Report sul ransomware di Zscaler: aumentano gli attacchi a “doppia estorsione”

Zscaler ha pubblicato il nuovo Ransomware Report , uno studio approfondito che analizza le delle principali tendenze che riguardano i ransomware, i dettagli sui più peridocolosi criminali informatici e i settori che pià di altri sono stati presi di mira. ThreatLabz , che è il team di ricerca di Zscaler si è occupato di analizzare oltre 150 miliardi di transazioni della piattaforma e 36,5 miliardi di attacchi bloccati tra novembre 2019 e gennaio 2021. Da questa mole di dati sono riuscita ad identificare le varianti ransomware emergenti, le loro origini e, soprattutto come bloccarle.Il report sul rasomware di Zscaler evidizia anche un crescente rischio da attacchi a “doppia estorsione”, che sono sempre più utilizzati dai criminali informatici che hanno come scopo quello di bloccare l’operatività delle aziende tenendo i dati in ostaggio per ottenere il pagamento di un riscatto.

“Negli ultimi anni, la minaccia ransomware è diventata sempre più pericolosa, con nuovi metodi come la doppia estorsione e gli attacchi DDoS che rendono facile per i criminali informatici sabotare le aziende e causare danni a lungo termine alla loro reputazione”, ha affermato Deepen Desai, CISO e Vice President of Security Research di Zscaler. “Il nostro team prevede che gli attacchi ransomware diventeranno sempre più mirati, concentrandosi sulle aziende che con più probabilità soddisferanno le richieste di riscatto. Abbiamo analizzato i recenti attacchi ransomware in cui i criminali informatici erano a conoscenza di informazioni riservate come la copertura assicurativa informatica delle vittime e di quali fossero i fornitori essenziali della supply chain, che sono poi stati presi di mira per i loro attacchi. È fondamentale per le aziende comprendere meglio i rischi posti dal ransomware affinché possano prendere le dovute precauzioni per evitare un attacco. Applicare sempre le patch alle vulnerabilità, educare i dipendenti a individuare le email sospette, eseguire regolarmente il backup dei dati, implementare una strategia di prevenzione della perdita di dati e utilizzare l’architettura zero trust per ridurre al minimo la superficie di attacco e prevenire i movimenti laterali: sono suggerimenti da mettere sempre in pratica”.

Ransomware Report Zscaler, ecco i settori più presi di mira dagli hacker

Secondo Zscaler ThreatLabZ, negli ultimi due anni diversi settori sono stati presi di mira da attacchi ransomware a doppia estorsione. I più colpiti sono stati quello manifatturiero (12.7%) e quello dei servizi (8.9%). A completare il podio io trasporti (8.8%) di poco distanziati dalla vendita al dettaglio e all’ingrosso (8.3%) e dalla tecnologia (8%).

ThreatLabz ha inoltre scovato sette “famiglie” di ransomware più attive rispetto alle altre. Il report analizza le origini e le tattiche dei seguenti cinque gruppi particolarmente attivi:

• Maze/Egregor: per la prima volta rilevato nel maggio 2019, Maze è stato il ransomware più comunemente usato per attacchi a doppia estorsione (con ben 273 incidenti) fino a quando non ha apparentemente cessato le operazioni nel novembre 2020. Gli aggressori hanno usato campagne  spam, kit exploit come Fallout e Spelevo e violazione dei servizi RDP per ottenere l’accesso ai sistemi e hanno raccolto con successo ingenti riscatti dopo aver crittografato e rubato file da aziende IT e tecnologiche. Le tre principali industrie prese di mira da Maze sono state l’high-tech (11,9%), il manifatturiero (10,7%) e i servizi (9,6%). Maze si è impegnato a non colpire le aziende sanitarie durante la pandemia di COVID-19.

• Conti: individuato a febbraio 2020 è la seconda famiglia più comune con 190 attacchi; Conti condivide il codice con il ransomware Ryuk e sembra esserne il suo successore. Utilizza l’API di gestione del riavvio di Windows prima di crittografare i file, cifrandone in questo modo un numero maggiore per avviare la doppia estorsione. Le vittime che non vogliono o non sono in grado di pagare il riscatto vedono i loro dati regolarmente pubblicati sul data leak website di Conti. I tre settori più colpiti sono il manifatturiero (12,4%), i servizi (9,6%) e i servizi di trasporto (9,0%).
• Doppelpaymer: osservato per la prima volta nel luglio 2019, conta 153 attacchi documentati. Doppelpaymer prende di mira diversi settori e spesso richiede pagamenti a sei o sette cifre. Il primo passo dell’attacco consiste nell’infettare i computer con un’email di spam che contiene un link o un allegato dannoso, grazie alla quale Doppelpaymer scarica poi il malware Emotet e Dridex nei sistemi infetti. I tre settori aziendali più bersagliati da Doppelpaymer sono stati il manifatturiero (15,1%), la vendita al dettaglio e all’ingrosso (9,9%) e la pubblica amministrazione (8,6%).
• Sodinokibi: noto anche come REvil e Sodin, Sodinokibi è stato individuato per la prima volta nell’aprile 2019, ed è stato individuato con sempre maggiore frequenza, annovera infatti 125 attacchi. Simile a Maze, Sodinokibi utilizza email di spam, kit di exploit e account RDP compromessi, oltre a sfruttare frequentemente le vulnerabilità in Oracle WebLogic. Sodinokibi ha iniziato a usare tattiche di doppia estorsione nel gennaio 2020 e ha avuto maggiore impatto sul settore dei trasporti (11,4%), manifatturiero (11,4%) e vendita al dettaglio/all’ingrosso (10,6%).
• DarkSide: DarkSide è stato individuato per la prima volta nell’agosto 2020 dopo la pubblicazione di un comunicato stampa in cui pubblicizzava i suoi servizi. Utilizzando un modello di “Ransomware-as-a-Service“, DarkSide impiega metodi a doppia estorsione per rubare e crittografare le informazioni. Il gruppo ha reso noto il suo manifesto d’azione pubblicandolo sul suo sito web, specificando di non attaccare aziende sanitarie, servizi funebri, strutture educative, organizzazioni non-profit o enti governativi. Rientrano invece tra i suoi obiettivi primari i servizi (16,7%), la produzione (13,9%) e i servizi di trasporto (13,9%). Analogamente a quanto accade con Conti, le aziende che non possono pagare il riscatto vedono i loro dati pubblicati sul data leak website di DarkSide.

Chi fosse interessato a una lettura più approfondita del report lo può trovare gratuitamente al seguente link

LEGGI ANCHE: Zscaler migliora l’approccio “Zero Trust” della sua Zero Trust Exchange Platform