluto di anno in anno ed è diventato talmente tanto frequente che anche il direttore dell’agenzia di intelligence britannica GCHQ Jeremy Fleming ha avvertito che la minaccia del ransomware “sta crescendo a un ritmo allarmante”.
Se all’inizio il problema era il fatto che i file venivano improvvisamente crittografati diventando inaccessibili, con il tempo, il problema è diventata la minaccia e relativo ricatto verso le organizzazioni da parte dei criminali di divulgare pubblicamente informazioni sensibili mettendo a rischio la reputazione delle organizzazioni
Ora, alcuni aggressori sono passati a una tripla tattica di estorsione con l’intento di spremere ancora più denaro dalle loro attività criminali.
In un rapporto pubblicato da Check Point Research si descrive come si sta sviluppando questa ultima tattica:
- il numero di organizzazioni colpite da ransomware finora quest’anno è più che raddoppiato rispetto allo stesso periodo del 2020, secondo il rapporto.
- da aprile, i ricercatori di Check Point hanno osservato una media di 1.000 organizzazioni colpite da ransomware ogni settimana.
- per tutto il 2020, il ransomware è costato alle aziende di tutto il mondo circa 20 miliardi di dollari, oltre il 75% in più rispetto all’importo del 2019.
Il settore sanitario ha registrato il volume più alto di ransomware con circa 109 attacchi per organizzazione ogni settimana, e il settore dei servizi di pubblica utilità ha subito 59 attacchi per organizzazione a settimana, infatti tra le ultime notizie, c’è quella di un attacco ransomware contro la società di gasdotti Colonial Pipeline.
Le aziende del settore assicurativo e legale sono state colpite da 34 attacchi di questo tipo alla settimana.
A livello mondiali, le organizzazioni nella regione dell’Asia del Pacifico sono state vittime del maggior numero di attacchi ransomware con 51 alla settimana. In media, le organizzazioni nordamericane hanno assistito a 29 attacchi a settimana, mentre quelle in Europa e America Latina hanno assistito ciascuna a 14 attacchi ogni settimana…. Insomma i numeri non mentono
La tattica della doppia estorsione si è dimostrata estremamente popolare e redditizia tra le bande di ransomware. L’anno scorso, più di 1.000 aziende hanno scoperto che i loro dati erano trapelati pubblicamente dopo essersi rifiutati di cedere alle richieste di riscatto. In quel periodo, il pagamento medio del riscatto è balzato del 171% a circa $ 310.000.
Ma una tattica che è iniziata verso la fine del 2020 e che è continuata nel 2021, è questa nuova della tripla estorsione. In questo scenario, i criminali inviano richieste di riscatto non solo all’organizzazione attaccata ma a tutti i clienti, utenti o altre terze parti che potrebbero rimanere danneggiate dai dati trapelati.
In un incidente dello scorso ottobre, la clinica di psicoterapia finlandese Vastaamo, con 40.000 pazienti, è stata colpita da una violazione che ha portato al furto dei dati dei pazienti e a un attacco ransomware. Come previsto, gli aggressori hanno chiesto alla clinica una sana somma di riscatto. Hanno anche inviato un’e-mail direttamente ai pazienti, chiedendo piccole somme di denaro, altrimenti avrebbero trapelato gli appunti della sessione del terapeuta. A causa della violazione e del danno finanziario, Vastaamo è stata costretta a dichiarare fallimento e alla fine ha chiuso la sua attività.
In un altro esempio dello scorso febbraio, il gruppo di ransomware REvil ha annunciato che stava aggiungendo più tattiche al suo doppio stratagemma di estorsione, ovvero attacchi DDoS e telefonate ai partner commerciali della vittima e ai media. Gli attacchi DDoS e le chiamate VoIP con codifica vocale, offerti gratuitamente agli affiliati come parte del business del ransomware-as-a-service del gruppo, sono progettati per esercitare una maggiore pressione sulla società affinché paghi il riscatto.
Le vittime dei cd “third parties”, come clienti aziendali, colleghi esterni e fornitori di servizi, sono fortemente influenzate e danneggiate dalle violazioni dei dati causate da questi attacchi ransomware, anche se le loro risorse di rete non sono prese di mira direttamente. Indipendentemente dal fatto che venga richiesto loro un ulteriore riscatto o meno, sono impotenti di fronte a una tale minaccia e hanno molto da perdere se l’incidente prende una svolta sbagliata. Tali vittime sono un bersaglio naturale per l’estorsione e potrebbero essere sui gruppi di ransomware ‘radar d’ora in poi.
Tali vittime sono un bersaglio naturale per l’estorsione e potrebbero quindi entrare nel radar dei gruppi di ransomware.
Qualche raccomandazione
Alza la guardia durante i fine settimana e le vacanze. La maggior parte degli attacchi ransomware si verifica nei fine settimana e nei giorni festivi, quando le persone hanno meno probabilità di essere alla loro attenzione.
Mantieni aggiornate le tue patch. Quando il famigerato attacco WannaCry ha colpito nel maggio 2017, una patch era già disponibile per il difetto EternalBlue sfruttato. Molte organizzazioni non sono riuscite a installarlo, provocando un attacco ransomware che ha colpito più di 200.000 computer in pochi giorni. Assicurati di mantenere i tuoi computer e sistemi aggiornati con le ultime patch, soprattutto quelle considerate critiche.
Educa gli utenti. Formare gli utenti su come identificare ed evitare possibili attacchi ransomware.
Molti di questi attacchi iniziano con un’e-mail di phishing che induce il destinatario a fare clic su un collegamento dannoso. Istruire i dipendenti su questi tipi di e-mail può fermare un attacco prima che sia troppo tardi.
Blocca il ransomware prima che inizi. Gli attacchi ransomware non iniziano con il ransomware, molti iniziano con infezioni da malware. Scansiona la tua rete alla ricerca di malware come Trickbot, Emotet e Dridex in quanto possono aprire la strada al ransomware. Utilizza delle soluzioni avanzate e innovative in grado di prevenire questo generi di attacchi come la Deception di Deceptive Bytes