Non diventare il prossimo bersaglio — Trend Micro ti aiuta a fermare il ransomware
Il ransomware è un tipo di malware progettato per crittografare i dati di una vittima e richiedere un pagamento di riscatto in cambio della chiave di decrittazione. Ciò che rende il ransomware particolarmente distruttivo è la sua capacità di bloccare completamente l'accesso ai dati, spesso lasciando impossibile il ripristino senza backup recenti. Anche quando i riscatti vengono pagati, le vittime potrebbero non ricevere mai una chiave di lavoro.
Il ransomware si è evoluto in un modello di cybercrime-as-a-service noto come Ransomware-as-a-Service (RaaS) che ha ampliato la loro portata. Questo nuovo approccio consente agli sviluppatori di ransomware di noleggiare i propri strumenti ransomware alle affiliate, con conseguente aumento degli attacchi.
Ogni anno sono emersi più gruppi ransomware, ognuno con tattiche, obiettivi ed impatti distinti. Di seguito sono riportati 15 esempi di ransomware che evidenziano la diversità e l'evoluzione di questa minaccia informatica persistente
RansomHub è un gruppo Ransomware-as-a-Service (RaaS) rilevato per la prima volta nel febbraio 2024 e ha rapidamente guadagnato fama per la sua strategia di "caccia grossa", prendendo di mira le grandi imprese che hanno maggiori probabilità di pagare riscatti importanti. Tracciato da Trend Micro come Water Bakunawa, RansomHub è stato osservato mentre sfruttava vulnerabilità nei backup di storage cloud e istanze Amazon S3 non configurate correttamente, sfruttando la fiducia tra provider e clienti per potenziare le proprie tattiche estorsive.
Rhysida è un gruppo ransomware venuto alla luce all'inizio del 2023, che impiega una doppia tattica di estorsione: crittografando i dati delle vittime e minacciando di pubblicarli se non verrà pagato un riscatto in Bitcoin. Si mascherano come un team di cybersecurity che si offre di aiutare le vittime evidenziando i punti deboli della sicurezza nelle loro reti e nei loro sistemi. Utilizzeranno gli attacchi di phishing per ottenere l'accesso iniziale e il follow-up con i beacon Cobalt Strike per il movimento laterale nelle macchine compromesse prima di distribuire il loro ransomware.
Figura 1: Il ransomware RansomHub ha osservato la catena delle infezioni
Akira è emersa all'inizio del 2023 e si è rapidamente affermata come una delle famiglie di ransomware più famose. Akira utilizza tattiche a doppia estorsione, un modello di distribuzione ransomware-as-a-service (RaaS) e opzioni di pagamento non convenzionali, un approccio che ha contribuito al suo successo operativo. È noto che Akira richiede ingenti pagamenti di riscatto che possono variare da 200.000 a oltre 4 milioni di dollari.
L'attacco ransomware WannaCry nel maggio 2017 ha sfruttato una vulnerabilità di Microsoft Windows che ha infettato oltre 200.000 sistemi in oltre 150 paesi. Il malware ha crittografato i file e ha richiesto pagamenti di riscatto in Bitcoin per le chiavi di decrittografia. Una delle più grandi vittime dell'attacco WannaCry è stata il National Health Service (NHS) del Regno Unito, con oltre 70.000 dispositivi infettati e circa 19.000 appuntamenti o procedure mediche annullati.
Figura 2: Diagramma delle infezioni
Il ransomware Clop, a volte chiamato Cl0p, è attivo dal 2019 ed è noto per le sue tattiche di estorsione multilivello e gli attacchi di alto profilo, che hanno estorto oltre 500 milioni di dollari tra il 2019 e il 2021. Clop ha anche sfruttato le vulnerabilità in software ampiamente utilizzati, come File Transfer Appliance di Accellion, per massimizzare la sua portata.
8Base è un gruppo ransomware che funge da tester di penetrazione, ma in realtà prende di mira principalmente le piccole imprese. Utilizzano una strategia a doppia estorsione, crittografando i dati e minacciando di esporre informazioni sensibili, a meno che le vittime non paghino un riscatto. 8Base adotta una tattica di "name-and-shame" e sostiene di colpire esclusivamente le organizzazioni che hanno trascurato la privacy dei dati, con l'obiettivo di danneggiare la reputazione delle loro vittime esponendo informazioni riservate.
Il gruppo ransomware Trigona si è rapidamente evoluto rilasciando più versioni con funzionalità diverse, tra cui command-line arguments per la crittografia personalizzata. Hanno pubblicizzato in modo aggressivo quote di fatturato elevate dal 20% al 50% per gli affiliati, indicando un'operazione redditizia. Tuttavia, le loro attività sono cessate bruscamente nell'ottobre 2023 quando il loro sito di leak è stato smantellato, lasciando incerto il loro stato operativo.
Figura 3: Catena di infezione del ransomware Trigona
LockBit è un gruppo ransomware di spicco che opera su un modello Ransomware-as-a-Service (RaaS). Hanno rilasciato più versioni, tra cui LockBit 2.0 e 3.0, introducendo funzionalità come tattiche di doppia estorsione e metodi di crittografia personalizzati. Nel febbraio 2024, l'operazione Cronos, uno sforzo coordinato delle forze dell'ordine internazionali, ha interrotto significativamente le operazioni di LockBit, cogliendo la loro infrastruttura e arrestando i membri chiave. Nonostante queste battute d'arresto, LockBit rimane una minaccia significativa nel panorama dei ransomware.
BlackCat, noto anche come ALPHV o AlphaVM, è un sofisticato gruppo ransomware che opera su un modello Ransomware-as-a-Service (RaaS) dalla fine del 2021. Hanno preso di mira vari settori, tra cui finanza e servizi professionali, con un numero significativo di vittime negli Stati Uniti. BlackCat utilizza tecniche avanzate, come il malvertising e lo sfruttamento di vulnerabilità come Log4J, per ottenere l'accesso iniziale. Sono anche noti per il loro sito pubblico di data leak, che fa pressione sulle vittime affinché accettino le richieste di riscatto.
Ryuk è una variante ransomware collegata al gruppo di cybercriminali noto come Wizard Spider. Nel 2019, Ryuk ha richiesto riscatti fino a 12,5 milioni di dollari ed è stata responsabile di alcune delle maggiori richieste di riscatto di quell'anno, tra cui 5,3 milioni di dollari e 9,9 milioni di dollari. Le vittime appartenevano a vari settori, tra cui governo, sanità e media. Il gruppo è inoltre associato ad altri malware, come TrickBot ed Emotet, per facilitare le compromissioni iniziali del sistema.
Fonte: Malwarebytes
Black Basta è un gruppo ransomware che opera come ransomware-as-a-service (RaaS) e ha rapidamente guadagnato visibilità nel panorama dei ransomware prendendo di mira un'ampia gamma di settori e infrastrutture critiche in tutto il mondo. Il gruppo è stato osservato sfruttare vulnerabilità come QakBot, Brute Ratel e Cobalt Strike per infiltrarsi nelle reti ed esfiltrare dati sensibili.
Royal, un gruppo di ransomware attivo dall'inizio del 2022, ha rapidamente acquisito notorietà per le sue tattiche aggressive e per le elevate richieste di riscatto, che vanno da 250.000 a oltre 2 milioni di dollari. Royal utilizza metodi a doppia estorsione, crittografando ed esfiltrando i dati, e ha ampliato le sue operazioni fino a raggiungere i sistemi basati su Linux, compresi i server ESXi. Le loro vittime coprono vari settori, con una concentrazione significativa in Nord America.
Figura 5: Flusso di attacco dei ransomware Royal
Water Ouroboros, emerso nell'ottobre 2023, opera come un gruppo Ransomware-as-a-Service (RaaS), presumibilmente un'evoluzione del ransomware Hive dopo il suo blocco da parte dell'FBI nel gennaio 2023. Si concentrano più sul furto di dati che sulla crittografia, sfruttando le vulnerabilità, eseguendo il dumping delle credenziali e utilizzando malware avanzati scritti in linguaggi come Rust. I loro obiettivi principali includono Stati Uniti, Canada, Regno Unito, Francia, Germania e Italia.
Hive è un gruppo Ransomware-as-a-Service (RaaS) che è emerso nel 2021 e prende di mira vari settori a livello globale, tra cui sanità, finanza e produzione. Utilizzano tattiche a doppia estorsione, crittografano i dati e minacciano di divulgare informazioni sensibili a meno che non venga pagato un riscatto. Nel gennaio 2023, l'FBI ha interrotto le operazioni di Hive, ma il gruppo continua a operare con diversi alias.
L'anno scorso, l'83% delle aziende ha affrontato più violazioni per un costo di 4,4 milioni di dollari ciascuna, mentre la riduzione dell'esposizione al rischio ha portato a un risparmio medio di 1,3 milioni di dollari.
Cyber Risk Exposure Management, parte della nostra piattaforma di cybersecurity aziendale Trend Vision One™, riduce drasticamente il rischio informatico con rilevamento continuo, valutazioni in tempo reale e mitigazione automatizzata in ambienti cloud, ibridi o locali.
Related Research
Related Article