Ransomware a doppia estorsione, una minaccia dilagante

1. Differenza tra ransomware classico e ransomware a doppia estorsione

2. Definizione di ransomware a doppia estorsione

3. Come si viene infettati dai ransomware double extortion?

4. Casi più conosciuti di attacco ransomware double extortion

5. Chi sono le vittime più colpite

6. Come proteggersi dai ransomware a doppia estorsione

Con ogni probabilità avrai già sentito parlare del fenomeno noto come attacco ransomware.

Il termine ransomware contraddistingue una particolare tipologia di malware con cui i cybercriminali mirano a rendere inaccessibili i file di uno o più Pc in rete. Dopo aver reso illeggibili i file presenti in rete, il ransomware intima la vittima a procedere al pagamento di un riscatto per riportare la situazione alla normalità.

Abbiamo semplificato al massimo la definizione di ransomware per ricordarvi a quale tipo di minaccia facciamo riferimento.
Ma soprattutto, desideriamo parlarvi di una nuova variante di questo pericoloso attacco informatico con la quale ci siamo trovati a dover lottare sempre più di frequente.
Infatti, da qualche tempo, abbiamo assistito all’enorme diffusione dei cosiddetti ransomware a doppia estorsione (o Double Extortion Ransomware).

Questa forma di estorsione digitale viene condotta da organizzazioni criminali aventi alle spalle una solida struttura. Nessun hacker improvvisato si sognerebbe mai di farsene carico. Eppure per coloro che ricorrono a questa tipologia di attacchi si dice che si affidino ad una vera e propria “tempesta perfetta”.

I ransomware a doppia estorsione si propongono, infatti, di unire i nefasti effetti connessi alla criptazione dei file, alla violazione e relativa divulgazione dei dati sottratti agli utenti.

Un’azienda che subisce l’attacco double extortion di un ransomware è costretta a fare i conti con una lunga serie di problemi, più o meno gravi.
In primis, si ritroverà al cospetto di sistemi non funzionanti, assistendo impotente al blocco di ogni genere di attività informatizzata. Persino l’esecuzione dei normali servizi, la produzione dei beni, il sistema di fatturazione e gestione ordini vengono immediatamente arrestati. Ma non solo.
Parte del processo di doppia estorsione prevede la pubblicazione di una parte o di tutto il patrimonio informativo trafugato alla vittima.

Per un’azienda, grande o piccola che sia, questo significa trovarsi costretti a sostenere costi diretti e indiretti di grandi entità.

Negli ultimi mesi ci siamo interrogati innumerevoli volte in merito alla nascita del ransomware doppia estorsione.

Certamente, la risposta più plausibile è che la comparsa dei ransomware a doppia estorsione sia sorto in risposta alle soluzioni di protezione adottate da molte aziende nei confronti dei ransomware nella loro versione più classica. In primis, le misure di recovery hanno sicuramente indotto gli hacker a cercare nuove strade per raggiungere i loro obiettivi.

Da qui in poi, la minaccia di esporre i dati si è fatta sempre più concreta.

I ransomware doppia estorsione sono dei malware che rientrano di diritto nella categorie di attacchi informatici più pericolosi e impossibili da rimuovere. Una volta lanciato, l’attacco informatico ransomware finisce per mettere in grande difficoltà le aziende agendo su più versanti.

Da un lato, infatti, è in grado di cifrare grandi quantità di dati, rendendoli di fatto inaccessibili e inutilizzabili.
Dall’altro, i ransomware (o anche cryptovirus) permettono agli hacker di ottenere ogni genere di informazione aziendale e personale contenuta nel sistema informatico e non protetta. Alcune delle informazioni più ghiotte sono costituite da dati su clienti e dipendenti, brevetti e dati industriali, progetti e know-how.

Nella maggior parte dei casi, l’obiettivo dei ransomware è di natura prettamente monetaria: la persona che conduce l’attacco vuole semplicemente massimizzare il profitto attraverso la riscossione del riscatto.

Ecco per quale motivo i criminali sono sempre più inclini a sperimentare ulteriori evoluzioni del ransomware, alla ricerca di pratiche sempre diverse con le quali ricattare le proprie vittime.

I danni provocati da un ransomware double extortion sono incalcolabili.

Non è raro assistere ad azioni che affiancano al furto di dati personali, la doppia estorsione.

Attraverso il processo di double extortion o doppia estorsione, viene reso evidente a chiunque come sia in atto una violazione dei sistemi esistenti.
Alcuni gruppi di pirati informatici prendono addirittura contatto con organi di stampa locale al fine di gettare del fango sull’attività dell’azienda scelta come vittima.

Vogliamo ricordare, infine, i gruppi di hacker che, dopo aver contattato i clienti, li informano in merito all’intenzione di pubblicare i dati sottratti qualora l’azienda non sia disposta a collaborare.

Ma per quale motivo le doppie estorsioni appaiono così allettanti agli occhi dei cybercriminali?

Sicuramente, a favorirne la diffusione sono le condizioni venutesi a creare in questi anni. Dall’esplosione del fenomeno delle criptovalute al ricorso allo smart working, dalla difficoltà a punire gli hacker con sanzioni appropriate alla spinta decisa verso il processo di digitalizzazione. Insomma, le ragioni sono molte e tutte accreditate. Anche l’evidente ritardo con cui i diversi stati hanno iniziato a farsi promotori di politiche per la sicurezza in Rete ha influito in modo non indifferente.

Il primo episodio di ransomware doppia estorsione è stato rilevato nel mese di novembre 2019 ed è passato alla storia come l’attacco di Maze ransomware.

La vittima del primo attacco ransomware double extortion: chi era?

La Allied Universal, società di sicurezza americana.
L’azienda è stata apparentemente attaccata da un classico ransomware e gli è stato chiesto un riscatto di alcune centinaia di migliaia dollari.
Al rifiuto della società di pagare il riscatto (pari a 300 BitCoin), gli aggressori hanno risposto minacciandola di utilizzare le informazioni sensibili, le e-mail e i nomi di dominio sottratti, per dar luogo a una campagna di phishing; impersonando la stessa azienda. Un danno d’immagine di dimensioni incalcolabili.

L’immediata pubblicazione di un campione di tali file ha subito chiarito come non si trattasse di una minaccia a vuoto, bensì di un pericolo percepibile e oggettivo. Infatti, i criminali hanno inserito all’interno di un forum (dedito a svariate attività di hacking) un link diretto ad alcuni dei dati rubati, accompagnato da una seconda richiesta di riscatto, di importo decisamente più elevato.

Lo scopo era naturalmente quello di convincere le vittime ad effettuare il versamento della somma del riscatto a qualsiasi costo.

Crescita attacchi a doppia estorsione

Il numero di bersagli degli attacchi è rapidamente aumentato, così come la quantità di informazioni aziendali rese note.
In diversi casi, le informazioni sottrarre e pubblicate dai gruppi di criminal hacker riguardavano l’IP dei diversi prodotti.

Parallelamente, nel 2020 è stato scoperto un malware che, approfittando della confusione generata dalla Pandemia si nascondeva dietro un’applicazione che serviva al tracciamento dei soggetti positivi all’infezione Covid-19.
Nello specifico, il malware era in grado di criptare i contenuti e minacciare le vittime di diffondere i dati trovati.
L’episodio più recente studiato dal nostro SOC security si è verificato nel mese di luglio 2021, e ha chiarito una volta di più la portata e l’impatto delle azioni criminose. Sono state migliaia le organizzazioni, a tutte le latitudini, a cadere vittima dell’inoculazione di un codice malevolo di questo tipo.

A tal proposito, abbiamo scritto il contenuto legato al Sodinokibi ransomware.

L’infezione e il furto dei dati prevedono che alle vittime siano recapitati una serie di screenshot delle informazioni in possesso dell’hacker.

L’obiettivo delle foto è indurre le aziende, o i singoli utenti, a provvedere al pagamento del riscatto. Scegliere di prendere tempo, cercando una soluzione, significa solamente permettere agli hacker di andare avanti con l’azione criminosa.

Il passo successivo, infatti, consiste nel rendere disponibili i file sul web, pronti per essere scaricati.

L’azione su più fronti il vero punto di forza del ransomware doppia azione.

In base ai casi finora identificati, sembrerebbe che una percentuale elevata degli attacchi double extortion siano favoriti dall’errore umani. Un ransomware riesce nell’intento di infettare la vittima attraverso questi canali:

• attraverso il malspam ovvero e-mail infette;
• attraverso gli exploit kit ovvero tramite codice infetto magari inserito all’interno di una pagina web visitata dall’utente;
• tramite ingegneria sociale;

Ma non è finita qui. I criminali, dal canto loro, si dimostrano sempre più abili nell’approfittare delle vulnerabilità connesse ai protocolli di accesso remoto, e relative alle App fondamentali per lo smart working.

Sulla base della crescita delle aziende colpite dai ransomware doppia estorsione, possiamo affermare che il numero di casi finirà per raggiungere i 5.000 casi di aziende infettate entro la fine del 2022.

Le aziende che oggi non dispongono di un supporto cybersecurity adeguato rischiano di vedere gli effetti degli attacchi protrarsi nel medio/lungo termine. Ancora più grave è la situazione delle realtà abituate a lavorare al fianco delle pubbliche amministrazioni o delle Holding internazionali. Occorre considerare, ad ogni modo, come anche le piccole aziende subiscono la pressione e gli effetti dell’attacco ransomware.

In buona sostanza, nessun soggetto può dirsi al sicuro.

Poter contare su strumenti di prevenzione che evitino di perdere dati, e riuscire a fermare l’azione crittografica del ransomware, è fondamentale. Una delle più importanti nozioni da sapere in questo ambito è che prevenire gli attacchi è sempre meglio che cercare di controllarne gli effetti.

Oltre ai costi finanziari, l’azienda colpita rischierebbe di subire dei danni di reputazione che potrebbero minarne la credibilità di fronte alla clientela.  Riassumendo, sono due le possibili strategie di difesa che la tua azienda potrebbe adottare per far fronte al ransomware doppia estorsione: i sistemi di prevenzione/monitoraggio (Vulnerability Assessment e Penetration Test) e la protezione dell’infrastruttura.

In questo articolo ti abbiamo parlato di Ransomware double extortion: proteggere un’azienda dalla A alla Z, ma sappiamo bene che la prudenza non basta. Ecco per quale motivo dovresti rivolgerti a noi.

Onorato Informatica è un’azienda specializzata in sicurezza informatica dal 2006. Siamo un’azienda informatica italiana di Mantova, Parma, Milano e Los Angeles.

Onorato Informatica è certificata ISO 9001 e ISO 27001 e nell’oggetto delle certificazioni sono inseriti anche i servizi di Vulnerability Assessment e Penetration Testing.