Nel mondo oscuro della criminalità informatica, il ransomware BlackCat è emerso come una minaccia estremamente pericolosa e sofisticata. Continua a leggere per saperne di più sul funzionamento del ransomware BlackCat e sui possibili strumenti di difesa.
Che cos'è il ransomware BlackCat?
Da quando è apparso per la prima volta nel novembre 2021, BlackCat, noto anche come ALPHV o ALPHV-ng, è diventato una minaccia sempre più rilevante nel mondo del ransomware. Opera come Ransomware-as-a-Service (RaaS) e si concretizza in una delle operazioni RaaS più sofisticate mai viste fino ad oggi. BlackCat si contraddistingue per la capacità di usare il linguaggio di programmazione Rust e di adottare una sorprendente strategia di "tripla estorsione".
Come funziona il ransomware BlackCat?
Il ransomware BlackCat è un software nocivo che si caratterizza per un uso non convenzionale del linguaggio di programmazione Rust. La sua adattabilità si estende a un'ampia gamma di dispositivi di destinazione e potenziali vulnerabilità, spesso allineandosi a gruppi di attività di minaccia consolidati. La pericolosità di BlackCat risiede nel suo approccio rigoroso: criptare i dati delle vittime, esfiltrarli e impiegare una tattica sistematica di "tripla estorsione". La tripla estorsione non consiste solo nella minaccia di esporre i dati rubati se il riscatto non viene pagato, ma anche nell'inquietante possibilità di un attacco DDoS (Distributed Denial of Service) se la richiesta non viene soddisfatta.
Operando come modello di business RaaS (Ransomware-as-a-Service), BlackCat consente ad altri cybercriminali di utilizzare il proprio ransomware, condurre campagne e impossessarsi di una quota sostanziale dei guadagni, superando lo standard del settore del 70%. BlackCat risulta ancora più allettante per le molteplici possibilità di personalizzazione, che rendono anche i meno esperti capaci di orchestrare attacchi sofisticati a entità aziendali. Sebbene le richieste di riscatto di BlackCat raggiungano spesso valori di milioni di dollari, con un pagamento anticipato viene talvolta proposto uno sconto. Le organizzazioni, tuttavia, non devono considerare con leggerezza la possibilità di pagare, poiché il pagamento potrebbe inavvertitamente finanziare attività criminali, senza alcuna garanzia di recupero dei file.
In genere, gli autori di attacchi BlackCat chiedono il pagamento in criptovalute (come Bitcoin) in cambio della misteriosa chiave di decrittazione. Le vittime, inoltre, si trovano di fronte a messaggi su schermo che le istruiscono su come inviare il riscatto e ottenere la chiave di decrittazione, intensificando ulteriormente la pressione esercitata dalla campagna di estorsione.
Come si diffonde il ransomware BlackCat?
I principali vettori di attacco di BlackCat includono e-mail infette e link a siti Web dannosi, che attirano in trappola gli utenti ignari. Una volta all'interno del sistema, BlackCat si propaga in modo rapido e capillare in ogni sua parte.
L'aspetto che differenzia BlackCat da altre varianti di ransomware è l'adozione del linguaggio di programmazione Rust, che si distingue per una serie di caratteristiche eccezionali, tra cui la velocità, la stabilità, l'avanzata gestione della memoria e la capacità di eludere i principali metodi di rilevamento. Queste caratteristiche ne fanno uno strumento molto potente nelle mani dei cybercriminali. Grazie a una straordinaria adattabilità, BlackCat si estende anche a piattaforme non Windows, come Linux, che in genere sono meno esposte a minacce malware. Anche per gli amministratori Linux, quindi, si presenta la necessità di contrastare questa minaccia in continua evoluzione.
La flessibilità di BlackCat è sottolineata dalla presenza di un file di configurazione JSON, che consente agli utenti di scegliere tra quattro diversi algoritmi di criptaggio, di personalizzare le note di riscatto, di specificare esclusioni per alcuni file, cartelle ed estensioni e di definire i servizi e i processi per la risoluzione, garantendo un processo di criptaggio completo. La configurabilità di BlackCat si estende fino a riuscire ad utilizzare le credenziali di dominio, in modo da propagarsi facilmente anche ad altri sistemi.
BlackCat ha inoltre superato i confini del Dark Web, creando un sito Web per la fuga di dati su Internet. Mentre altri gruppi usano il Dark Web per dimostrare le violazioni dei dati e costringere le vittime a pagare un riscatto, il sito pubblico di BlackCat cambia le carte in tavola offrendo visibilità a un pubblico più ampio, tra cui clienti effettivi e potenziali, azionisti e reporter.
Tipiche vittime del ransomware BlackCat
In linea con il modus operandi delle principali minacce ransomware di tipo "big game hunter", le tipiche del ransomware BlackCat sono solitamente organizzazioni di grandi dimensioni, scelte strategicamente per massimizzare il possibile pagamento del riscatto. I report indicano che l'entità dei riscatti è molto variabile, oscillando tra alcune centinaia di migliaia di dollari e molti milioni di dollari, da pagare in criptovaluta.
Anche se il numero esatto delle vittime rimane incerto, la presenza minacciosa di BlackCat è testimoniata dall'elenco pubblicato sul sito Tor del gruppo, che include oltre venti organizzazioni attaccate. Le vittime appartengono a diversi settori e Paesi, tra cui Australia, Bahamas, Francia, Germania, Italia, Paesi Bassi, Filippine, Spagna, Regno Unito e Stati Uniti. I settori interessati abbracciano un ampio spettro: dai servizi alle imprese alle costruzioni, all'energia, alla moda, alla finanza, alla logistica, alla produzione, ai prodotti farmaceutici, alla vendita al dettaglio e alla tecnologia.
Esempi di attacchi del ransomware BlackCat
Novembre 2023 - Heny Schein
Nel novembre 2023, il ransomware BlackCat ha preso di mira l'organizzazione Henry Schein, inclusa nella lista Fortune 500 e operativa nel settore sanitario. In base ai report, il gruppo ransomware, noto anche come ALPHV, ha dichiarato di aver rubato 35 TB di dati e di aver avviato le trattative con Henry Schein. In un primo momento, l'azienda ha ricevuto una chiave di decrittazione e ha iniziato a ripristinare i propri sistemi, ma il gruppo criminale ha nuovamente criptato tutti i dati quando sono fallite le trattative. La situazione stava per degenerare quando il gruppo ha minacciato di rilasciare i dati interni, ma più tardi ha cancellato i dati dal proprio sito Web, lasciando intendere un possibile accordo. L'attacco è stato perpetrato due settimane prima della pubblicazione dei dati online, causando un'interruzione temporanea delle attività di Henry Schein. L'azienda ha adottato misure precauzionali, ha denunciato l'incidente alla polizia e ha incaricato esperti forensi di indagare.
Agosto 2023 - Seiko Group Corporation
Seiko Group Corporation ha confermato una violazione dei dati da parte del gruppo di criminali ransomware BlackCat nell'agosto 2023, in cui sono stati interessati 60.000 record esposti, tra cui dati sui clienti, contatti di transazioni commerciali, dettagli dei candidati a un posto di lavoro e informazioni sul personale. Aspetto importante, i dati delle carte di credito sono sempre rimasti al sicuro. In risposta, Seiko ha adottato una serie di misure di sicurezza, tra cui il blocco delle comunicazioni con i server esterni, l'adozione di sistemi EDR e l'implementazione dell'autenticazione a più fattori. Seiko ha inoltre confermato l'intenzione di collaborare con esperti di sicurezza informatica per aumentare la sicurezza e prevenire futuri incidenti.
Come proteggersi dagli attacchi del ransomware BlackCat
Per difendere i propri dati e sistemi dal ransomware BlackCat, è possibile adottare misure di protezione simili a quelle utilizzate per contrastare altre varianti di ransomware. Di seguito sono illustrate alcune di queste misure di sicurezza.
Formazione del personale:
La formazione dei dipendenti per contrastare il ransomware BlackCat e altre minacce malware coinvolge diversi aspetti chiave:
- La formazione non può prescindere dalla capacità di identificare le e-mail di phishing, uno dei metodi di distribuzione del ransomware più comuni.
- Le e-mail di phishing si celano spesso dietro fonti affidabili, come banche o società di spedizione. Possono contenere allegati o link dannosi da cui viene avviata l'installazione del ransomware.
- È quindi fondamentale prestare attenzione quando si ricevono e-mail provenienti da mittenti sconosciuti ed evitare download non autorizzati.
- I dipendenti devono inoltre tenere aggiornati i software e i programmi antivirus e sapere come segnalare eventuali attività sospette al personale IT o di sicurezza.
- L'attivazione di corsi di formazione periodici sulla security awareness contribuisce a mantenere i dipendenti aggiornati sulle nuove minacce ransomware e sulle migliori tecniche di prevenzione, riducendo il rischio di un incidente ransomware BlackCat o altri pericoli legati alla sicurezza informatica.
Criptaggio dei dati e controllo degli accessi:
La protezione dei dati sensibili costituisce una solida difesa contro il ransomware BlackCat e minacce simili. Implementando strumenti di criptaggio e controllo degli accessi, le organizzazioni possono ridurre significativamente il rischio di infezione da ransomware BlackCat e le potenziali conseguenze di un attacco:
- Il criptaggio prevede la conversione dei dati in un codice virtualmente indecifrabile senza la corrispondente chiave di decriptaggio.
- In questo modo, i dati vengono salvaguardati anche se il ransomware si infiltra nel sistema e accede alle informazioni criptate.
- I dati critici, come registri finanziari, informazioni personali e file aziendali essenziali, pertanto, devono essere sistematicamente criptati.
- È possibile utilizzare strumenti di criptaggio come BitLocker per Windows o FileVault per Mac oppure software di criptaggio di terze parti.
- Per limitare l'accesso ai dati, è altrettanto importante implementare il controllo degli accessi tramite processi di autenticazione e autorizzazione degli utenti basati sulle responsabilità professionali e su solidi requisiti di password.
- Anche se l'attore della minaccia riesce ad accedere ai dati criptati, questi rimangono inaccessibili senza la chiave di decriptaggio, che deve essere conservata in modo sicuro, separata dai dati criptati.
Backup dei dati:
La pianificazione di backup dei dati a intervalli regolari è una delle difese più efficaci contro il ransomware BlackCat e altre minacce informatiche simili:
- Questo processo prevede di creare copie dei file più importanti e di archiviarle in un luogo separato, come un disco rigido esterno, un archivio cloud o un computer distinto.
- In caso di attacco da parte del ransomware BlackCat, i file interessati possono essere cancellati e i dati ripristinati dalla copia di backup, eliminando la necessità di pagare un riscatto o di rischiare la perdita permanente dei file.
- È importante che le copie di backup vengano archiviate in un luogo isolato, lontano dal computer o dalla rete principale, per evitare che vengano coinvolte nell'attacco. Per l'archiviazione si consigliano luoghi fisicamente separati o servizi di archiviazione cloud affidabili, basati su solidi protocolli di sicurezza e criptaggio.
Aggiornamenti del software:
L'aggiornamento regolare del software costituisce un'importante difesa dal ransomware BlackCat e dalle relative minacce informatiche:
- Gli aggiornamenti includono spesso patch di sicurezza che eliminano le vulnerabilità di cui possono usufruire gli autori dell'attacco ransomware. I fornitori di software rilasciano aggiornamenti ogni volta che vengono scoperte nuove vulnerabilità, in modo da impedire che vengano sfruttate.
- Questi aggiornamenti includono patch di sicurezza, correzioni di bug e nuove funzionalità. Se ignorati, i sistemi possono diventare vulnerabili a nuovi attacchi.
- Gli aggressori spesso prendono di mira software obsoleto, come sistemi operativi, browser Web e plugin. Installando regolarmente gli aggiornamenti, è possibile aumentare la sicurezza e rendere difficile per gli aggressori sfruttare le vulnerabilità.
- L'adozione di un software di gestione automatizzata delle patch semplifica ulteriormente il processo di aggiornamento, poiché automatizza le installazioni, pianifica gli aggiornamenti durante le ore non operative e fornisce report dettagliati sullo stato degli aggiornamenti di sistema. Questa combinazione di aggiornamenti periodici e gestione automatizzata delle patch riduce il rischio di infezioni da ransomware BlackCat e da altre minacce informatiche.
Utilizzo di strumenti di sicurezza informatica:
Sebbene l'implementazione delle misure sopra descritte possa rafforzare sensibilmente la protezione contro il ransomware BlackCat, è fondamentale integrare queste strategie con l'uso di prodotti di sicurezza informatica dedicati. Ad esempio:
- Kaspersky Premium offre una protezione completa contro un'ampia gamma di minacce informatiche, incluso il software ransomware, mediante funzionalità di rilevamento delle minacce in tempo reale, firewall avanzati e aggiornamenti automatici per una sicurezza senza compromessi.
- Kaspersky VPN migliora la sicurezza online criptando la connessione a Internet e instradandola attraverso server sicuri e si presenta quindi come lo strumento ideale per salvaguardare i dati, soprattutto sulle reti Wi-Fi pubbliche.
- Per una maggiore difesa dal ransomware, Kaspersky Password Manager archivia e genera in modo sicuro password complesse e univoche per gli account online, riducendo il rischio di violazioni dovute a password deboli o riutilizzate.
In conclusione, poiché il panorama delle minacce continua ad evolversi, non si può ignorare l'importanza di combinare solide pratiche di sicurezza informatica con strumenti all'avanguardia. L'adozione di un approccio olistico che comprenda la formazione dei dipendenti, il criptaggio dei dati, il controllo degli accessi, il backup regolare dei dati e gli aggiornamenti software, unita all'uso di prodotti di sicurezza informatica, garantisce la massima sicurezza online e consente alle aziende di difendersi dal ransomware BlackCat e da altre minacce dannose.
Domande frequenti sul ransomware BlackCat
Che cos'è il ransomware BlackCat?
BlackCat, noto anche come ALPHV o ALPHV-ng, è apparso per la prima volta nel novembre 2021 e da allora ha acquisito un'importanza crescente nel panorama dei ransomware. BlackCat opera come Ransomware-as-a-Service (RaaS) e si concretizza in una delle operazioni RaaS più avanzate mai viste fino ad oggi. Si contraddistingue per la capacità di usare il linguaggio di programmazione Rust e di adottare un formidabile approccio di "tripla estorsione".
Quali possono essere esempi di vittime del ransomware BlackCat?
BlackCat colpisce strategicamente le grandi organizzazioni che possono pagare riscatti consistenti e richiede somme variabili da alcune centinaia di migliaia a milioni di dollari (in criptovaluta). Sul sito Tor del gruppo sono state identificate oltre venti organizzazioni vittime provenienti da vari Paesi del mondo. I settori interessati comprendono: servizi alle imprese, edilizia, energia, moda, finanza, logistica, produzione, prodotti farmaceutici, vendita al dettaglio e tecnologia.
Prodotti correlati:
Articoli correlati: