Passa al contenuto principale

I principali attacchi ransomware

I principali attacchi ransomware

Gli attacchi ransomware sono un grande business. Entro la fine del 2021 si stima che sarà presa di mira da un attacco ransomware un'azienda ogni 11 secondi, per un danno totale di 20 miliardi di dollari. Gli attacchi ransomware non sono solo una preoccupazione per organizzazioni come aziende, governi e operatori sanitari, ma colpiscono anche clienti e dipendenti, il cui furto di dati rientra spesso tra i danni collaterali di questi attacchi.

Gli attacchi ransomware utilizzano malware per criptare i dati e i file delle loro vittime. Differiscono dalle campagne di estorsione, che utilizzano attacchi DDoS (Distributed Denial of Service) per sommergere di traffico le vittime con la promessa di fermare l'assalto in cambio di un pagamento.

Sebbene alcune organizzazioni scelgano di pagare le richieste di ransomware, in genere non è consigliabile farlo in quanto non vi è alcuna garanzia che l'accesso ai sistemi infetti verrà ripristinato. Pagando, le vittime incentivano ulteriormente queste forme di attacco informatico. Molte aziende non rivelano di avere subito attacchi ransomware o, se lo fanno, non rendono pubbliche le richieste degli aggressori.

Vediamo alcuni dei più recenti attacchi ransomware del 2020, da gennaio a dicembre.

Attacchi ransomware di gennaio 2020

1. Attacco ransomware a Travelex

Gli hacker hanno iniziato l'anno con un attacco alla società di cambio Travelex, costringendola a spegnere tutti i sistemi informatici e tornare a lavorare con carta e penna. Di conseguenza, l'azienda ha dovuto chiudere i suoi siti Web in 30 paesi.

L'autore dell'attacco, e della successiva richiesta di 6 milioni di dollari, è stato un gruppo ransomware chiamato Sodinokibi (noto anche come REvil). Il gruppo ha dichiarato di aver avuto accesso alla rete di computer dell'azienda sei mesi prima, riuscendo a scaricare 5 GB di dati sensibili dei clienti, comprese date di nascita e numeri di carte di credito. I criminali hanno specificato che, se Travelex avesse pagato il riscatto, avrebbero cancellato i dati trafugati, ma in caso contrario il riscatto sarebbe raddoppiato ogni due giorni. Dopo sette giorni, avrebbero venduto i dati ad altri criminali informatici.

Secondo quanto riferito, Travelex ha pagato ai criminali 2,3 milioni di dollari in Bitcoin e ha ripristinato i suoi sistemi dopo due settimane offline. Nell'agosto 2020, la società ha annunciato di voler presentare istanza fallimentare, adducendo l'impatto della pandemia Covid-19 in aggiunta all'attacco ransomware.

Altri attacchi importanti di questo mese:

  • Gli studenti del Pittsburgh Unified School District of Pennsylvania sono rimasti senza accesso a Internet dopo che un attacco ransomware aveva disabilitato i sistemi di rete del distretto scolastico durante le vacanze natalizie.
  • I pazienti di uno studio medico a Miramar, in Florida, hanno ricevuto richieste di riscatto da un criminale informatico che minacciava di pubblicare le cartelle cliniche private a meno che non venisse pagato un riscatto.

Attacchi ransomware di febbraio 2020

2. Attacco ransomware a INA Group

Il giorno di San Valentino, un attacco informatico ha paralizzato alcune operazioni commerciali di INA Group, la più grande compagnia petrolifera croata e la più grande catena di distributori di benzina del paese. L'attacco era un ransomware che ha infettato e quindi criptato alcuni dei server back-end dell'azienda.

Sebbene l'attacco non abbia influito sulla capacità dell'azienda di fornire carburante ai clienti, ha influito sulla sua capacità di emettere fatture, registrare l'utilizzo di carte fedeltà, emettere nuovi voucher e consentire ai clienti di pagare determinate bollette.

Secondo quanto riferito, l'attacco è stato causato da un'infezione della variante di ransomware Clop. Gli esperti di sicurezza classificano la banda Clop come "ransomware big game", ovvero un gruppo di criminali che prende di mira grandi aziende per infettare le loro reti, criptare i dati e richiedere riscatti estremamente elevati.

Altri attacchi importanti di questo mese:

  • NRC Health, una società sanitaria che lavora con il 75% dei 200 più grandi ospedali degli Stati Uniti, è stata vittima di un attacco. L'azienda ha pertanto spento i propri sistemi, inclusi i portali rivolti ai clienti, per mitigare la violazione dei dati. I dati archiviati dall'azienda includono gli stipendi del personale e le informazioni sui rimborsi da programmi quali Medicare.

Attacchi ransomware di marzo 2020

3. Attacco ransomware a Communications & Power Industries

A marzo è stato rivelato che Communications & Power Industries (CPI), un importante produttore di elettronica con sede in California, è stato colpito da un attacco ransomware.

L'azienda produce componenti per dispositivi e attrezzature militari e annovera tra i propri clienti il Dipartimento della Difesa degli Stati Uniti. L'attacco ransomware ha avuto luogo quando un amministratore di dominio dell'azienda ha fatto clic su un collegamento dannoso, attivando il malware di criptaggio dei file. Poiché migliaia di computer sulla rete condividevano lo stesso dominio non segmentato, il ransomware si è rapidamente diffuso in tutti gli uffici di CPI, penetrando anche nei backup in locale.

Secondo quanto riferito, la società ha pagato 500.000 dollari di riscatto. Non è noto quale tipo di ransomware fosse coinvolto.

Altri attacchi importanti di questo mese:

  • Nel Regno Unito, l'Hammersmith Medical Centre con sede a Londra è stato attaccato dal gruppo ransomware Maze. Questo centro medico svolge sperimentazioni cliniche iniziali su farmaci e vaccini. Solo pochi giorni prima dell'attacco, il gruppo Maze aveva promesso di non attaccare le organizzazioni di ricerca medica durante la pandemia Covid-19. Dopo che il centro ha rifiutato di pagare il riscatto, il gruppo ha pubblicato i dati personali di migliaia di ex pazienti. Il direttore del centro, Colma Boyce, ha dichiarato alla stampa che avrebbe preferito chiudere l'attività piuttosto che pagare il riscatto.

top_ransomware_attacks_2.jpg

Attacchi ransomware di aprile 2020

4. Attacco ransomware a Energias de Portugal

Ad aprile è stato segnalato che il gigante energetico portoghese Energias de Portugal (EDP) è rimasto vittima di un attacco. Criminali informatici che utilizzavano il ransomware Ragnar Locker hanno criptato i sistemi dell'azienda e chiesto un riscatto di quasi 10 milioni di dollari.

Gli autori dell'attacco hanno dichiarato di aver rubato oltre 10 TB di dati aziendali sensibili, minacciando di divulgarli a meno che non venisse pagato il riscatto. Gli hacker hanno pubblicato screenshot di alcuni dati sensibili su un sito per dimostrare di essere in possesso delle informazioni. I dati, apparentemente, includevano informazioni riservate su fatturazione, contratti, transazioni, clienti e partner.

EDP ha confermato che si era verificato un attacco, ma ha anche affermato di non avere prove di un'eventuale compromissione dei dati sensibili dei clienti. Tuttavia, poiché il furto dei dati dei clienti potrebbe venire alla luce in futuro, l'azienda ha offerto loro un anno gratuito di protezione dell'identità Experian.

Altri attacchi importanti di questo mese:

  • Cognizant, una società Fortune 500 che fornisce servizi IT ad aziende di vari settori, ha rivelato di avere subito un attacco ransomware. L'attacco ha colpito i sistemi interni e ha comportato la cancellazione della directory interna, interrompendo i servizi ai clienti. Nel rapporto sui risultati del secondo trimestre 2020 alla fine di luglio, Cognizant ha segnalato una riduzione dei ricavi nei segmenti business del 3,4%, a 4 miliardi di dollari. Questo risultato è in parte dovuto all'attacco ransomware di aprile.

Attacchi ransomware di maggio 2020

5. Attacco ransomware a Grubman Shire Meiselas & Sacks

A maggio, Grubman Shire Meiselas & Sacks, uno studio legale con sede a New York e una serie di clienti famosi tra cui Madonna, Elton John e Robert De Niro, è stato vittima del ransomware REvil.

Gli autori dell'attacco hanno affermato di aver utilizzato il ransomware REvil o Sodinokibi per rubare dati personali, inclusi contratti con i clienti, numeri di telefono, indirizzi e-mail, corrispondenza personale e accordi di non divulgazione. Gli aggressori hanno minacciato di rilasciare i dati in nove pubblicazioni scaglionate, a meno che non fossero stati pagati riscatti per un totale di 21 milioni di dollari. Questa richiesta è raddoppiata a 42 milioni quando lo studio legale si è rifiutato di pagare.

Secondo quanto riferito, le celebrità colpite dall'attacco includevano Bruce Springsteen, Lady Gaga, Nicki Minaj, Mariah Carey e Mary J. Blige. Lo studio legale ha dichiarato che non avrebbe negoziato con gli aggressori e ha chiesto l'intervento dell'FBI.

Altri attacchi importanti di questo mese:

  • La Michigan State University è stata colpita dal ransomware NetWalker. NetWalker, noto anche come Mailto, è una variante di ransomware che ha fatto il suo debutto criminale nell'agosto 2019. Nella richiesta, gli operatori del ransomware davano all'università una settimana per pagare il riscatto in cambio dell'accesso ai file criptati. In caso contrario, avrebbero divulgato i dati personali e bancari degli studenti della MSU. L'università ha deciso di non pagare il riscatto, specificando che stava seguendo i consigli delle forze dell'ordine.

Attacchi ransomware di giugno 2020

6. Attacco ransomware a Honda

A giugno, il gigante automobilistico Honda ha subito un attacco ransomware Snake (noto anche come Ekans), che ha preso di mira i suoi uffici negli Stati Uniti, in Europa e in Giappone. Una volta scoperto l'attacco, Honda ha sospeso la produzione in determinate località per far fronte alle interruzioni nella rete di computer. Gli hacker hanno utilizzato il ransomware per accedere e criptare un server interno di Honda e richiedere un riscatto in cambio della chiave di criptaggio. Honda in seguito ha affermato che gli aggressori non avevano presentato alcuna prova di un furto di informazioni personali.

Altri attacchi importanti di questo mese:

  • Il Columbia College di Chicago è stato preso di mira dal gruppo ransomware NetWalker, che ha minacciato di vendere i dati degli studenti sul Dark Web se non fosse stato pagato il riscatto entro sei giorni. Il college ha ammesso che durante l'attacco sono state esposte le informazioni personali di alcuni utenti, ma non è chiaro se abbia deciso di pagare il riscatto o di negoziare con gli aggressori.

Attacchi ransomware di luglio 2020

7. Attacco ransomware a Orange

A luglio, Orange, la società di telecomunicazioni francese e il quarto operatore di telefonia mobile in Europa, è stata vittima del ransomware Nefilim. La divisione dei servizi aziendali della società è stata violata e il 15 luglio Orange è stata aggiunta al sito Dark Web di Nefilim, utilizzato per divulgare le informazioni ottenute tramite fughe di dati. Campioni di dati, che secondo il gruppo Nefilim sono stati esfiltrati dai clienti Orange, sono stati inclusi in un archivio di 339 MB.

Nefilim è un operatore ransomware relativamente nuovo, scoperto nel 2020. Orange ha affermato che sono stati interessati i dati di circa 20 aziende clienti di grandi dimensioni all'interno della sua divisione di servizi alle imprese.

Altri attacchi importanti di questo mese:

  • La città di Lafayette in Colorado ha annunciato ad agosto di avere pagato 45.000 dollari dopo essersi vista criptare i propri dati e dispositivi tramite un ransomware. Il pagamento è stato effettuato in cambio di una chiave di decriptaggio dopo che l'amministrazione cittadina non è riuscita a ripristinare i sistemi dai propri backup. Ha quindi scelto di pagare il riscatto per ridurre al minimo le lunghe interruzioni di servizio ai residenti. Sebbene non sia stato specificato il tipo di ransomware coinvolto, pare che il ransomware abbia disabilitato i sistemi di rete della città. Ciò ha avuto un impatto su vari elementi, dai sistemi di pagamento online alle e-mail e ai servizi telefonici. Si ritiene che la causa dell'attacco sia stata una truffa di phishing o un potenziale attacco di forza bruta.

Attacchi ransomware di agosto 2020

8. Attacco ransomware all'Università dello Utah

Ad agosto è stato reso noto che l'Università dello Utah ha pagato un riscatto di 457.000 dollari a dei cybercriminali per impedire loro di pubblicare file riservati rubati durante un attacco ransomware. L'attacco ha criptato i server del dipartimento di Scienze sociali e comportamentali dell'università. Come parte dell'attacco, i criminali hanno rubato dati non criptati prima di criptare i computer.

Poiché i dati rubati contenevano informazioni su studenti e dipendenti, l'università ha deciso di pagare il riscatto per evitare che trapelassero. Ha inoltre consigliato a tutti gli studenti e ai dipendenti del dipartimento di monitorare le cronologie dei pagamenti per individuare eventuali attività fraudolente e di modificare le password dei servizi online.

Altri attacchi importanti di questo mese:

  • R1 RCM Inc. è stata colpita da un attacco ransomware. La società, precedentemente denominata Accretive Health Inc., è una delle più grandi società di recupero crediti nel settore sanitario negli Stati Uniti. Ha appalti con oltre 750 organizzazioni sanitarie statunitensi e gestisce dati personali e sanitari di decine di milioni di pazienti. R1 RCM Inc. ha scelto di non divulgare i dettagli sulla compromissione, inclusi i sistemi o i dati interessati. Tuttavia, è stato riferito che l'attacco ha utilizzato il ransomware Defray, un tipo di ransomware mirato tipicamente diffuso tramite e-mail di phishing.

Attacchi ransomware di settembre 2020

9. Attacco ransomware a K-Electric

A settembre, K-Electric, l'unico distributore di energia elettrica di Karachi, in Pakistan, sarebbe stato bersaglio di un attacco ransomware Netwalker. Ciò ha comportato un'interruzione della fatturazione e dei servizi online della compagnia elettrica.

I cybercriminali hanno chiesto a K-Electric un riscatto di 3,85 milioni di dollari, avvertendo che se non fosse stato pagato entro sette giorni, la richiesta sarebbe levitata a 7,7 milioni di dollari. Netwalker ha rilasciato un archivio di 8,5 GB di file presumibilmente rubati durante l'attacco, inclusi dati finanziari e dettagli dei clienti.

Netwalker aveva già preso di mira gli uffici dell'immigrazione dell'Argentina, varie agenzie governative degli Stati Uniti e la University of California di San Francisco (che ha pagato oltre 1 milione di dollari di riscatto).

K-Electric ha ammesso che si è verificato un incidente informatico, ma ha affermato che tutti i servizi critici per i clienti non hanno subito interruzioni.

Altri attacchi importanti di questo mese:

  • Il sito Web del quarto tribunale distrettuale della Louisiana è stato violato e documenti sensibili sono stati pubblicati online a seguito di un attacco ransomware. L'agente dell'attacco era Conti, una variante di ransomware relativamente nuova. Sul sito degli hacker nel Dark Web sono stati pubblicati dati relativi a testimoni, giurati e imputati di casi in corso.

Attacchi ransomware di ottobre 2020

10. Attacco ransomware a Press Trust of India

A ottobre, alcuni hacker sono penetrati nei server dell'agenzia di stampa Press Trust of India (PTI), paralizzando i suoi servizi per ore. Un portavoce dell'azienda ha descritto il caso come un massiccio attacco ransomware che ha interrotto le operazioni e la fornitura di notizie agli abbonati in tutta l'India.

Il ransomware è stato identificato come LockBit, un software dannoso progettato per bloccare l'accesso degli utenti ai sistemi informatici in cambio di un riscatto.

Altri attacchi importanti di questo mese:

  • Software AG, una delle più grandi società di software al mondo, ha subito un attacco da parte del gruppo ransomware Clop, che ha chiesto più di 20 milioni di dollari. Dopo il fallimento delle negoziazioni, il gruppo ha pubblicato screenshot dei dati dell'azienda sul Dark Web, mostrando scansioni di passaporti e documenti d'identità, e-mail dei dipendenti, documenti finanziari e directory dalla rete aziendale interna.

Attacchi ransomware di novembre 2020

11. Attacco ransomware alla Corte superiore di giustizia brasiliana

A novembre, l'infrastruttura informatica della Corte superiore di giustizia brasiliana ha subito un massiccio attacco ransomware che ha portato offline il suo sito Web.

Gli autori del ransomware hanno affermato che l'intero database della Corte era stato criptato e che qualsiasi tentativo di ripristinarlo sarebbe stato vano. Gli hacker hanno lasciato una richiesta di riscatto, chiedendo alla Corte di contattarli tramite un indirizzo e-mail di Proton Mail. Gli hacker hanno anche tentato di attaccare vari altri siti Web correlati al governo brasiliano.

Altri attacchi importanti di questo mese:

  • Il Manchester United Football Club ha fatto notizia quando ha rivelato di avere subito un attacco informatico. Successivamente confermato come ransomware, il club ha rivelato che, sebbene di fronte a un attacco sofisticato, disponeva di ampi protocolli e procedure per un evento del genere, lasciando intendere di non essere stato colto impreparato. Il club ha affermato che le proprie difese informatiche hanno identificato l'attacco e arrestato i sistemi interessati per contenere il danno e proteggere i dati.

Attacchi ransomware di dicembre 2020

12. Attacco ransomware a GenRx Pharmacy

A dicembre, GenRx Pharmacy, un'organizzazione sanitaria con sede in Arizona, ha avvertito centinaia di migliaia di pazienti di una potenziale violazione dei dati a seguito di un attacco ransomware all'inizio dell'anno. La società ha affermato che alcuni hacker malintenzionati sono riusciti a prelevare una serie di file, comprese le informazioni sanitarie utilizzate dalla farmacia interna per elaborare e spedire i prodotti prescritti ai pazienti.

Altri attacchi importanti di questo mese:

  • Il gigante degli elettrodomestici Whirlpool ha subito un attacco ransomware da parte del gruppo Netfilim, che ha rubato i dati prima di criptare i dispositivi attaccati. Gli hacker hanno successivamente pubblicato i dati rubati, inclusi documenti relativi a benefit per i dipendenti, richieste di informazioni mediche e controlli dei precedenti penali.

Gli ultimi attacchi ransomware stanno diventando più selettivi su chi prendere di mira e quanto denaro richiedere. Lo strumento Kaspersky Anti-Ransomware Tool assicura protezione sia a casa che per il lavoro. Come per qualsiasi minaccia per la cybersecurity, la chiave per la protezione è la vigilanza.

Articoli correlati:

I principali attacchi ransomware

Quali sono stati i principali attacchi ransomware nel 2020? Analizziamo gli attacchi ransomware più recenti del 2020. Conosci i rischi e impara a proteggerti.
Kaspersky logo