Ransomware: attenzione agli attacchi di massa

È cresciuta a dismisura la portata degli attacchi cyber subiti da aziende ed enti pubblici nell’ultimo periodo, ma ad essi si aggiungono nuove criticità che non fanno che aggravare la situazione. In questo approfondimento parliamo di una vittima che a causa di una vulnerabilità ha subito un triplo attacco ransomware per mano di tre diversi gruppi hacker, per la precisione Hive, Lockbit e BlackCat.

Gli attacchi sembrano essere avvenuti tutti in poche ore a parte uno, riconosciuto solo un paio di settimane dopo, mentre la vittima ha ricevuto le classiche richieste di pagamento di un riscatto per mano di ciascun gruppo hacker. Tutto questo però è accaduto in un clima di competitività tra hacker, che solitamente colpiscono obiettivi in modo più lontano del tempo e questa volta invece hanno voluto tentare una sorta di gara. Addirittura, l’ultimo arrivato BlackCat ha cancellato ogni traccia della presenza dei due precedenti attaccanti oltre ovviamente alle proprie.

Tempo addietro, un caso analogo è stato quello dello stesso Lockbit che ha attaccato un sistema riattaccato pochi mesi dopo da un team legato al gruppo russo Conti. In questo caso è stata semplicemente sfruttata la breccia fatta da Lockbit per riattaccare la vittima. La motivazione dietro queste concatenazioni di attacchi è difficile da trovare ma si pensa che sia dettata dal fatto che mettendo maggior pressione alle vittime si possa sbloccare prima un eventuale pagamento del riscatto richiesto.

Un’altra possibilità è che esistano accordi sommersi tra gli hacker per dividersi i compiti una volta riusciti a far breccia nei sistemi. Di fatto, però, sono molti i casi in cui una vittima attaccata da hacker non riesce a rimediare alla falla che ha inizialmente permesso loro di fare breccia, lasciando quindi una porta aperta ad altri attacchi. Tra le vulnerabilità più utilizzate per perpetrare attacchi multipli troviamo le già note Log4Shell, ProxyShell e ProxyLogon insieme alle falle che interessano i sistemi di desktop remoto (RDP).

L’elevata quantità di problemi di sicurezza nei sistemi e nell’educazione dei dipendenti di enti ed aziende sta dando e darà sempre più modo alle vittime di restare scoperte. Per questo motivo come spesso ripetiamo è necessario seguire l’uscita di tutti gli aggiornamenti disponibili per i propri sistemi ed installarli secondo le disposizioni. Questo è un primo passo più che mai necessario per cercare perlomeno di arginare le problematiche senza spianare la strada agli hacker che potrebbero causare enormi danni operativi ed economici.

 

Fonte: