Ransomware a caccia di aziende: i 5 principali gruppi di cybercriminali

Scopriamo insieme quali sono i gruppi di cybercriminali più attivi che prendono di mira le aziende, cifrano i dati e chiedono un riscatto.

Negli ultimi cinque anni, i ransomware sono passati da essere una minaccia per i computer di singoli utenti a rappresentare un serio pericolo per le reti aziendali. I criminali informatici hanno smesso di cercare semplicemente di infettare il maggior numero possibile di computer e ora prendono di mira le vittime di maggiore peso economico. Gli attacchi alle organizzazioni commerciali e alle agenzie governative richiedono un’attenta pianificazione ma possono portare a ricompense potenziali di decine di milioni di dollari.

I gruppi di cybercriminali che creano i ransomware sfruttano il potenziale economico delle aziende, che tende a essere molto più grande rispetto a quello degli utenti comuni. Inoltre, molti gruppi di cybercriminali moderni rubano i dati prima della cifratura, aggiungendo la minaccia della pubblicazione come ulteriore leva. Per l’azienda colpita i rischi aumentano: si va dal danno di immagine ai problemi con gli azionisti, per non parlare delle multe imposte dagli organismi regolatori, il cui importo spesso è superiore rispetto a quello richiesto come riscatto.

Secondo i nostri dati, il 2016 è stato un anno spartiacque. In pochi mesi, il numero di cyberattacchi ransomware rivolto alle aziende è triplicato: se a gennaio 2016 abbiamo registrato in media un incidente ogni 2 minuti, a fine settembre dello stesso anno l’intervallo si è ridotto a 40 secondi.

Dal 2019, gli esperti hanno osservato regolarmente la presenza di campagne mirate da parte di ransomware che andavano a caccia di “grosse prede”. Gli stessi siti degli operatori di malware mostrano le statistiche degli attacchi. Abbiamo usato questi dati per compilare una classifica dei gruppi di criminali informatici più attivi.

1. Maze (conosciuto anche come ransomware ChaCha)

Il ransomware Maze, individuato per la prima volta nel 2019, è salito rapidamente in cima alla classifica dei malware più pericolosi della sua categoria. Considerando il totale delle vittime, questo ransomware ha messo in atto più di un terzo degli attacchi. Il gruppo di cybercriminali che ha creato Maze è stato uno dei primi a rubare i dati prima di cifrarli. Se la vittima si rifiutava di pagare il riscatto, i criminali informatici minacciavano di pubblicare i file rubati. La tecnica si è dimostrata efficace ed è stata poi adottata da molti altri ransomware, tra cui REvil e DoppelPaymer, di cui parleremo di seguito.

Come altra novità, i criminali informatici hanno iniziato a informare i media dei loro attacchi. Alla fine del 2019, il gruppo creatore di Maze ha informato Bleeping Computer del suo hackeraggio alla società Allied Universal, allegando alcuni dei file rubati come prova. Nelle conversazioni via e-mail con i redattori del sito, il gruppo ha minacciato di inviare dello spam dai server di Allied Universal, e in seguito ha pubblicato i dati riservati della società violata sul forum di Bleeping Computer.

Gli attacchi di Maze sono continuati fino a settembre 2020, quando il gruppo ha iniziato a chiudere bottega, anche se in quel lasso di tempo ha fatto vittime illustri di livello internazionale, come una banca statale in America Latina e il sistema informatico di una città degli Stati Uniti. In ognuno di questi casi, i creatori di Maze hanno richiesto alle vittime diversi milioni di dollari di riscatto.

2. Conti (conosciuto anche come ransomware IOCP)

Conti è apparso alla fine del 2019 ed è stato molto attivo per tutto il 2020, colpendo oltre il 13% di tutte le vittime di ransomware durante questo periodo. I suoi creatori sono ancora in attività.

Un dettaglio interessante degli attacchi di Conti è che i criminali informatici offrono all’azienda bersaglio un aiuto per la sicurezza se accettano di pagare. Il messaggio dice più o meno così: “Riceverai istruzioni su come risolvere la falla nel tuo sistema di sicurezza e su come evitare tali problemi in futuro + ti consiglieremo un software speciale che renderà la vita difficile agli hacker.”

Così come avviene con Maze, questo ransomware non solo cifra i dati, ma invia anche una copia dei file ai creatori del ransomware. I criminali informatici poi minacciano di pubblicare le informazioni online se la vittima non soddisfa le loro richieste. Tra gli attacchi Conti di più alto profilo c’è stato l’hackeraggio di una scuola negli Stati Uniti, seguito da una richiesta di riscatto di 40 milioni di dollari (a quanto pare l’amministrazione sarebbe stata disposta a pagare  fino a  500 mila dollari, ma non avrebbe negoziato una cifra 80 volte superiore).

3. REvil (conosciuto anche come ransomware Sodin o Sodinokibi)

I primi attacchi del ransomware REvil sono stati rilevati all’inizio del 2019 in Asia. Il malware ha rapidamente attirato l’attenzione degli esperti per le sue prodezze tecniche, come l’uso di funzioni legittime della CPU per aggirare i sistemi di sicurezza. Inoltre, il suo codice conteneva alcuni segnali caratteristici che evidenziavano l’intenzione dei cybercriminali di concederlo in leasing.

Nelle statistiche totali, le vittime di REvil costituiscono l’11% del totale e il malware ha colpito quasi 20 settori diversi. La quota maggiore di vittime ricade su Ingegneria e produzione (30%), seguito da Finanza (14%), Servizi professionali e di consumo (9%), Settore legale (7%), e IT e telecomunicazioni (7%). A quest’ultima categoria appartengono gli attacchi ransomware di più alto profilo del 2019, quando i criminali informatici hanno violato diversi MSP e distribuito Sodinokibi tra i loro clienti.

Il gruppo detiene attualmente il record per la richiesta di riscatto più alta fino ad ora conosciuta: 50 milioni di dollari richiesti ad Acer nel marzo 2021.

4. Netwalker (conosciuto anche come ransomware Mailto)

Netwalker si è accaparrato più del 10% delle vittime totali. Tra i suoi obiettivi ci sono giganti della logistica, gruppi industriali, società di energia e altre grandi organizzazioni. Nel giro di pochi mesi nel 2020, i criminali informatici hanno guadagnato più di 25 milioni di dollari.

I suoi creatori sembrano determinati a diffondere il ransomware in modo massivo. Si sono offerti di affittare Netwalker a truffatori solitari in cambio di una fetta dei profitti dell’attacco. Secondo Bleeping Computer, chi diffonde il malware potrebbe prendersi  il 70% del riscatto, anche se in questi casi in genere vengono pagati molto meno.

Come prova del loro intento, i criminali informatici hanno pubblicato screenshot di grandi trasferimenti di denaro. Per rendere il processo di leasing il più facile possibile, hanno creato un sito web per pubblicare automaticamente i dati rubati dopo la scadenza della richiesta di riscatto.

A gennaio 2021, la polizia ha sequestrato le risorse di Netwalker sul dark web e ha accusato il cittadino canadese Sebastien Vachon-Desjardins di aver ottenuto più di 27,6 milioni di dollari dall’attività di estorsione. Vachon-Desjardins aveva il compito di trovare le vittime, infiltrarsi e distribuire Netwalker sui loro sistemi.  L’operazione di polizia ha effettivamente permesso di mettere fuori gioco Netwalker.

5. Il ransomware DoppelPaymer

L’ultimo cattivo della nostra classifica è DoppelPaymer, un ransomware le cui vittime costituiscono circa il 9% delle statistiche totali. I suoi creatori hanno lasciato il segno anche con altri malware, tra cui il Trojan bancario Dridex e l’ormai defunto ransomware BitPaymer (chiamato anche FriedEx), che è considerato una versione precedente di DopplePaymer. Quindi il numero totale di vittime di questo gruppo è in realtà molto più alto.

Le organizzazioni commerciali colpite da DoppelPaymer includono aziende di prodotti di elettronica e case produttrici di automobili, così come una grande compagnia petrolifera latinoamericana. Di solito DoppelPaymer prende di mira organizzazioni governative in tutto il mondo, compresi servizi sanitari, di emergenza e scolastici. Il gruppo ha anche fatto notizia dopo aver pubblicato informazioni sugli elettori rubate da Hall County, Georgia, e aver ricevuto 500.000 dollari dalla contea di Delaware, Pennsylvania, entrambi negli Stati Uniti. Gli attacchi di DoppelPaymer continuano ancora oggi: a febbraio di quest’anno, un ente di ricerca europeo ha annunciato di essere stato vittima di hacking e DoppelPaymer era coinvolto.

Metodi di attacchi mirati

Ogni attacco mirato a una grande azienda è il risultato di un lungo processo di ricerca di vulnerabilità nell’infrastruttura, per poi elaborare un piano e scegliere gli strumenti giusti per portarlo a termine. Poi avviene la penetrazione dell’infrastruttura aziendale per diffondere il malware al suo interno. I criminali informatici a volte rimangono all’interno di una rete aziendale per diversi mesi prima di cifrare i file e inviare la richiesta di riscatto.

I percorsi principali per accedere all’infrastruttura sono:

  • Connessioni di accesso remoto non adeguatamente protette: le connessioni RDP (Remote Desktop Protocol) vulnerabili sono un mezzo comune di diffusione di malware e i gruppi di cybercriminali offrono sul mercato nero dei servizi per sfruttarle. Con il passaggio quasi totale allo smart working, il numero di attacchi di questo tipo è cresciuto in modo esponenziale. È il modus operandi di Ryuk, REvil e di altre campagne ransomware;
  • Vulnerabilità nelle applicazioni server: gli attacchi ai software dal lato server danno ai criminali informatici l’accesso ai dati più sensibili. Un esempio recente è dello scorso mese di marzo, quando il ransomware DearCry ha attaccato Microsoft Exchange sfruttando una vulnerabilità zero-day. Un software server-side non sufficientemente protetto può servire come punto d’ingresso per un attacco mirato. I problemi di sicurezza si presentano anche nei server VPN aziendali, e alcuni esempi li abbiamo visti proprio l’anno scorso;
  • Diffusione via botnet: per accalappiare ancora più vittime e ottenere maggiori profitti, i creatori di ransomware usano le botnet. Gli operatori di reti di zombie forniscono ad altri cybercriminali l’accesso a migliaia di dispositivi compromessi, che cercano automaticamente sistemi vulnerabili su cui scaricare il ransomware. È così che, per esempio, che si sono diffusi i ransomware Conti e DoppelPaymer;
  • Attacchi alla supply chain. La campagna REvil evidenzia al meglio questo vettore di minacce: il gruppo ha compromesso un provider MSP e ha poi distribuito il ransomware nelle reti dei suoi clienti;
  • Allegati dannosi. Le e-mail contenenti macro dannose in documenti Word allegati sono ancora un’opzione popolare per la distribuzione di malware. Uno tra i nostri 5 principali criminali, NetWalker, ha usato allegati dannosi per incastrare le vittime, inviando un’e-mail con oggetto “COVID-19”.

Come possono difendersi le aziende?

  • Formate i dipendenti sulle regole fondamentali di sicurezza digitale. I dipendenti dovrebbero sapere cos’è il phishing, non cliccare mai sui link di e-mail sospette o scaricare file da siti poco trasparenti; allo stesso tempo, devono anche creare, ricordare password robuste e custodirle in modo sicuro. È importante condurre una formazione regolare sulla sicurezza non solo per minimizzare il rischio di incidenti, ma anche per mitigare i danni nel caso in cui i criminali informatici riescano comunque a penetrare nella rete;
  • Aggiornate regolarmente tutti i sistemi operativi e le applicazioni, affinché sia garantita la massima protezione contro gli attacchi attraverso le vulnerabilità note dei software. Occuparsi dell’aggiornamento dei software sia dal lato client che dal lato server;
  • Eseguite audit di sicurezza, controllate la sicurezza dei dispositivi  e tenete traccia di quali porte sono aperte e accessibili da Internet. Utilizzate una connessione sicura per lo smart working, ma ricordare che anche le VPN possono essere vulnerabili;
  • Create delle copie di backup dei dati aziendali. Avere un backup non solo aiuta a ridurre i tempi di inattività e a ripristinare più velocemente i processi aziendali in caso di un attacco ransomware, ma anche a tornare operativi dopo eventi più banali, come dei problemi con gli hardware;
  • Utilizzate una soluzione di sicurezza professionale che si avvalga dell’analisi comportamentale e di tecnologie anti-ransomware;
  • Avvaletevi di un sistema di sicurezza delle informazioni che sia in grado di riconoscere le anomalie nella rete dell’infrastruttura, come i tentativi di sondare le porte o le richieste di accesso da parte di sistemi non standard. Potere ricorrere anche a risorse esterne se non disponete di specialisti in azienda in grado di monitorare la rete.

Consigli