Ransomware, la minaccia del mondo moderno: il report

I ransomware sono la peggiore minaccia del mondo moderno. A dirlo è il threat report di Unit 42, il team di global threat intelligence di Palo Alto. Nella ricerca si approfondiscono le tendenze di questo tipo di malware, le varianti e le modalità con cui attaccano le vittime, fornendo anche diverse buone pratiche per prevenirli e contrastarli.

L’attacco del cryptolocker della regione Lazio è solo l’ultimo dei ransomware che hanno colpito gravemente sistemi in tutto il mondo. A maggio scorso un malware aveva colpito un oledotto statunitense, tra i principali della nazione, causando un’interruzione del trasporto dei rifornimenti. In questo caso la Colonial Pipeline aveva infine pagato il riscatto, spinti dalla necessità di ristabilire l’operatività della rete. Il 2020, in particolare, è stato l’anno di piena esplosione dei ransomware, registrando un vertiginoso aumento. Tra i più “vicini” a noi ricordiamo NetWalker, che ha colpito Enel Group lo scorso Ottobre.

Ransomware: il report del 2020

Nella ricerca svolta dal team di Palo Alto si prendono in considerazione gli attacchi avvenuti in Europa, Stati Uniti e Canada. Se nel 2019 il riscatto medio pagato era di 115mila dollari, nel 2020 questa cifra è salita del 171%, arrivando quasi a 313mila dollari. Questo tipo di malware genera un vero e proprio business, e anche molto redditizio: gli attaccanti hanno aumentato le richieste di riscatto fino a 30 milioni di dollari nel 2020, contrariamente ai 15 milioni (massimi) del 2019. Un raddoppio dovuto al fatto che i riscatti vengono pagati nella maggior parte dei casi, e i cybercriminali riescono a guadagnare molti soldi con questo attacco.

Gli hacker non si sono fatti scrupoli: il settore più colpito è stato quello della sanità. Ospedali, centri sanitari e di ricerca sono diventati l’obiettivo privilegiato degli attaccanti. Sapendo che i sistemi sanitari non potevano bloccarsi neanche per un giorno, i crybercriminali hanno concentrato i loro sforzi negli attacchi contro queste realtà, sicuri che le organizzazioni avrebbero pagato tutto e subito. Persone senza alcuno scrupolo che hanno reso i ransomware una vera e propria minaccia alla vita.

Oltre al blocco di interi sistemi, i ransomware moderni portano con sé una componente di double extortion: non solo i sistemi sono messi fuori uso, ma gli attaccanti rubano dati sensibili per costringere la vittima a pagare. Nel caso di mancato pagamento, i dati rubati vengono resi pubblici, aumentando il danno inferto. Dagli studi è emerso che la famiglia di malware che sfrutta maggiormente questa componente è proprio NetWalker: in un solo anno (da gennaio 2020 a gennaio 2021) ha causato leak a 114 organizzazioni in tutto il mondo.

Le varianti principali della minaccia ransomware

Il 2020 è stato l’anno d’oro per i ransomware. Sfruttando la pandemia da Covid-19 assieme alla paura e al caos che ne sono derivati, gli attacchi di phishing hanno trovato terreno fertile per aprire la strada ai ransomware. Soprattutto a inizio pandemia, quando le informazioni erano frammentate e le fake news abbondavano, i link e gli allegati e-mail hanno portato con sé tante infezioni e con estrema facilità. Le vecchie famiglie di ransomware sono tornate alla riscossa, ma ne sono emerse anche di nuove. Il report di Unit42 ha individuato le principali del 2020:

• Ryuk: attiva dal 2018, questa famiglia ha colpito svariati tipi di organizzazioni. Dai siti governativi, al settore della sanità, dell’energia o della tecnologia, nessuno si è salvato. Questo tipo di ransomware è solito usare altri malware (backdoor) per infiltrarsi nei sistemi, come Trickbot, BazaLoader e Emotet.
• Maze: è una variante della famiglia ChaCha ed è attiva da maggio 2019. Anche in questo caso i settori colpiti sono molteplici, così come le nazioni (Stati Uniti, Canada, Francia e Svizzera). Negli ultimi mesi del 2020 Maze si era evoluta per inviare il proprio payload da una macchina virtuale, così da eludere i controlli.
• Defray777: attiva dal 2017, questa variante viene eseguita totalmente in memoria e colpisce sia i sistemi Windows che Linux. Il malware è arrivato a colpire anche il Giappone e il Brasile, cguiedendo fino a 42mila dollari di riscatto in bitcoin.
• WastedLocker: una delle varianti più recenti, attiva da maggio 2020. Si presume che il gruppo dietro questo malware sia Evil Corp (vi ricorda qualcosa?). Questa variante è anche una delle più pericolose, poiché in grado di fingersi browser o un update di software legittimo.
• NetWalker: tra le varianti più frequenti e la principale causa di leak di dati. È chiamata anche MailTo ed è attiva da agosto 2019. Le sue richieste di riscatto sono arrivate fino a 2milioni di dollari.
• Dharma: siamo di fronte a una delle varianti più vecchie, attiva dal 2016. Questo ransomware mira a ottenere i privilegi sfruttando il protocollo SMB (Server Message Block), usato per condividere file, stampanti e porte di comunicazione.

Come difendersi?

I ransomware continueranno a proliferare sempre di più, aumentando in varianti e abilità. Nel futuro vedremo anche un incremento dell’uso della doppia estorsione, e ciò porterà anche a un aumento dei soldi richiesti dagli attaccanti, creando un pericoloso circolo vizioso.

I modi per proteggersi dalla minaccia dei ransomware sono simili a quelli usati per gli altri malware, sebbene i primi nascondano molte più insidie. Allegati e email sospette non andrebbero mai aperti, e tutti i software andrebbero sempre mantenuti aggiornati. I dipendenti andrebbero formati a dovere, informandoli dei rischi delle loro azioni e fornendogli sempre i privilegi minimi possibili per eseguire le loro mansioni. Investire sulla sicurezza informatica e su soluzioni di protezione è il primo passo per prevenire al meglio le minacce. Oltre a ciò, è fondamentale mantenere back-up aggiornati e implementare un processo di recovery per il recupero dei dati criptati in caso di attacco. In questo caso, è bene avere dei back-up offline per garantire comunque l’accesso interno ai dati.