Partendo dalla definizione formale di ransomware “Sono malware che cifrano o bloccano o limitano il dispositivo infettato al fine di ottenere un riscatto”, si può comprendere che i ransomware fanno capo ad una categoria specifica di malware che ha come obiettivo quello di ottenere un riscatto. Purtroppo, gli attacchi che avvengono oggigiorno non si limitano solo a questo.
Partendo dalle radici il malware ha subito diverse evoluzioni: in prima istanza il software era stato concepito semplicemente per cifrare dati, ma le recenti versioni presentano funzionalità che affiancano l’esfiltrazione dei dati e successivamente la cifratura delle stesse.
Anche il modello di business adottato dai cybercriminali ha subito un’evoluzione: partendo da un target di tipo domestico, gli avversari successivamente hanno reso più sofisticate le intrusioni ed hanno iniziato a colpire realtà industriali con grossi fatturati.
La nuova tipologia di attacchi prende il nome di Big Game Hunting. Con l’avvento di questo nuovo approccio i cybercriminali sono passati dalla semplice estorsione all’introduzione di ulteriori leve per indurre le vittime a pagare. Tra queste la double extorsion e la più recente triple extorsion.
Sotto la definizione di double extorision si contestualizza la tecnica di rubare le informazioni e di pubblicarle su blog avversari, al fine di dare visibilità all’incidente informatico e stimolare le vittime al pagamento del riscatto.
La double extorsion può determinare criticità importanti per un’azienda. La pubblicazione di informazioni sensibili determina nell’immediato un danno reputazionale, visto che l’accaduto rappresenta una dimostrazione di come l’azienda non abbia dato il giusto valore ai propri dati. Con l’avvento del GDPR, le aziende sono inoltre soggette ad un regolamento per la tutela delle proprie informazioni. Questo regolamento prevede sanzioni commisurate al fatturato annuo, qualora non ci sia stata una corretta attuazione delle misure necessarie per proteggere i dati, da eventuali data breach e la Double Extortion fa leva su questo fattore.
Le vittime si trovano quindi ad un bivio: assecondare gli estorsori o pagare una sanzione paragonabile all’ammontare richiesto dai cybercriminali. Per ultimo, ma non meno importante, l’esposizione di informazioni riservate può comportare uno svantaggio competitivo. I Cybercriminali, una volta violato il perimetro della vittima, cercano informazioni specifiche che possano creare un importante danno per l’azienda, anche in ambito competitivo.
A fianco della double extortion, negli ultimi tempi si è affiancato il modello di Business RaaS e affiliazione. Questo approccio si basava inizialmente sul reclutamento o vendita del malware mediante annunci pubblicati in forum underground deep e darkweb. Con il passare del tempo e successivi eventi geopolitici, la rete di affiliazione si è evoluta in qualcosa di più complesso: le affiliazioni cybercriminali sono divenute organizzazioni. Dietro agli ultimi attacchi si celano gruppi ransomware operanti come vere e proprie softwarehouse. Un recente leak, riguardante il gruppo ransomware CONTI, ha mostrato quali figure partecipino alle attività estorsive: il gruppo è composto da sviluppatori, manager, tester, penetration ed access broker.
Tra le informazioni trapelate sono emersi dati riguardanti le metodologie utilizzate durante gli attacchi ed altre informazioni utili al fine di attribuire il contesto agli operatori del cybercrime.
In base alle informazioni trapelate si può ipotizzare l’esistenza di figure comuni tra i vari gruppi ransomware, come ad esempio gli Access-broker, figure che si limitato a fornire accessi validi nel perimetro di potenziali vittime e che solitamente utilizzano credenziali violate o servizi esposti vulnerabili per ottenere il primo accesso all’interno dell’infrastruttura vittima. Una volta compresa la realtà e le potenzialità che l’accesso offre, gli avversari vendono le informazioni utilizzando i medesimi canali underground. Gli acquirenti di questo tipo di informazione sono i Penetration tester, figure che si occupano di effettuare l’attacco vero e proprio. Gli avversari utilizzano gli accessi acquisiti per entrare nel perimetro vittima, eseguono attività che possono essere assimilate a comuni attività di pentest, esfiltrano le informazioni di interesse e successivamente eseguono il malware avendo cura di cancellare i backup.
La lista delle aziende che sono state coinvolte da attacchi ransomware evidenzia come a livello globale ci sia ancora una scarsa sensibilità in ambito cyber security. Gli attacchi ransomware, essendo attività definite Human-drived (condotte manualmente), possono essere complessi. Avere consapevolezza di come gli avversari operano e di quale siano gli strumenti utilizzati dagli stessi permette di mitigare la possibilità di essere coinvolti dalle attività estorsive.
Per contrastare il progresso tecnologico ed organizzativo della cyber criminalità, smeup propone un servizio di Assessment della rete aziendale, che ottimizza l’efficienza e la sicurezza dell’infrastruttura IT aziendale.
L’obiettivo delle attività di IT Assessment è di produrre una fotografia del livello di efficacia e sicurezza dell’architettura del sistema informativo aziendale, proponendo come output una serie di punti di miglioramento, atti a rimuovere “single point of failure”, per diminuire nel futuro i rischi.
Per far fronte alla professionalità dell’attaccante, occorre una conoscenza approfondita delle vulnerabilità dell’infrastruttura IT, un’analisi approfondita di sistemi, dispositivi, apparecchiature, reti e tutti gli altri punti di connessione, nonché del layout della rete aziendale: come sono collegati i singoli componenti, come le reti sono collegate tra loro, come/se l’accesso remoto è consentito.
Vista l’ulteriore necessità di formare sia il personale IT, sia altre figure chiave aziendali, smeup offre inoltre percorsi formativi di sensibilizzazione alla sicurezza, personalizzati in base alle esigenze di apprendimento di ogni utente.
