Cosa succede durante un attacco ransomware?

Diversi tipi di ransomware colpiscono ancora le aziende, anche se la minaccia globale costituita dai malware è stata generalmente rimossa. Esistono per estorcere denaro a individui o aziende che non dispongono di una protezione efficace.

Una delle prime applicazioni ransomware conosciute che ha avuto un impatto globale è stata CryptoLocker. CryptoLocker ha preso di mira le macchine Windows e si è diffuso in modo significativo nel 2014. L'infezione di solito è iniziata attraverso un'email e un allegato dannoso. Il software ha quindi crittografato i file importanti con crittografia a chiave pubblica/privata asimmetrica (RSA).

RansomHub è un gruppo Ransomware-as-a-Service (RaaS) rilevato per la prima volta nel febbraio 2024 e ha rapidamente guadagnato fama per la sua strategia di "caccia grossa", prendendo di mira le grandi imprese che hanno maggiori probabilità di pagare riscatti importanti. Tracciato da Trend Micro come Water Bakunawa, RansomHub è stato osservato mentre sfruttava vulnerabilità nei backup di storage cloud e istanze Amazon S3 non configurate correttamente, sfruttando la fiducia tra provider e clienti per potenziare le proprie tattiche estorsive.

Rhysida è un gruppo ransomware venuto alla luce all'inizio del 2023, che impiega una doppia tattica di estorsione: crittografando i dati delle vittime e minacciando di pubblicarli se non verrà pagato un riscatto in Bitcoin. Si mascherano come un team di cybersecurity che si offre di aiutare le vittime evidenziando i punti deboli della sicurezza nelle loro reti e nei loro sistemi. Utilizzeranno gli attacchi di phishing per ottenere l'accesso iniziale e il follow-up con i beacon Cobalt Strike per il movimento laterale nelle macchine compromesse prima di distribuire il loro ransomware.

I dati di Trend Micro del 2024 sul mondo cybercriminale tracciano le informazioni pubblicate sui siti di leak dei gruppi ransomware.

Nella tabella “Principali Set di Intrusione Ransomware”, le “violazioni” si riferiscono ad attacchi ransomware riusciti contro aziende che hanno scelto di non pagare il riscatto. Ciò significa che il numero reale di attacchi riusciti potrebbe essere più alto, poiché alcune aziende potrebbero aver pagato.

Il monitoraggio dei siti di leak da parte di Trend Micro mostra che i gruppi ransomware hanno il maggior numero di vittime aziendali in Nord America, con 369 violazioni riuscite contro aziende che non hanno pagato. I siti di leak hanno anche pubblicato 104 violazioni riuscite in Europa e 47 in Asia. Le aziende del settore retail, all’ingrosso e distribuzione rappresentano la maggior parte delle violazioni pubblicate (13,9%), seguite da quelle dei prodotti e servizi industriali (9,4%).

I gruppi ransomware hanno inoltre dichiarato di avere vittime nei settori dei trasporti, dell’informatica e della tecnologia, che compongono le cinque industrie più colpite. Le classifiche per regione e settore degli attacchi ransomware riusciti riflettono probabilmente più la resilienza delle aziende che il comportamento dei gruppi, che non mirano specificamente a regioni o settori. Le aziende possono aumentare la propria resilienza facendo lavorare i sensori degli endpoint a loro favore.

Questa mappa termica mostra le regioni e i paesi in cui la telemetria di Trend Micro ha rilevato la maggiore attività di minacce ransomware. Le cifre indicate nella mappa rappresentano minacce ransomware rilevate e bloccate dai nostri sensori. È importante notare che i cybercriminali non prendono di mira specificamente alcun paese o regione. Tuttavia, questi dati evidenziano le aree che dovrebbero adottare ulteriori precauzioni per rendere i sistemi aziendali più resilienti contro gli attacchi ransomware.