Targeted Ransomware: conoscerli per proteggersi al meglio

La minaccia ransomware esiste da diversi anni, ma di recente ha registrato un vero e proprio boom, prendendo di mira e colpendo tantissime organizzazioni di varie tipologie.

Il fenomeno è noto ormai da tempo: sappiamo, infatti, che il termine “ransomware” identifica una precisa categoria di programmi dannosi, sviluppati appositamente per impedire l’accesso a determinati sistemi o file in cambio del pagamento di un riscatto, e che i primi esempi risalgono addirittura al 1989.

Un po’ di storia

L’ondata alla quale assistiamo anche oggi è stata generata da quelli che vengono definiti “Crypto Locker“, minacce sviluppatesi soprattutto intorno al 2013 che, inizialmente, impattavano solo i singoli utenti: in caso di attacco, il sistema o i file della vittima venivano cifrati e gli attaccanti chiedevano il pagamento di un riscatto di circa 300 dollari in cambio del loro sblocco. Questi programmi malevoli a quel tempo avevano un impatto abbastanza limitato, proprio perché agivano criptando solo i dati di un singolo sistema o, al massimo, le cartelle condivise accessibili dallo stesso sistema.

I ransomware, però, hanno dimostrato di sapersi evolvere costantemente nel tempo, sia dal punto di vista tecnico (alcuni programmi hanno cercato, ad esempio, di implementare al loro interno anche altre funzionalità, tipiche dei worm, per potersi propagare in modo automatico), sia dal punto di vista del livello organizzativo raggiunto dai loro sviluppatori. I cybercriminali hanno iniziato presto a capire che colpire i sistemi server, che solitamente contengono dati più critici, poteva essere molto più conveniente che attaccare i semplici dispositivi finali: un’azione di questo tipo permetteva, infatti, di chiedere somme di denaro ingenti e rendere così l’attacco più efficace, efficiente e, nello stesso tempo, profittevole.

Una successiva evoluzione è stata osservata intorno al 2016, quando un gruppo cybercriminale, denominato SamSam, ha fatto un nuovo passo in avanti: invece che attaccare e procedere con la crittografia di un singolo server, ha deciso di prendere di mira anche altre macchine all’interno della stessa infrastruttura IT, quindi della stessa azienda, provocando così un blocco totale e arrivando a richiedere il pagamento di un riscatto ancora maggiore. Invece dei 300 dollari che inizialmente potevano essere richiesti per sbloccare un singolo dispositivo, i cybercriminali sono passati così a chiedere decine di migliaia di dollari.

Questo trend, iniziato intorno al 2016, ha avuto poi una forte espansione, soprattutto nel corso del 2019. L’andamento dei dati relativi al numero di organizzazioni vittime di attacchi ransomware mirati mostra una curva in costante crescita a partire da giugno 2017 e una serie di picchi importanti raggiunti verso la fine del 2018 e, soprattutto, nel maggio del 2019. Anche la quantità dei “targeted ransomware” rilevati mostra una tendenza in forte ascesa: se erano un numero estremamente ridotto negli anni precedenti, il 2019 ha visto una proliferazione testimoniata dal rilevamento di diverse famiglie di ransomware dai nomi strani e suggestivi (ad esempio, Snake, Sekhmet, Zeppelin, Sodinokibi, Ragnarlocker, Clop, DoppelPaymer, Maze, RobbinHood o MegaCortex). Questo forte boom dello scorso anno probabilmente è legato anche alla comparsa, nell’anno immediatamente precedente, di un ransomware noto come Ryuk, che è stato utilizzato da un noto gruppo a partire dall’agosto 2018 e che ha dato un forte impulso allo sviluppo e all’evoluzione di questo tipo di attività cybercriminale.

Come prima cosa, Ryuk ha dimostrato che un aumento della richiesta media del riscatto era possibile.

Se prima la media era di alcune decine di migliaia di dollari, Ryuk ha dettato un altro trend, dimostrando agli altri cybercriminali che era possibile puntare anche molto più in alto e quindi di saper ottenere un riscontro importante dal punto di vista economico: dalla sua comparsa, infatti, si stima che sia riuscito a guadagnare circa 3,7 milioni di dollari in riscatti in soli 5 mesi di attività. Il suo esempio ha quindi spinto diversi attaccanti a cercare di emularne il successo.

Alcuni casi reali

Al di là della teoria, alcuni casi reali mostrano chiaramente la portata del fenomeno e soprattutto il fatto che le aziende che possono essere prese di mira e diventare vittime di campagne di ransomware mirati possono appartenere a tanti settori diversi: pubblica amministrazione, soprattutto nel Nord America, ospedali, università, tante aziende di diversi tipi e di varie dimensioni, soprattutto in Europa. Vediamo alcuni esempi.

Nel 2019 alcuni attaccanti hanno richiesto un riscatto di 14 milioni di dollari in Bitcoin per lo sblocco dei sistemi informatici di 110 case di cura negli Stati Uniti. Il Grays Harbor Community Hospital di Aberdeen, Washington, invece, è stato colpito da un attacco ransomware che, all’inizio dell’estate del 2019, ha criptato i file della rete, comprese le cartelle cliniche elettroniche dei pazienti. Si stima che siano stati colpiti circa 85.000 dati. I criminali hanno chiesto un riscatto superiore a 1 milione di dollari in Bitcoin. L’ospedale, però, aveva informato l’FBI, che aveva consigliato di non procedere con il pagamento del riscatto.

Sempre nel 2019, una città del Massachusetts, New Bedford, vicina a Boston, ha dovuto far fronte ad una richiesta di pagamento di oltre 5 milioni di dollari per ottenere lo sblocco dei propri sistemi. Come già descritto nell’articolo “Kaspersky Security Bulletin: Story of the Year 2019“, il 2019 è stato, in generale, l’anno degli attacchi ransomware rivolti ai Comuni: sono state prese di mira, infatti, almeno 174 istituzioni comunali e oltre 3.000 organizzazioni collegate, con un aumento del 60% rispetto al 2018. Le richieste di riscatto dei criminali informatici hanno raggiunto anche i 5 milioni di dollari, ma le stime relative ai danni subiti e al costo effettivo degli attacchi possono essere state anche molto più elevate.

Nello stesso anno la Norsk Hydro, un’azienda che si occupa di produzione di alluminio e che opera a livello globale, ha subito un attacco che ha compromesso 22.000 computer in 170 siti diversi di 40 paesi. Le linee di produzione sono dovute passare alle funzioni manuali o hanno dovuto semplicemente fermarsi, ma la risposta dell’azienda è stata descritta come una sorta di “gold standard” sia dalle forze dell’ordine, sia dall’industria della sicurezza informatica: non solo si è rifiutata di pagare un riscatto per un attacco che le è costato oltre 45 milioni di sterline, ma ha anche dimostrato totale apertura e trasparenza, comunicando al mondo quello che era successo.

I criminali hanno usato il ransomware Ryuk per bloccare anche le reti informatiche di un impianto di trasporto marittimo, causando un’interruzione di circa 30 ore in tutta la rete IT, secondo quanto dichiarato dalla Guardia Costiera degli Stati Uniti. Dopo che un dipendente aveva cliccato su un link malevolo incorporato all’interno di una email, gli attaccanti sono riusciti a compromettere l’infrastruttura, accedere a importanti file di rete e cifrarli con il malware, impedendo di fatto l’accesso ai dati. Oltre all’interruzione della rete, l’attacco ha determinato una serie di problemi relativi ai controlli di telecamere e accessi fisici.

Non sono state risparmiate neanche le grandi aziende che operano nel settore energetico. Il colosso portoghese dell’energia, Energias de Portugal (EDP), ad esempio, è stata una delle ultime società ad essere minacciata (il mese scorso): prendendo spunto da altri attacchi avvenuti negli ultimi sei mesi, come quelli perpetrati dal gruppo Maze, il gruppo che utilizza il ransomware Ragnarok ha pubblicato 10 TB di dati che aveva rubato durante l’attacco, in quanto la società energetica si era rifiutata di pagare un riscatto record di 10,9 milioni di dollari. (continua…)

FINE PRIMA PARTE

Nella seconda parte dell’articolo, in pubblicazione nella prima settimana di Luglio, vi parlerò  nel dettaglio dei nuovi trend di attacco, delle caratteristiche degli attacchi ransomware mirati e di cosa possono fare le organizzazioni per proteggersi.

Nel frattempo, compilando il form sottostante potrai ricevere gratuitamente il WhitePaper Kaspersky “La Cybersecurity nell’era delle minacce fileless, degli attacchi mirati e delle APT”

Consigli