Escalation di ransomware e record di estorsioni. Tecniche sempre più efficaci e aggressive. Ecco come funziona la minaccia cyber a più alta intensità di crescita
L’esplosione dei ransomware comincia nel 2012 e da allora non si è più fermata. Il termine “ransomware” deriva da “ransom” (riscatto) e “malware”. Quindi un malware che chiede un riscatto e che ha come unica finalità l’estorsione di denaro. Nei primi anni (2013-2017 circa) si assisteva soprattutto ad attacchi con la tecnica della “pesca a strascico”: obiettivi non mirati e riscatti in genere bassi, dell’ordine di qualche centinaio di dollari. Nell’80% dei casi, la richiesta di riscatto non superava i mille dollari.
Nei primi anni, gli attacchi erano soprattutto opportunistici e non mirati: l’attaccante criptava i file e richiedeva un riscatto, in genere non elevato. Rispetto al passato, i ransomware si sono enormemente evoluti, sia nella diffusione che nelle modalità d’attacco. Oggi, a produrre i malware sono aziende cybercriminali strutturate e dotate di grandi mezzi, con un business model paragonabile a quello delle migliori aziende “tradizionali”.
Organizzazioni, capaci di fare ricerca e sviluppo per realizzare ransomware sempre più sofisticati ed aggressivi e di creare una rete di affiliati. In pratica, gli attacchi ransomware sono diventati sempre più simili ad attacchi di tipo APT (Advanced persistent threat) nelle tecniche di attacco TTP (Tactics, techniques and procedures). L’attacco ransomware oggi non è più un “mordi e fuggi”, ma viene accuratamente preparato: una volta violata l’azienda da colpire, l’azione di crittografia dei file potrebbe non essere immediata.
L’attaccante esegue movimenti laterali all’interno del sistema per fare “privilege escalation” ed arrivare ad acquisire le credenziali amministrative e quindi l’accesso ai dati critici dell’azienda, per criptarli, ma anche per esfiltrarli. In questa attività di ricognizione, l’attaccante tenta anche di individuare gli strumenti di protezione (antivirus, EDR e così via) e per disattivarli va a cercare i backup: se non sono adeguatamente protetti e segregati (un errore commesso da molte aziende!), potranno criptare anche quelli, rendendo la vittima completamente priva di difese. Solo quando il sistema è sotto il controllo dell’attaccante, parte il processo di crittografia dei dati e – probabilmente – anche quello di esfiltrazione. Stiamo quindi assistendo a un minor numero di attacchi opportunistici e molti più attacchi mirati, con i cybercriminali che preparano l’attacco con attività di OSINT (Open source intelligence) per fare information gathering.
Di conseguenza, la somma richiesta per il riscatto è molto aumentata. Il riscatto medio è passato da 115.123 dollari nel 2019 a 312.493 dollari nel 2020 (+171% anno su anno).
Dal 2015 al 2019, la richiesta più elevata è stata di 15 milioni di dollari, mentre nel 2020 ha raggiunto i 30 milioni di dollari. (Fonte: “Unit 42 Ransomware Threat Report 2021” di Palo Alto Networks).
Nel 2021, si è toccato il “record” di 50 milioni di dollari nel riscatto richiesto alla società Acer Computer, uno dei maggiori produttori mondiali di computer. E poco dopo è arrivata la richiesta di 70 milioni di dollari a Kaseya. Ma la maggiore innovazione nel mercato del ransomware è stata sicuramente la comparsa della “double extortion”: la doppia estorsione che ha drammaticamente complicato la vita delle aziende colpite.
Il “pioniere” della double extortion è stato Maze nel 2019, poi questa tecnica è stata utilizzata anche da molti altri ransomware quali Conti, Lockbit 2.0 (uno dei più attivi), RagnarLocker, DoppelPaymer, Sodinokibi (alias REvil). Oggi, è diventata quasi la regola. Nel corso degli anni, i cybercriminali si sono resi conto che le vittime dotate di un backup non avrebbero ceduto al ricatto. La doppia estorsione è quindi una tecnica particolarmente subdola per forzare la vittima a pagare il riscatto, anche se questa dispone di un backup utilizzabile. La minaccia usata è quella di esporre i dati, preventivamente esfiltrati prima della cifratura, su un sito pubblico o sul dark web. Questo rischia di avere un impatto pesante per l’azienda attaccata che si troverà a dover denunciare un data breach, con tutte le implicazioni anche reputazionali e nei confronti del GDPR.
Giorgio Sbaraglia information & cybersecurity advisor – Comitato scientifico CLUSIT