Ransomware: quali sono i più diffusi

Le minacce sul web stanno spostando il loro focus verso le grandi aziende per monetizzare il più possibile mediante ogni tipo di attacco, in particolar modo i Ransomware. Queste tecniche, inizialmente pensate per colpire i singoli utenti, adesso sono utili per mettere nel mirino le realtà, come le aziende, che potrebbero far guadagnare di più i gruppi hacker.

Negli ultimi anni si stanno diffondendo molte famiglie di Ransomware particolarmente pericolose che Kaspersky ha elencato raccontandone anche il modus operandi. Per vedere una panoramica degli attacchi Ransomware del 2020 è possibile leggere il nostro precedente approfondimento a questo link.

Maze

Questo malware, scoperto nel 2019, è riuscito in poco tempo a diventare la peggior minaccia al punto da essere veicolato in un terzo degli attacchi su scala mondiale. Il suo funzionamento prevede che il furto di dati debba essere effettuato prima di cifrare quest’ultimi, in modo da minacciarne la pubblicazione in caso di mancato pagamento.

Un’altra particolarità dei creatori di Maze è il fatto di avere contatti con i media, ai quali danno informazioni sugli attacchi in corso e su quelli riusciti (sempre via email). È il caso della società americana Allied Universal, i cui dati vennero inviati ai redattori di Bleeping Computer e poi pubblicati direttamente nel forum del sito.

Le attività di Maze sono state smantellate nel settembre 2020, ma in poco tempo è riuscito ad ottenere milioni di dollari anche grazie agli attacchi a banche e strutture pubbliche.

Conti (o IOCP)

Questo Ransomware ha pressappoco lo stesso funzionamento di Maze, anche se ha coperto solo il 13% degli attacchi su scala mondiale. La sua peculiarità, però, sta nelle comunicazioni con le vittime, alle quali offre aiuto. Questo significa che, oltre a rubare i dati e dimostrare che sono in grado di renderli pubblici, i diffusori di Conti dicono anche alle vittime che pagando avranno sostegno informatico per comprendere quale falla ha reso possibile l’attacco e come fare per arginarla.

Questo Ransomware viene distribuito principalmente via botnet, ovvero utilizzando utenti fittizi che cercano, mediante continui tentativi di accesso, di fare breccia nei profili aziendali fino a quando non scoprono le vulnerabilità necessarie all’installazione dei malware.

Anche in questo caso le richieste non sono state basse. Ad una scuola statunitense, infatti, è stata avanzata una proposta di rilascio dei dati a fronte di una spesa di 40 milioni di dollari, ovviamente rifiutata.

REvil (o Sodinokibi)

Anche questo Ransomware ha iniziato la sua attività un paio di anni fa con un attacco nel continente asiatico. È un malware che viene fornito agli interessati previo pagamento ed utilizza funzioni particolarmente sofisticate come utilizzare la CPU in modo apparentemente legittimo per sfuggire ai controlli. Il vettore d’attacco principale di REvil è il desktop remoto (RDP), nelle cui connessioni vengono trovate falle di sicurezza che poi vengono puntualmente sfruttate per entrare nei sistemi delle vittime.

L’utilizzo di REvil ha coperto l’11% degli attacchi mondiali mettendo nel bersaglio diversi settori economici. Si va dalle aziende di ingegneria alla finanza, passando da settore IT, telecomunicazioni e servizi professionali. Il settore delle telecomunicazioni è quello che, nel 2019, ha subito i peggiori attacchi tramite l’utilizzo di REvil, che conta anche la più alta richiesta di riscatto della storia, ovvero i 50 milioni chiesti ad Acer nel marzo scorso.

Netwalker

Nel 2020, questo malware ha iniziato a mettere nel mirino aziende di grandi dimensioni arrivando a coprire il 10% degli attacchi su scala mondiale. Anche in questo caso, gli sviluppatori stanno dando “a noleggio” il Ransomware con accordi economici poco chiari. Parrebbe infatti che, in caso di pagamento di riscatto, i diffusori arrivino a guadagnare addirittura il 70% della cifra ottenuta.

Per distribuire Netwalker, i criminali informatici utilizzano le mail spam contenenti allegati Word che utilizzano macro dannose. Nel caso in analisi, una grande catena di contagio è partita con delle finte mail contenenti informazioni sul Covid-19.

Per dimostrare la loro efficienza, i creatori di Netwalker hanno creato un proprio sito nel quale hanno pubblicato le prove dei grandi spostamenti di denaro oltre ai dati delle vittime una volta scaduti gli ultimatum per il pagamento del riscatto.

C’è però un lieto fine. Pare che nel gennaio scorso sia stato arrestato Sebastien Vachon-Desjardins, un canadese che sceglieva le aziende da ricattare e sferrava gli attacchi utilizzando proprio Netwalker. Pare anche che questa attività gli avesse fruttato fino ad allora oltre 27 milioni di dollari. Il suo arresto ha permesso lo smantellamento della rete di Netwalker decretando anche la fine del Ransomware stesso.

DoppelPaymer

Il nome di DoppelPaymer è apparso da relativamente poco tempo sul palcoscenico dei Ransomware guadagnandosi però una discreta fama ed arrivando al 9% degli attacchi mondiali. I suoi sviluppatori, tuttavia, sono già noti per aver creato altri malware come Dridex (trojan bancario) e BitPaymer, considerato a tutti gli effetti un precursore.

Come Conti, anche DoppelPaymer viene distribuito principalmente via botnet.

Nonostante abbia come bersaglio anche le aziende, è con le organizzazioni pubbliche che DoppelPaymer ha perpetrato gli attacchi peggiori. È noto come, veicolando questo malware, gli hacker siano riusciti a far cadere in trappola due contee degli Stati Uniti, che hanno corrisposto anche cifre importanti per il rilascio dei loro dati.

L’ultimo attacco notificato risale al febbraio 2021, quando un ente governativo europeo, il consiglio di ricerca olandese, ha dichiarato la presa in ostaggio dei loro dati e la richiesta di riscatto da parte del team di DoppelPaymer.

Cosa fare per evitare attacchi Ransomware

Inizialmente è importante innalzare il livello di cultura sulla Cybersicurezza dei propri dipendenti, spiegando come sia necessario non aprire mail sospette e, al contempo, impostare password forti. Il cambio delle credenziali d’accesso dovrà essere fatto in periodicamente ed in modo obbligatorio senza riutilizzare vecchie password.

Il personale IT delle aziende, invece, dovrà sempre tenere aggiornati i sistemi installando tutte le patch necessarie che periodicamente vengono distribuite. Queste operazioni andranno effettuate sia lato server che lato client. Nel caso in cui non si disponesse di un personale IT è sempre possibile rivolgersi ad un Service Provider, che coi suoi servizi è in grado di garantire la protezione massima abbattendo i costi del mantenimento delle macchine in-house.

Tali servizi possono comprendere anche un’altra delle soluzioni più importanti per la sicurezza ovvero i Backup. Salvando periodicamente in Cloud delle copie dei propri dati, si riuscirebbe a correre ai ripari anche in caso di attacco Ransomware. I servizi dei provider hanno anche un’utilità ulteriore, ovvero quella dei continui test e controlli sulle reti, che per un’azienda IT sono operazioni di routine.

 

Fonte: 1