What is Double Extortion Ransomware?

Originariamente, il ransomware utilizzava la minaccia della perdita di dati per indurre le sue vittime a pagare una richiesta di riscatto. Lo ha fatto crittografando i dati sui sistemi di un'organizzazione e quindi chiedendo un riscatto per fornire la chiave di decrittazione.

Tuttavia, l'efficacia di questa tecnica è limitata dal fatto che alcune organizzazioni possono ripristinare i propri dati dai backup senza pagare il riscatto. Il ransomware a doppia estorsione è progettato per superare questo ostacolo e aumentare la probabilità degli aggressori di ricevere un pagamento.

Richiedi una Demo Ransomware Prevention CISO Guide

COME FUNZIONA?

Un buon backup dei dati può sconfiggere il ransomware tradizionale. Se un'organizzazione dispone di un'altra copia dei propri dati, non è necessario pagare una chiave di decrittazione per ripristinarla.

Il ransomware a doppia estorsione supera questa sfida combinando il furto di dati con la crittografia dei dati. Rubando dati e minacciando di divulgarli se non viene pagato un riscatto, l'operatore del ransomware può estorcere con successo i riscatti anche se un'organizzazione dispone di backup e potrebbe altrimenti ripristinarli senza pagamento.

Sequenza di attacco del ransomware a doppia estorsione

Il ransomware a doppia estorsione aggiunge fasi aggiuntive alla catena di attacco di un'infezione ransomware e probabilmente include i seguenti passaggi:

  • Accesso iniziale: il malware ottiene l'accesso iniziale alla rete aziendale, probabilmente tramite una workstation dell'utente.
  • Movimento laterale: il malware si sposta attraverso la rete aziendale verso un obiettivo di valore più elevato, come un server di database.
  • Esfiltrazione dei dati: il ransomware esfiltra informazioni sensibili verso l'aggressore prima di eseguire operazioni di crittografia altamente visibili.
  • Crittografia dei dati: il malware crittografa i file sui sistemi infetti.
  • Richiesta di riscatto: il ransomware richiede un riscatto per decrittografare file o eliminare dati rubati.

Rischi e impatti potenziali

Un’infezione ransomware riuscita può essere estremamente dannosa per un’organizzazione. Alcuni degli impatti più comuni sono i seguenti:

  • Perdite finanziarie: il ransomware a doppia estorsione comporta diversi costi potenziali per l’azienda. Oltre al costo della riparazione dell'incidente, l'azienda potrebbe perdere vendite durante l'attacco e potrebbe dover pagare sanzioni legali e normative.
  • Danni alla reputazione: un attacco ransomware riuscito può causare danni alla reputazione e al marchio di un'organizzazione. La mancata protezione dei dati dei clienti e la possibilità di interruzione dei servizi a causa dell'attacco possono causare l'abbandono dei clienti o costringere l'azienda a pagare un risarcimento ai clienti interessati.
  • Perdita di dati: alcune forme di ransomware a doppia estorsione crittografano i dati oltre a rubarli. Anche se un'organizzazione paga il riscatto o dispone di backup, non tutti i dati potrebbero essere recuperati.
  • Sanzioni normative: un gruppo di ransomware che ruba dati sensibili costituisce una violazione dei dati segnalabile. Di conseguenza, un'organizzazione può essere tenuta a pagare sanzioni normative.

Esempi di ransomware a doppia estorsione

Molti gruppi di ransomware hanno adottato la metodologia della doppia estorsione. Alcuni dei più noti includono:

  • Labirinto: Il gruppo ransomware Maze è emerso nel 2020 e ha aperto la strada agli attacchi ransomware a doppia estorsione.
  • REvil: REvil è un gruppo di ransomware as a service (RaaS) rilevato per la prima volta nel 2019.
  • Lato Oscuro: DarkSide è un gruppo RaaS emerso nel 2020 ed è famoso per l'hacking di Colonial Pipeline.
  • Materia nera: BlackMatter è emerso nel 2021 e sostiene di succedere ai gruppi REvil e DarkSide, che non sono più operativi.
  • LockBit: LockBit è emerso nel 2019 ed è un RaaS che utilizza malware a diffusione automatica nei suoi attacchi.

Come prevenire gli attacchi ransomware a doppia estorsione

Alcune best practice di sicurezza informatica per proteggere l'organizzazione dagli attacchi ransomware includono quanto segue:

  • Formazione sulla consapevolezza della sicurezza informatica: molte varianti di ransomware utilizzano attacchi di ingegneria sociale, come il phishing, per ottenere l'accesso alla rete di un'organizzazione. Formare i dipendenti a identificare queste minacce e rispondere in modo appropriato riduce il rischio di un incidente.
  • Backup dei dati: sebbene il ransomware a doppia estorsione incorpori il furto di dati, può anche crittografare dati preziosi. I backup dei dati consentono a un'organizzazione di ripristinare i propri dati senza doverli crittografare.
  • Patching: alcune varianti di ransomware sfruttano le vulnerabilità del software per accedere e infettare i computer. L'applicazione tempestiva di patch e aggiornamenti può aiutare a colmare queste lacune di sicurezza prima che possano essere sfruttate.
  • Autenticazione utente forte: RDP e altri protocolli di accesso remoto sono comunemente utilizzati per infettare i sistemi aziendali con ransomware. L’implementazione dell’autenticazione forte, inclusa l’autenticazione a più fattori (MFA) , può aiutare a impedire agli aggressori di utilizzare credenziali compromesse per distribuire malware.
  • Segmentazione della rete: i gruppi ransomware dovranno spesso spostarsi lateralmente attraverso la rete di un'organizzazione dal punto di infezione iniziale fino ai sistemi di alto valore. La segmentazione della rete, che suddivide la rete in sezioni isolate, può aiutare a rilevare e prevenire questo movimento laterale.
  • Soluzioni anti-ransomware: la crittografia dei file del ransomware crea un modello di attività distintivo su un computer e molte varianti hanno firme note. Le soluzioni anti-ransomware possono identificare e bloccare o rimediare alle infezioni ransomware prima che causino danni significativi all'azienda.
  • threat intelligence: la conoscenza delle più recenti campagne di attacchi ransomware è preziosa per proteggersi da essi. L’integrazione dei feed threat intelligence con le soluzioni di sicurezza informatica consente loro di identificare e bloccare con maggiore precisione gli attacchi ransomware.

Prevenire gli attacchi ransomware con Check Point

Gli attacchi ransomware a doppia estorsione rappresentano una minaccia significativa per le aziende poiché possono sconfiggere i backup come difesa dal ransomware. Per saperne di più sulla difesa da questa minaccia, consulta la Guida CISO alla prevenzione del ransomware.

Il ransomware è una delle tante minacce informatiche che le organizzazioni devono affrontare, come dettagliato nel Cyber Security Report di Check Point. Check Point Harmony Endpoint offre una protezione efficace contro ransomware e altre minacce Endpoint Security . Per saperne di più sulla gestione delle minacce Endpoint Security per la tua azienda, iscriviti per una demo gratuita.

×
  Feedback
Questo sito web utilizza cookies per la sua funzionalità e per scopi di analisi e marketing. Continuando a utilizzare questo sito Web, accetti l'utilizzo dei cookies. Per ulteriori informazioni, leggere la nostra Informativacookies .
OK