Giacomo Lanzi
Ransomware: novità recenti 2020/21
Tempo di lettura stimato: 8 minuti
Come sappiamo, un ransomware è un malware che ha lo scopo di estorcere denaro alle vittime. Il mezzo che utilizza è la crittografia per cifrare i dati delle vittime, sia locali che in cloud, e fare in modo che essi siano inaccessibili.
Il ransomware è quindi un ricatto informatico vero e proprio: se la vittima si rifiuta di pagare la somma richiesta, non solo gli verrebbe negato l’accesso ai suoi dati, ma c’è anche il rischio che questi dati vengano totalmente distrutti dagli hacker. Non esiste nessuna garanzia che al pagamento del riscatto corrisponda la riconsegna dei dati non cifrati.
La propensione o meno a pagare un riscatto è stata analizzata da uno studio del 2020, nel quale è emerso che il 65% degli intervistati paga senza esitazione. Inoltre, emerge che più della metà del campione ha pagato quando è stato vittima di un attacco. Anche in Italia gli attacchi informatici colpiscono e il 33% degli italiani vittima di ransomware ha dichiarato che, nonostante abbia pagato il riscatto, i dati in possesso della vittima siano andati totalmente o parzialmente persi. Non c’è infatti nessuna certezza che, pagando una somma di denaro, vengano consegnate le chiavi di decrittazione dei file.
Ransomware: novità recenti
Nel 2020 è stato dichiarato da Microsoft che i Ransomware sono stati una delle principali minacce. Si è stimato infatti che gli attacchi digitali di questo tipo siano aumentati nel 2020 rispetto all’anno precedente. Così è accaduto anche nel 2021.
Lo sviluppo delle tecniche
Lo sviluppo delle tecniche ransomware è stato abbastanza lineare. I primi attacchi non erano così organizzati come quelli che si vedono adesso. Venivano eseguiti da hacker singoli e spesso venivano utilizzai per colpire gruppi ristretti di persone, se non un singolo utente. A queste vittime venivano estorte piccole somme di denaro, che col tempo andavano aumentando sempre di più.
L’utilizzo del Ransomware su larga scala risale agli ultimissimi anni: di recente, infatti, si sono evoluti. Adesso sono cambiati gli attori di questi riscatti, che sono gruppi di cybercriminali organizzati.
Ad essere presi di mira non sono più singoli utenti, ma le grandi aziende e i loro dati. La decisione di aumentare il raggio d’azione dei ransomware fu una novità dovuta al fatto che ai criminali e agli hacker abbia convenuto premere sull’urgenza delle aziende di recuperare dati di elevata importanza che non possono essere persi e dalla maggiore possibilità delle aziende di cedere a riscatti più sostanziosi.
Anche il momento in cui avviene l’attacco non è più casuale, ma frutto di una spietata strategia. I criminali scelgono infatti i momenti di festività o i momenti in cui l’azienda è più debole, momenti in cui è facile che i tecnici informatici prestino meno attenzione agli accessi non autorizzati alle banche dati.
Ransomware a doppia estorsione, una delle ultime novità
Un’altra novità che emersa di recente sui ransomware è la doppia estorsione, una tecnica che finisce per estorcere una somma di denaro maggiore. Questa tecnica mette in pratica un doppio riscatto che fa leva sulle debolezze della vittima.
In un primo momento il ricatto si basa sull’accesso ai dati, che viene negato alle vittime. Quando un primo riscatto viene pagato, diverse bande di cybercriminali chiedono un secondo pagamento per evitare che i dati in loro possesso vengano resi pubblici o rilasciati alle aziende competitor.
In questo modo, le aziende non solo devono pagare il primo riscatto per ri-ottenere l’accesso ma gli verrà chiesto un secondo riscatto per mantenere la riservatezza dei dati che comunque potrebbero essere in mano del gruppo di criminali.
Gli attacchi ransomware del 2021
Gli attacchi ransomware sono aumentati a dismisura e non è una novità. Negli ultimi anni, questo nuovo modus operandi della doppia estorsione è risultato molto più remunerativo della semplice eliminazione dei dati, che comunque non deve essere esclusa come possibilità. Anche in caso di pagamento del riscatto, diverse aziende hanno dichiarato di non aver più avuto accesso ai dati.
Nel 2021, l’anno con il numero più consistente di attacchi di tipo ransomware mai registrati, c’è stata una perdita complessiva di denaro pari a 6 mila miliardi di dollari. Le tipologie di attacco ransomware sono diventate sempre più sofisticate e studiate per colpire al cuore le banche dati aziendali e soprattutto per eludere i sistemi di sicurezza informatici delle stesse, che purtroppo risultano obsoleti molto rapidamente.
Ci sono stati diversi attacchi di importanza massiccia che hanno visto come protagonisti diversi tipologie di aziende.
Attacco alla Colonial Pipeline Company
Uno dei più significativi attacchi è stato quello del gruppo hacker DarkSide ai danni della Colonial Pipeline Company, avvenuto a inizio maggio 2021. I danni immediati provocati da questo attacco sono stati l’interruzione della fornitura di carburante che doveva arrivare nel Sud degli Stati Uniti d’America.
Questo attacco è stato di gran lunga il più pesante dell’anno 2021, dato che la Colonial Pipeline si occupa dell’erogazione di più della metà del carburante in circolazione in quella zona degli USA. Il risultato è stato devastante non solo per quanto riguarda il modo in cui ha reagito la compagnia, ma soprattutto per la reazione dei consumatori: è scattata immediatamente la corsa al carburante. Le persone si sono affrettate a riempire quante più taniche di carburante possibile, per evitare di restare a secco, con tutti i rischi che queste azioni si portano dietro.
L’azione informatica, che è costata all’azienda ben 4.4 milioni di dollari, poteva benissimo essere evitata. Difatti, una volta terminato l’attacco e analizzati i resoconti delle azioni dei cybercriminali, è saltata all’occhio immediatamente la mancanza di una delle misure di sicurezza più semplici eppure più efficaci: l’autenticazione a più fattori.
Senza quest’ultima, infatti, gli hacker si sono trovati di fronte una sola barriera da abbattere prima di accedere ai dati, motivo per cui l’attacco è stato così semplice da portare a termine. La facilità con cui l’attacco ha colpito è stata fondamentale nella stimolazione di ulteriori attacchi Ransomware, perché ha aperto le strade verso la probabilità che aziende di alto calibro pecchino di mancanza di sicurezza informatica proprio come la Colonial Pipeline.
Attacco alla CNA Financial
Un ulteriore attacco informatico registrato è stato quello alla CNA Financial. Questo è stato particolarmente impressionante per la facilità con cui la violazione è avvenuta nei confronti di un sistema di sicurezza che si considerava essere uno dei più sicuri.
Le conseguenze dell’attacco sono state in primis un’interruzione della rete e, successivamente, l’impossibilità di acquisire nuovamente la piena operatività della rete. Le vittime singole di questo attacco sono state oltre 15.000. Infatti l’attacco è avvenuto da remoto e ha colpito i computer di quasi tutti i dipendenti. Il riscatto richiesto (e pagato) ammonta a 40 milioni di dollari.
Non si conosce l’identità del mandante dell’attacco, ma molti particolari fanno pensare ad Evil Corp come esecutore dell’attacco. L’indizio più evidente è il software utilizzato, che si chiama Hades, utilizzato in passato proprio dalla Evil Corp.
Nonostante ciò, la Evil Corp non è mai stata sanzionata per i danni provocati a CNA Financial.
Come difendersi?
Come abbiamo visto dalle ultime novità ransomware, non è facile recuperare i propri dati se si è vittima di questo tipo di attacchi. Anche se si decide di pagare il riscatto, non è detto che si torni in possesso dei propri dati. Di conseguenza, la difesa più efficiente è la prevenzione, che può essere effettuata in diversi modi.
SOCaaS e UEBA per identificare le minacce
Uno dei modi più efficaci per difendersi è il sistema UEBA, integrato nel SOCaaS offerto da SOD. Questo sistema si basa sull’analisi degli utenti e delle entità. Se, per un hacker, è semplice ottenere le informazioni di accesso di un utente aziendale, è comunque difficile comportarsi normalmente senza suscitare sospetti. Il sistema UEBA monitora i comportamenti di ogni utente ed entità e fa scattare l’allarme nel caso in cui i comportamenti subiscano un cambiamento. Il cambiamento nelle abitudini può essere lecito, ma in questo modo possiamo investigare in maniera immediata per mitigare il rischio.
Il sistema UEBA funziona grazie a diversi algoritmi che monitorano le abitudini degli utenti e dei sistemi coinvolti e segnalano ogni anomalia. Assieme al SIEM, sono componenti fondamentali del SOC che offriamo ai nostri clienti.
Conclusioni
In ogni caso, si consiglia di non cedere per nessun motivo ai riscatti. Si raccomanda una massima attenzione alle frodi e al phishing e l’installazione di antivirus aggiornati.
Per una maggiore sicurezza di alto livello per la tua azienda, non esitare a contattarci per sapere quali soluzioni possiamo offrire per mettere al sicuro i vostri dati. Saremo lieti di rispondere a ogni dubbio.
Useful links:
Condividi
RSS
Piu’ articoli…
- Da Secure Online Desktop a Cyberfero: il rebranding dell’azienda leader nella cybersecurity
- NIS2 – Come il nuovo regolamento cyber potenzia la sicurezza dell’Europa
- Advanced persistent threat (APT): cosa sono e come difendersi
- Penetration Testing e MFA: Una Strategia Duplice per Massimizzare la Sicurezza
- SOAR e l’automazione della sicurezza informatica
- Penetration Testing: Dove Colpire per Proteggere la Tua Rete Informatica
- Ransomware: una piaga che mette in ginocchio aziende e istituzioni. Pagare o non pagare? Ecco la risposta.
- Perché l’audit IT e il log management sono importanti per la Cybersecurity
Categorie …
- Backup as a Service (25)
- Acronis Cloud Backup (18)
- Veeam Cloud Connect (3)
- Cloud CRM (1)
- Cloud Server/VPS (23)
- Conferenza Cloud (4)
- Cyberfero (15)
- Log Management (2)
- Monitoraggio ICT (4)
- Novita' (21)
- ownCloud (7)
- Privacy (8)
- Security (215)
- Cyber Threat Intelligence (CTI) (9)
- Deception (4)
- Ethical Phishing (10)
- Netwrix Auditor (2)
- Penetration Test (18)
- Posture Guard (4)
- SOCaaS (66)
- Vulnerabilita' (83)
- Web Hosting (16)
Tags
Feed sconosciuto
Feed sconosciuto
Full Disclosure
- SEC Consult SA-20250226-0 :: Multiple vulnerabilities in Siemens A8000 CP-8050 & CP-8031 PLC Febbraio 27, 2025Posted by SEC Consult Vulnerability Lab via Fulldisclosure on Feb 27SEC Consult Vulnerability Lab Security Advisory < 20250226-0 > ======================================================================= title: Multiple Vulnerabilities product: Siemens A8000 CP-8050 PLC Siemens A8000 CP-8031 PLC vulnerable version:
- Re: MitM attack against OpenSSH's VerifyHostKeyDNS-enabled client Febbraio 27, 2025Posted by Jordy Zomer on Feb 27Hey all, First of all, cool findings! I've been working on the CodeQL query and have a revised version that I think improves accuracy and might offer some performance gains (though I haven't done rigorous benchmarking). The key change is the use of `StackVariableReachability` and making sure that there's […]
- MitM attack against OpenSSH's VerifyHostKeyDNS-enabled client Febbraio 21, 2025Posted by Qualys Security Advisory via Fulldisclosure on Feb 20Qualys Security Advisory CVE-2025-26465: MitM attack against OpenSSH's VerifyHostKeyDNS-enabled client CVE-2025-26466: DoS attack against OpenSSH's client and server ======================================================================== Contents ======================================================================== Summary Background Experiments Results MitM attack against OpenSSH's VerifyHostKeyDNS-enabled client DoS...
- Self Stored XSS - acp2sev7.2.2 Febbraio 21, 2025Posted by Andrey Stoykov on Feb 20# Exploit Title: Self Stored XSS - acp2sev7.2.2 # Date: 02/2025 # Exploit Author: Andrey Stoykov # Version: 7.2.2 # Tested on: Ubuntu 22.04 # Blog: https://msecureltd.blogspot.com/2025/02/friday-fun-pentest-series-19-self.html Self Stored XSS #1: Steps to Reproduce: 1. Visit "http://192.168.58.168/acp2se/mul/muladmin.php" and login with "admin" / "adminpass" 2. In the field "Put the […]
- Python's official documentation contains textbook example of insecure code (XSS) Febbraio 21, 2025Posted by Georgi Guninski on Feb 20Python's official documentation contains textbook example of insecure code (XSS) Date: 2025-02-18 Author: Georgi Guninski === form = cgi.FieldStorage() if "name" not in form or "addr" not in form: print("Error") print("Please fill in the name and addr fields.") return print("name:", form["name"].value) print("addr:",...
- Re: Netgear Router Administrative Web Interface Lacks Transport Encryption By Default Febbraio 18, 2025Posted by Gynvael Coldwind on Feb 17Hi, This isn't really a problem a vendor can solve in firmware (apart from offering configuration via cloud, which has its own issues). Even if they would enable TLS/SSL by default, it would just give one a false sense of security, since: - the certificates would be invalid (public […]
- Monero 18.3.4 zero-day DoS vulnerability has been dropped publicly on social network. Febbraio 16, 2025Posted by upper.underflow via Fulldisclosure on Feb 16Hello, About an hour ago, a group appearing to be named WyRCV2 posted a note on the nostr social network, which can be found at the following link: https://primal.net/e/note1vzh0mj9rcxax9cgcdapupyxeehjprd68gd9kk9wrv939m8knulrs4780x7 Save, share, use. The paste link includes a list of nodes that the attacker has instructed to target, along […]
- Netgear Router Administrative Web Interface Lacks Transport Encryption By Default Febbraio 16, 2025Posted by Ryan Delaney via Fulldisclosure on Feb 16
- [CVE-2024-54756] GZDoom <= 4.13.1 Arbitrary Code Execution via Malicious ZScript Febbraio 16, 2025Posted by Gabriel Valachi via Fulldisclosure on Feb 15In GZDoom 4.13.1 and below, there is a vulnerability involving array sizes in ZScript, the game engine's primary scripting language. It is possible to dynamically allocate an array of 1073741823 dwords, permitting access to the rest of the heap from the start of the array and causing […]
- Re: Text injection on https://www.google.com/sorry/index via ?q parameter (no XSS) Febbraio 16, 2025Posted by David Fifield on Feb 15Today at about 2025-02-13 19:00 I noticed the "≠" is back, but now the type 0x12 payload of the ?q query parameter gets formatted into the string representation of an IP address, rather than being copied almost verbatim into the page. If the payload length is 4 bytes, it […]
Customers
Twitter FEED
Recent activity
-
SecureOnlineDesktop
Estimated reading time: 6 minutes L'impatto crescente delle minacce informatiche, su sistemi operativi privati op… https://t.co/FimxTS4o9G
-
SecureOnlineDesktop
Estimated reading time: 6 minutes The growing impact of cyber threats, on private or corporate operating systems… https://t.co/y6G6RYA9n1
-
SecureOnlineDesktop
Tempo di lettura stimato: 6 minuti Today we are talking about the CTI update of our services. Data security is… https://t.co/YAZkn7iFqa
-
SecureOnlineDesktop
Estimated reading time: 6 minutes Il tema della sicurezza delle informazioni è di grande attualità in questo peri… https://t.co/tfve5Kzr09
-
SecureOnlineDesktop
Estimated reading time: 6 minutes The issue of information security is very topical in this historical period ch… https://t.co/TP8gvdRcrF
Newsletter
{subscription_form_2}Prodotti e Soluzioni
Collaborazioni
Modelli Cloud
News
- Da Secure Online Desktop a Cyberfero: il rebranding dell’azienda leader nella cybersecurity Maggio 6, 2024
- NIS2 – Come il nuovo regolamento cyber potenzia la sicurezza dell’Europa Aprile 22, 2024
- Advanced persistent threat (APT): cosa sono e come difendersi Aprile 17, 2024
- Penetration Testing e MFA: Una Strategia Duplice per Massimizzare la Sicurezza Aprile 15, 2024
- SOAR e l’automazione della sicurezza informatica Marzo 27, 2024
Recensioni Google
Ottima azienda, servizi molto utili, staff qualificato e competente. Raccomandata!leggi di più
Ottimo supportoleggi di più
E' un piacere poter collaborare con realtà di questo tipoleggi di più
Un ottimo fornitore.
Io personalmente ho parlato con l' Ing. Venuti, valore aggiunto indubbiamente.leggi di più
Contatti
© 2024 Cyberfero s.r.l. All Rights Reserved. Sede Legale: via Statuto 3 - 42121 Reggio Emilia (RE) – PEC [email protected] Cod. fiscale e P.IVA 03058120357 – R.E.A. 356650 Informativa Privacy - Certificazioni ISO