Giacomo Lanzi
Ransomware a doppia estorsione: Cosa sono e come difendersi
Estimated reading time: 8 minuti
Cercando di alzare la posta in gioco e guadagnare più soldi con il ransomware, i criminali informatici utilizzano sempre più spesso una tattica nota come ransomware a doppia estorsione. Non solo criptano i dati e chiedono un riscatto alla vittima per riottenere l’accesso. Minacciano anche di caricarli online se le loro condizioni non vengono soddisfatte.
Facciamo un passo indietro, il ransomware è uno dei tipi più comuni di minaccia informatica. Prende di mira un’azienda ogni 14 secondi ed è costato $11,5 miliardi solo nel 2019. In genere, gli hacker che effettuano questi attacchi violano un sistema per rubare i dati e cancellarli se la vittima non paga un riscatto.
Perché gli hacker prediligono i ransomware a doppia estorsione?
L’ascesa del ransomware a doppia estorsione dimostra che i criminali informatici espandono costantemente il loro arsenale. Paolo Passeri, direttore di cyber intelligence della ditta di software Netskope, dice che questi attacchi sono diventati popolari perché sono il modo più semplice per gli hacker di guadagnare.
Dice Passeri: “Con gli attacchi ransomware a doppia estorsione, anche se è disponibile un backup, gli aggressori possono mettere più pressione sulla vittima per pagare il riscatto. La maggiore pressione deriva dalle potenziali gravi conseguenze di una fuga di dati, per esempio danni economici e di reputazione. Gruppi come REvil sono ancora più creativi: non fanno semplicemente trapelare i dati, li monetizzano mettendoli all’asta sul dark web e mettendo ancora più pressione sulle loro vittime.”
Quando conducono un attacco ransomware a doppia estorsione, gli hacker cominciano a dedicare più tempo alla strategia generale. Passeri avverte che i truffatori non stanno più adottando un approccio opportunistico. Stanno, invece, selezionando attentamente il loro obiettivo e il metodo di attacco per aumentare il denaro che guadagnano dai riscatti. Spiega: “gli attori della minaccia selezionano le loro vittime, scegliendo organizzazioni i cui affari possono essere colpiti da una fuga di dati“.
Lo spear phishing è il mezzo principale per distribuire ransomware a doppia estorsione, ma i criminali informatici stanno anche sfruttando le vulnerabilità nei dispositivi on-premises come i concentratori VPN. “Negli ultimi mesi, quasi tutte le principali tecnologie VPN hanno subito gravi vulnerabilità che sono state sfruttate per attacchi simili”, dice Passeri.
“Questo è spiacevole, data la situazione attuale con telelavoro forzato dove queste tecnologie di accesso remoto giocano un ruolo cruciale nel garantire la continuità aziendale durante il Covid-19. Questi sistemi sono direttamente esposti a Internet, quindi gli attori della minaccia possono scansionarli e successivamente sfruttare qualsiasi vulnerabilità scoperta”.
Rischi del Doxing: la diffusione dei dati privati
Il ransomware a doppia estorsione fornisce ai criminali informatici maggiori opportunità, permettendo loro di estorcere due volte alle vittime. Possono chiedere un primo pagamento per decriptare i file e un secondo per non renderli pubblici.
Questa tecnica, conosciuta anche come doxing, è stata usata da un numero crescente di gruppi ransomware nell’ultimo anno. Le conseguenze del doxing sono più gravi per la vittima, quindi spesso si abbassano alle richieste. Questo significa più soldi nelle tasche dei criminali informatici per finanziare nuovi ceppi di ransomware e sostenere altre attività criminali.
I miglioramenti nel malware e gli incentivi finanziari per gli hacker hanno portato alla crescita degli attacchi ransomware a doppia estorsione. In passato il ransomware criptava i file e gli hacker rubavano i dati, ma era raro fare entrambe le cose.
Ora abbiamo bot che possono scansionare il web alla ricerca di dati non protetti, rubarli, criptarli o cancellarli e lasciare una nota di riscatto per il proprietario, il tutto in un unico attacco automatizzato. L’hacker può poi riscuotere un riscatto per i dati e vendere i dati ad altri criminali, facendo il doppio gioco con il minimo sforzo.
Una tattica aggressiva
Nell’ultimo anno c’è stato un afflusso di attacchi ransomware a doppia estorsione. Gli hacker hanno guadagnato trazione alla fine del 2019 quando dei gruppi di alto profilo come Maze hanno iniziato a sfruttare aggressivamente questa tattica.
In questi casi particolarmente aggressivi, l’hacker estraeva una copia dei dati prima di criptarli. In questo modo l’aggressore non solo impedisce alla vittima di accedere ai suoi dati, ma tiene anche una copia dei dati per sé.
Per rivendicare la responsabilità e fare pressione sulla vittima durante il processo di negoziazione, l’attaccante spesso rilasciava piccole porzioni di dati online. Se le trattative si bloccano o falliscono, l’aggressore pubblica tutti i dati sottratti o li vende a terzi. Questo crea una significativa violazione nei confronti della vittima.
Cosa fare
Per difendersi da questi attacchi, ci sono diversi passi che le aziende dovrebbero fare. Per esempio, mantenere i sistemi aggiornati per garantire che le vulnerabilità conosciute siano risolte. È anche imperativo che le organizzazioni abbiano un approccio di sicurezza a più livelli che includa l’uso di strumenti di prevenzione della perdita di dati. Un esempio è il servizio offerto da SOD Acronis Cyber Protect Cloud. Il sistema può fermare l’estrazione o la cifratura dei dati che dà inizio a questi attacchi di doppia estorsione.
Ma cosa possono fare le organizzazioni se non riescono a mitigare con successo uno di questi attacchi?
Le organizzazioni dovrebbero cercare di includere un’ultima linea di difesa che isoli e fermi immediatamente la crittografia illegittima. Questo mitiga il rischio quando la sicurezza tradizionale basata sulla prevenzione è stata compromessa o bypassata. Anche i processi di backup robusti, comprese le copie off-line (air-gap backup), dovrebbero essere presi in considerazione per rendere più difficile ai criminali criptare o disabilitare gli archivi di dati critici.
Conseguenze
Se un’organizzazione diventa vittima di un attacco ransomware a doppia estorsione, ci sono spesso conseguenze disastrose. I gruppi di criminali sono sempre più sfacciati, anche i nomi distopici come Maze, Netwalker e REvil, sono un indice di questa inclinazione. Il loro orgoglio li porta a mostrare i dati esfiltrati come trofei online e sponsorizzare persino concorsi clandestini di hacking per mostrare il loro malware. In una sorta di cyber show-off.
Per le vittime le conseguenze possono essere devastanti. Travelex, un servizio di cambio valuta, è andato in amministrazione controllata con la perdita di 1.300 posti di lavoro nel Regno Unito a seguito di un attacco ransomware. Durante il colpo, la cyber gang REvil ha chiesto all’azienda di pagare 6 milioni di dollari in 48 ore. L’azienda ha dovuto fare i conti con la minaccia di pubblicazione dei dati della carta di credito, dei numeri di assicurazione nazionale e delle date di nascita dei suoi clienti.
Chiaramente è fondamentale che le aziende facciano tutto il possibile per identificare e fermare questi attacchi prima che causino danni maggiori. Prevenire questi attacchi in modo proattivo è molto meglio che mitigarne gli effetti, con tutti i costi finanziari e i danni alla reputazione che comportano.
La maggior parte degli aggressori ottiene l’accesso attraverso un errore umano. Per questo, insieme a misure tecniche come la gestione interna dell’accesso ai dati e il back-up, l’addestramento del personale e la vigilanza sono elementi chiave nelle difese di un’organizzazione.
Le vittime hanno essenzialmente due scelte, entrambe costose: se si rifiutano di pagare, affrontano una catastrofica violazione di dati con esposizione a dolorose multe normative e richieste civili; se pagano il riscatto, non hanno comunque alcuna garanzia di restituzione dei dati.
Gestire i ransomware a doppia estorsione
Anche se essere colpiti da un ransomware può infliggere un duro colpo a qualsiasi azienda, le compagnie dovrebbero essere prudenti quando viene chiesto loro di pagare un riscatto. Farlo potrebbe comportare rischi ancora maggiori. Non c’è certezza che questi hacker non chiederanno altri soldi senza rilasciare comunque i dati.
È importante per le aziende mettere in sicurezza le loro reti e condurre test di simulazione per mitigare la minaccia del ransomware. Tali attacchi simulati aiuteranno ad evidenziare le vulnerabilità all’interno dell’organizzazione senza il rischio di affrontare seri problemi finanziari e di dover rispondere a domande molto difficili da parte dei clienti.
Implementare forti misure di resilienza è il modo migliore per prevenire il ransomware a doppia estorsione. Il ransomware è spesso un’infezione secondaria. Gli attori delle minacce cercano di sfruttare le vulnerabilità conosciute, in particolare in relazione ai protocolli di accesso remoto e alle applicazioni che sono fondamentali per lavorare da casa.
Critico per mitigare tutto ciò, è assicurarsi che le vulnerabilità vengano patchate in modo tempestivo e che i log dei dati di rete vengano monitorati per rilevare qualsiasi attività insolita o esfiltrazione di dati. C’è quindi una potenziale finestra di opportunità per rimediare a qualsiasi infezione primaria (che precede il ransomware) e quindi impedire che si sviluppi il processo per la richiesta di riscatto.
Educazione
Le organizzazioni devono educare il personale sui rischi del ransomware a doppia estorsione e su come viene eseguito. Anche gli utenti individuali possono essere di grande aiuto essendo consapevoli del potenziale degli allegati non sicuri. Dovrebbero, inoltre, essere prudenti nel cliccare qualsiasi link e-mail ricevuto in qualsiasi comunicazione, in particolare con la recente ricomparsa di Emotet, un malware noto.
Ci sono due strategie di difesa per affrontare il ransomware a doppia estorsione. Innanzi tutto, backup robusti, per assicurarsi di non avere le mani legate se gli hacker ottengono il controllo dei dati. Poi, la crittografia, per assicurarsi che se un aggressore minaccia di esporre i dati, anche questo sia protetto.
Questi approcci dovrebbero poi essere incorporati in una strategia più ampia: un attento monitoraggio della rete che potrebbe permettere di tagliare fuori gli aggressori, e la promozione dell’educazione informatica dei dipendenti a non cadere vittima di attacchi di phishing che spesso sono la causa principale di un incidente ransomware.
La minaccia del ransomware a doppia estorsione è innegabile, con i criminali informatici che prendono attentamente di mira e creano questi attacchi nel tentativo di aumentare le dimensioni dei riscatti.
Spesso le organizzazioni pensano di non avere altra scelta che pagare il riscatto per evitare la fuga di dati sensibili. Ma in realtà si tratta di un gioco di roulette russa e le informazioni rubate possono ancora farsi strada online. Quindi l’attenzione deve concentrarsi sulla prevenzione e sulla mitigazione del rischio.
Condividi
RSS
Piu’ articoli…
- Introduzione a Lockbit e all’IOC (Indicator of Compromise)
- Comprendere gli approcci di Penetration Testing: Gray Box, Black Box e White Box
- SOC esterno
- Cos’è il Ghost Broking e come la Cyber Threat Intelligence può aiutare a prevenirlo
- EDR (Endpoint Detection and Response)
- Unificare la piattaforma per la threat detection
- L’importanza del monitoring ICT
- I benefici SOAR: semplificare indagine e risposta
Categorie …
- Backup as a Service (24)
- Acronis Cloud Backup (18)
- Veeam Cloud Connect (3)
- Cloud CRM (1)
- Cloud Server/VPS (23)
- Conferenza Cloud (4)
- Log Management (2)
- Monitoraggio ICT (4)
- Novita' (15)
- ownCloud (7)
- Privacy (8)
- Secure Online Desktop (14)
- Security (163)
- Cyber Threat Intelligence (CTI) (6)
- Ethical Phishing (8)
- Penetration Test (6)
- SOCaaS (52)
- Vulnerabilita' (83)
- Web Hosting (15)
Tags
CSIRT
- La Settimana Cibernetica del 19 marzo 2023 Marzo 20, 2023Scarica il riepilogo delle notizie pubblicate dallo CSIRT Italia dal 13 al 19 marzo 2023.
- Rilevate vulnerabilità nei modem Samsung Exynos
(AL01/230317/CSIRT-ITA) Marzo 17, 2023Ricercatori di sicurezza hanno rilevato 18 vulnerabilità 0-day, di cui 4 con gravità “critica”, nei modem Exynos prodotti da Samsung Semiconductor e utilizzati in smartphone, wearable e autoveicoli. Le vulnerabilità critiche, sfruttabili attraverso le funzionalità Wi-Fi calling e Voice-over-LTE (VoLTE), permettono l’esecuzione di codice da remoto sui dispositivi senza alcuna interazione da parte dell'utente.
- Rilevato sfruttamento in rete della CVE-2023-23397 in Microsoft Outlook
(BL01/230317/CSIRT-ITA) Marzo 17, 2023Rilevato lo sfruttamento attivo in rete della vulnerabilità 0-day identificata tramite la CVE-2023-23397 – già sanata dal vendor nel Patch Tuesday di marzo – presente nel noto client di posta elettronica Microsoft Outlook.
- Aggiornamenti DRUPAL
(AL01/230316/CSIRT-ITA) Marzo 16, 2023Aggiornamenti di sicurezza risolvono 3 vulnerabilità in Drupal Core.
- Vulnerabilità Zoom
(AL04/230315/CSIRT-ITA) Marzo 15, 2023Rilevate alcune vulnerabilità con gravità “alta” nel noto software di videoconferenza Zoom.
- Aggiornamenti di sicurezza per prodotti Mozilla
(AL03/230315/CSIRT-ITA) - Aggiornamento Marzo 15, 2023Mozilla ha rilasciato aggiornamenti di sicurezza per sanare molteplici vulnerabilità, di cui 7 con gravità “alta”, nei prodotti Firefox, Firefox ESR e Thunderbird.
- Adobe rilascia aggiornamenti per sanare diverse vulnerabilità
(AL02/230315/CSIRT-ITA) - Aggiornamento Marzo 15, 2023Adobe ha rilasciato aggiornamenti di sicurezza per risolvere vulnerabilità nei prodotti Commerce, Illustrator, Dimension, Creative Cloud, Substance 3D Stager, Photoshop e ColdFusion.
- Aggiornamenti Mensili Microsoft
(AL01/230315/CSIRT-ITA) Marzo 15, 2023Microsoft ha rilasciato gli aggiornamenti di sicurezza mensili che risolvono un totale di 80 nuove vulnerabilità, 2 di tipo 0-day.
- Aggiornamenti per prodotti Siemens
(AL03/230314/CSIRT-ITA) Marzo 14, 2023Siemens ha rilasciato aggiornamenti di sicurezza per correggere molteplici vulnerabilità nei propri prodotti, di cui 4 con gravità "critica".
- Vulnerabilità in prodotti Schneider Electric
(AL02/230314/CSIRT-ITA) Marzo 14, 2023Sanate nuove vulnerabilità presenti in alcuni prodotti – anche SCADA – di Schneider Electric, di cui una con gravità “critica”
Dark Reading
- How CISOs Can Work With the CFO to Get the Best Security Budget Marzo 17, 2023CISOs can and should push back when they're presented with budget costs that affect the business. Here's how.
- Microsoft Azure Warns on Killnet's Growing DDoS Onslaught Against Healthcare Marzo 17, 2023DDoS cyberattack campaigns from the pro-Russian group have spiked significantly.
- Prancer Announces Integration With ChatGPT for Enhanced Security Assessments Marzo 17, 2023
- Microsoft Outlook Vulnerability Could Be 2023's 'It' Bug Marzo 17, 2023Snowballing PoC exploits for CVE-2023-23397 and a massive attack surface means almost business user could be a victim.
- Technology Firms Delivering Much-Sought Encryption-in-Use Marzo 17, 2023If the approaches stand up to scrutiny, companies may soon be able to encrypt most databases in a way that allows using data without needing to decrypt to plaintext.
- Low-Budget 'Winter Vivern' APT Awakens After 2-Year Hibernation Marzo 17, 2023The "underreported" APT has returned to focus after attacks promoting Russian and Belarusian government interests and going after targets with humor, zest, and scrappiness.
- The Ethics of Network and Security Monitoring Marzo 17, 2023The chances of getting hacked are no longer low. Companies need to rethink their data collection and monitoring strategies to protect employee privacy and corporate integrity.
- Meta Proposes Revamped Approach to Online Kill Chain Frameworks Marzo 17, 2023A more holistic model beyond MITRE et al is needed to help defenders better identify and understand commonalities in different online threat campaigns, the Facebook parent company says.
- Leveraging Behavioral Analysis to Catch Living-Off-the-Land Attacks Marzo 16, 2023Attackers are increasingly staying under the radar by using your own tools against you. Only behavioral AI can catch these stealthy attacks.
- $3B Crypto-Mixer Money Laundering Operation Seized by Cops Marzo 16, 2023The 'ChipMixer' cryptocurrency service for cybercriminals was shut down by law enforcement, and its alleged operator has been charged.
Full Disclosure
- Defense in depth -- the Microsoft way (part 83): instead to fix even their most stupid mistaskes, they spill barrels of snakeoil to cover them (or just leave them as-is) Marzo 17, 2023Posted by Stefan Kanthak on Mar 16Hi @ll, with Windows 2000, Microsoft virtualised the [HKEY_CLASSES_ROOT] registry branch: what was just an alias for [HKEY_LOCAL_MACHINE\SOFTWARE\Classes] before became the overlay of [HKEY_LOCAL_MACHINE\SOFTWARE\Classes] and [HKEY_CURRENT_USER\Software\Classes] with the latter having precedence: Note: while [HKEY_LOCAL_MACHINE\SOFTWARE\Classes] is writable only by...
- [CFP] Security BSides Ljubljana 0x7E7 | June 16, 2023 Marzo 17, 2023Posted by Andraz Sraka on Mar 16MMMMMMMMMMMMMMMMNmddmNMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM MMN..-..--+MMNy:...-.-/yNMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM MMy..ymd-.:Mm::-:osyo-..-mMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM MM:..---.:dM/..+NNyyMN/..:MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM Mm../dds.-oy.-.dMh--mMds++MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM My:::::/ydMmo..-hMMMmo//omMs/+Mm+++++shNMN+//+//+oMNy+///ohM MMMs//yMNo+hMh---m:-:hy+sMN..+Mo..os+.-:Ny--ossssdN-.:yyo+mM...
- Full Disclosure - Fastly Marzo 12, 2023Posted by Andrey Stoykov on Mar 11Correspondence from Fastly declined to comment regarding new discovered vulnerabilities within their website. Poor practices regarding password changes. 1. Reset user password 2. Access link sent 3. Temporary password sent plaintext // HTTP POST request POST /user/mwebsec%40gmail.com/password/request_reset HTTP/2 Host: api.fastly.com User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:108.0) Gecko/20100101 […]
- Full Disclosure - Shopify Application Marzo 12, 2023Posted by Andrey Stoykov on Mar 11Correspondence from Shopify declined to comment regarding new discovered vulnerabilities within their website. Although 'frontend' vulnerabilities are considered out of scope, person/tester foundhimself a beefy bugbounty from the same page that has been listed below, including similar functionality that has not been tested yet. Two emails and several reports, […]
- [CVE-2023-25355/25356] No fix available - vulnerabilities in CoreDial sipXcom sipXopenfire Marzo 7, 2023Posted by Systems Research Group via Fulldisclosure on Mar 06
- SEC Consult SA-20230306-0 :: Multiple Vulnerabilities in Arris DG3450 Cable Gateway Marzo 7, 2023Posted by SEC Consult Vulnerability Lab, Research via Fulldisclosure on Mar 06SEC Consult Vulnerability Lab Security Advisory < 20230306-0 > ======================================================================= title: Multiple Vulnerabilities product: Arris DG3450 Cable Gateway vulnerable version: AR01.02.056.18_041520_711.NCS.10 fixed version: - CVE number: CVE-2023-27571, CVE-2023-27572 impact: medium homepage: https://www.commscope.com...
- OpenBSD overflow Marzo 7, 2023Posted by Erg Noor on Mar 06Hi, Fun OpenBSD bug. ip_dooptions() will allow IPOPT_SSRR with optlen = 2. save_rte() will set isr_nhops to very large value, which will cause overflow in next ip_srcroute() call. More info is here https://github.com/fuzzingrf/openbsd_tcpip_overflow/ -erg
- SEC Consult SA-20230228-0 :: OS Command Injectionin Barracuda CloudGen WAN Marzo 3, 2023Posted by SEC Consult Vulnerability Lab, Research via Fulldisclosure on Mar 02SEC Consult Vulnerability Lab Security Advisory < 20230228-0 > ======================================================================= title: OS Command Injection product: Barracuda CloudGen WAN vulnerable version: < v8.* hotfix 1089 fixed version: v8.* with hotfix webui-sdwan-1089-8.3.1-174141891 or above version 9.0.0 or above CVE number: CVE-2023-26213...
- SRP on Windows 11 Marzo 3, 2023Posted by Andy Ful on Mar 02The correction to: Full Disclosure: Defense in depth -- the Microsoft way (part 82): INVALID/BOGUS AppLocker rules disable SAFER on Windows 11 22H2 (seclists.org) The Kanthak correction to restore SRP functionality on Windows 11 ver. 22H2, works only when Smart App Control is OFF. If it is in Evaluate […]
- NetBSD overflow Marzo 3, 2023Posted by Erg Noor on Mar 02Hi, Trivial overflow in hfslib_reada_node_offset, while loop has no range checks. |size_t hfslib_reada_node_offsets(void* in_bytes, uint16_t* out_offset_array) { void* ptr; if (in_bytes == NULL || out_offset_array == NULL) return 0; ptr = in_bytes; out_offset_array--; do { out_offset_array++; *out_offset_array = be16tohp(&ptr); } while (*out_offset_array != (uint16_t)14); return ((uint8_t*)ptr - (uint8_t*)in_bytes); }| […]
Customers
Twitter FEED
Recent activity
-
SecureOnlineDesktop
Estimated reading time: 6 minutes L'impatto crescente delle minacce informatiche, su sistemi operativi privati op… https://t.co/FimxTS4o9G
-
SecureOnlineDesktop
Estimated reading time: 6 minutes The growing impact of cyber threats, on private or corporate operating systems… https://t.co/y6G6RYA9n1
-
SecureOnlineDesktop
Tempo di lettura stimato: 6 minuti Today we are talking about the CTI update of our services. Data security is… https://t.co/YAZkn7iFqa
-
SecureOnlineDesktop
Estimated reading time: 6 minutes Il tema della sicurezza delle informazioni è di grande attualità in questo peri… https://t.co/tfve5Kzr09
-
SecureOnlineDesktop
Estimated reading time: 6 minutes The issue of information security is very topical in this historical period ch… https://t.co/TP8gvdRcrF
Newsletter
Prodotti e Soluzioni
Collaborazioni
Modelli Cloud
News
- Introduzione a Lockbit e all’IOC (Indicator of Compromise) Febbraio 6, 2023
- Comprendere gli approcci di Penetration Testing: Gray Box, Black Box e White Box Gennaio 30, 2023
- SOC esterno Gennaio 26, 2023
- Cos’è il Ghost Broking e come la Cyber Threat Intelligence può aiutare a prevenirlo Gennaio 23, 2023
- EDR (Endpoint Detection and Response) Gennaio 5, 2023
Recensioni Google
Contatti
Copyright © 2011 Secure Online Desktop s.r.l. All Rights Reserved.
VAT: 07485920966 “Cloud Computing services - Software cloud - Cloud server - VPS” Terms of ServicePrivacy Policy
ISO Certifications