La diffusione del ransomware a quadrupla estorsione e come puoi proteggerti

Tutti abbiamo sentito parlare del ransomware, ma conosci le più recenti tattiche utilizzate dai criminali informatici per costringere le aziende a pagare?

Sono finiti i tempi in cui l'autore di un attacco ransomware si limitava a crittografare i file e a richiedere il pagamento di un riscatto in criptovaluta in cambio di una chiave per decrittografarli. Ora i criminali informatici usano ulteriori tattiche per spingere anche le aziende in grado di ripristinare i file a pagare il riscatto.

Questo articolo analizza i fattori che rendono queste nuove tattiche molto pericolose e spiega come puoi proteggere la tua azienda.

I gruppi specializzati in ransomware hanno evoluto i loro attacchi, rendendoli più sofisticati e dannosi per le organizzazioni. I termini doppia, tripla e quadrupla estorsione vengono utilizzati per descrivere l'evoluzione delle tattiche utilizzate dai criminali informatici per estorcere denaro alle loro vittime, anche se queste ultime sono in grado di ripristinare i dati critici e l'operatività in seguito all'attacco crittografico iniziale. Delle tattiche illustrate di seguito, le prime tre sono sempre più diffuse e sono disponibili numerosi case study noti sul loro utilizzo.

• Il ransomware a singola estorsione, ovvero un attacco ransomware tradizionale, prevede la crittografia dei file della vittima e la richiesta di un riscatto per decrittografarli. In genere, senza una chiave di decrittografia la vittima non è in grado di ripristinare i file. Di recente, questa tattica ha perso efficacia in seguito all'utilizzo di tecnologie e processi di backup ben implementati e testati per il ripristino dei sistemi e dei dati crittografati. Inoltre, la maggiore collaborazione tra le forze dell'ordine, i fornitori di tecnologia e la comunità degli utenti per condividere le chiavi di decrittografia ottenute in risposta agli attacchi precedenti consente ad alcune vittime di decrittografare i propri file senza pagare il riscatto.

• Gli attacchi ransomware a doppia estorsione sono una tattica sempre più diffusa sviluppata in risposta al crescente successo del ripristino dei dati tramite backup e della ripresa delle operazioni aziendali senza il pagamento di un riscatto. Questa tattica si basa sull'esfiltrazione da parte degli hacker di una notevole quantità di dati sensibili dai sistemi dell'azienda presa di mira prima di sferrare l'attacco. La richiesta di riscatto ora comprende anche la minaccia degli hacker di rendere pubblici i dati esfiltrati in caso di mancato pagamento. Questa tattica può essere estremamente efficace, in quanto la divulgazione dei dati può esporre l'azienda vittima a una serie di conseguenze negative, tra cui la perdita di fiducia dei clienti e dei partner, la riduzione del prezzo delle azioni (nel caso delle società quotate in borsa), la divulgazione di informazioni sensibili dal punto di vista concorrenziale (come piani non annunciati relativi alla commercializzazione e alla vendita di prodotti) o che potrebbero causare imbarazzo (come e-mail private). Le aziende che operano in settori con un elevato grado di regolamentazione possono anche incorrere in sanzioni per la mancata conformità a normative quali il GDPR dell'Unione Europea, che richiede la protezione della privacy e dell'accessibilità dei dati dei clienti residenti nell'UE. Lo standard di conformità HIPAA impone sanzioni ai fornitori di servizi sanitari con sede negli Stati Uniti che non proteggono la privacy dei dati dei pazienti.

• Gli attacchi ransomware a tripla estorsione prevedono un'ulteriore fase rispetto a quelli a doppia estorsione: l'hacker contatta i clienti e i partner dell'azienda colpita dal ransomware, informandoli che tra i dati sottratti alla vittima dell'attacco figurano anche alcuni loro dati sensibili, che verranno divulgati pubblicamente se non contattano l'azienda in questione incoraggiandola a pagare il riscatto.

Di seguito è riportato un riepilogo delle tattiche utilizzate per gli attacchi:

Attacco a singola estorsione

• Gli hacker compromettono le difese esterne dell'azienda che hanno preso di mira per installare il malware, di solito tramite un'e-mail di phishing che spinge un utente ignaro a fare clic su un link o un allegato dannoso. Il malware esegue di nascosto la crittografia dei file del sistema, per poi presentare la richiesta di pagamento di un riscatto in criptovaluta (o, meno comunemente, con un altro metodo difficilmente rintracciabile, come le carte regalo dei negozi) in cambio della chiave di decrittografia.

• Ransomware più sofisticati possono propagarsi sulla rete locale dell'azienda, crittografando i file di altri computer desktop, laptop e server. Numerose versioni di ransomware cercano ed eseguono la crittografia di archivi di backup, di copie shadow e di altre risorse che potrebbero essere utilizzate per ripristinare i file crittografati.

Attacco a doppia estorsione

• Prima di sferrare un attacco crittografico, gli autori di ransomware esfiltrano una notevole quantità di dati sensibili, in genere copiandoli su un server cloud esterno sotto il loro controllo. Gli hacker possono anche utilizzare tattiche living-off-the-land (LotL) per controllare uno strumento informatico normalmente adoperato per scopi utili (ad esempio, il software di backup), in modo da rendere l'esfiltrazione più difficile da rilevare. Dopodiché procedono con la crittografia dei dati.

• A questo punto gli hacker minacciano anche di divulgare pubblicamente i dati sensibili della vittima se il riscatto non viene pagato.

Attacco a tripla estorsione

• Dopo aver condotto un attacco a doppia estorsione, l'autore del ransomware contatta i clienti e i partner della vittima, informandoli che dispone di dati sensibili appartenenti a loro che verranno divulgati se l'azienda colpita non paga il riscatto. Queste "vittime collaterali" vengono invitate a esortare l'organizzazione che ha subito l'attacco a pagare il riscatto per proteggere le loro informazioni.

Attacco a quadrupla estorsione

• Oltre alle tattiche descritte nei tre attacchi precedenti, la richiesta di riscatto è accompagnata dalla minaccia di sferrare un attacco DDoS (Distributed Denial-of-Service) che distruggerebbe i server pubblici dell'azienda colpita in caso di mancato pagamento.

Gli attacchi a singola e a doppia estorsione sono al momento i più diffusi, ma quelli a tripla estorsione sono in aumento. Le tattiche basate su quadrupla estorsione sono le più rare, anche se da recenti studi di Cyber Security emerge che la loro popolarità è in aumento, in quanto gli hacker sono alla ricerca di nuovi modi per ottenere e accelerare il pagamento dei riscatti.

In seguito all'aumento delle nuove tattiche di estorsione associate al ransomware, le aziende devono urgentemente sia rafforzare le proprie misure di difesa per impedire il successo di attacchi di questo tipo, sia adottare tecniche di ripristino più efficaci nel caso in cui un attacco andasse a segno.

È importante notare che i gruppi specializzati in ransomware sono opportunisti che prendono di mira aziende di ogni dimensione, area geografica e settore. Alcune di esse sono bersagli prediletti. Ad esempio, le strutture sanitarie, dai cui sistemi critici dipende la vita dei pazienti; le istituzioni finanziarie, che sono soggette a diversi regimi normativi di settore e governativi; le istituzioni scolastiche, che hanno in genere budget ridotti e i cui studenti prestano poca attenzione ai problemi di Cyber Security; e le aziende tecnologiche, che possono incorrere in danni alla reputazione significativi se diventa noto che hanno subito crimini informatici. In realtà tutti i settori sono presi di mira, e il 75% degli attacchi riusciti interessa le piccole e medie imprese, che spesso non dispongono delle risorse e delle competenze necessarie per gestire misure di Cyber Security e operazioni di ripristino efficaci.

Da recenti ricerche e report emerge la crescente frequenza, complessità e portata degli attacchi ransomware:

• Secondo un report di Cloudflare pubblicato a gennaio, gli attacchi DDoS abbinati al ransomware sono aumentati del 29% nel quarto trimestre del 2021.

• Bandwidth.com, un'azienda di comunicazioni cloud operante a livello globale, ha riferito perdite comprese tra 9 e 12 milioni di dollari a causa di un attacco DDoS. Ma questo è solo uno dei tanti attacchi sferrati ai danni delle aziende, alcuni dei quali sono stati accompagnati da richieste di riscatto multimilionarie.

• The Register ha riferito che, in seguito a un attacco DDoS, l'azienda britannica VoIP Unlimited ha ricevuto una "enorme richiesta di riscatto", mentre al provider canadese VOIP.MS è stato chiesto di pagare 4,2 milioni di dollari. L'azienda ha impiegato quasi due settimane per ripristinare il servizio clienti.

• Il gruppo specializzato in ransomware BlackCat utilizza tecniche di estorsione quadrupla per spingere le vittime a pagare un riscatto. Di recente, ha aumentato l'importo chiesto a 2,5 milioni di dollari.

Poiché non tutti gli attacchi ransomware vengono denunciati, è difficile eseguire una stima del pagamento medio di un attacco ransomware. Il costo varia notevolmente in base alle dimensioni e alla natura dell'organizzazione presa di mira, alla quantità di dati crittografati e al riscatto chiesto, ma al momento il totale complessivo ammonta a decine di miliardi di dollari all'anno.

Per ridurre il rischio di subire attacchi ransomware, le aziende devono investire sia in misure di Cyber Security che di protezione dei dati, in modo da essere in grado non solo di bloccare il ransomware, ma anche di riprendersi rapidamente nel caso in cui un attacco vada a segno.

Un piano completo di difesa avanzata, che riduca al minimo il rischio di perdita di dati e le interruzioni operative in seguito ad attacchi ransomware, deve includere quanto segue:

• Backup dei dati periodico. I backup devono essere archiviati in un luogo sicuro non collegato alla rete, in modo che sia possibile ripristinare i dati anche se quest'ultima è compromessa.

• Implementazione di misure di sicurezza, come filtraggio delle e-mail, blocco dello spam, autenticazione a più fattori e chiavi di decrittografia universali, per ridurre le possibilità che le caselle di posta dei dipendenti vengano raggiunte da e-mail dannose.

• Applicazione delle più recenti patch di sicurezza a tutti i software, inclusi sistemi operativi, browser web e applicazioni. Ciò impedirà agli hacker di sfruttare le vulnerabilità note per accedere ai sistemi.

• Utilizzo di software antivirus e anti-malware per rilevare e prevenire gli attacchi ransomware. È necessario mantenere il software antivirus e anti-malware aggiornato con le definizioni di virus più recenti.

• Implementazione di misure di sicurezza di rete, come firewall, sistemi di rilevamento e prevenzione delle intrusioni e segmentazione della rete, per impedire agli hacker di accedere ai sistemi.

• Implementazione di misure anti-DDoS per ridurre il rischio di attacchi ai server pubblici.

• Formazione dei dipendenti sui rischi degli attacchi ransomwaree su come evitarli, in modo che siano in grado di riconoscere le e-mail di phishing e i link sospetti e sappiano come segnalare possibili attacchi.

• Adozione di un piano di incident response in caso di attacco ransomware. Il piano deve includere misure per isolare i sistemi infetti, eseguire la disconnessione dalla rete e avvisare le forze dell'ordine. È importante inoltre adottare un piano per il ripristino dei dati dai backup.

Acronis Cyber Protect è una soluzione integrata di Cyber Protection che consente di proteggere le aziende da tutti i tipi di ransomware. Combina machine learning e intelligenza artificiale per rilevare e bloccare gli attacchi ransomware e fornire opzioni di ripristino in caso di attacco.

Acronis Cyber Protect rileva e blocca gli attacchi ransomware sfruttando un approccio a più livelli. L'euristica e il rilevamento basato su firme consentono di identificare le minacce ransomware note, mentre l'analisi comportamentale e le tecnologie di machine learning aiutano a rilevare anche le nuove minacce. La soluzione sfrutta l'intelligenza artificiale per monitorare i cambiamenti di comportamento che potrebbero indicare un attacco imminente.

In caso di attacco, Acronis Cyber Protect offre diverse opzioni di ripristino. Ad esempio, è in grado di ripristinare cartelle o singoli file crittografati e interi sistemi. Offre inoltre la possibilità di eseguire un rollback delle modifiche apportate dal ransomware, in modo da poter tornare a una versione dei dati precedente all'attacco.

Desideri migliorare il tuo profilo di sicurezza contro le moderne minacce informatiche e rendere la gestione più semplice ed efficace?