I diversi tipi di ransomware

La marea crescente di attacchi a ransomware

Il ransomware esiste da decenni, ma negli ultimi anni la minaccia di ransomware è cresciuta in modo drammatico. L'epidemia di ransomware WannaCry nel 2017 ha dimostrato che il ransomware è un vettore di attacco redditizio, e la creazione di criptovalute come il Bitcoin ha reso più facile per gli aggressori chiedere e ricevere il pagamento del riscatto.

La pandemia ha anche contribuito all'aumento del ransomware, in quanto i criminali informatici hanno approfittato dell'aumento del lavoro a distanza e della maggiore importanza delle organizzazioni sanitarie. Mentre il lavoro da remoto diventa parte del business as usual, la pandemia di ransomware continua a crescere.

Capire la minaccia del ransomware

Il ransomware è una minaccia in evoluzione per la sicurezza aziendale. Le campagne ransomware originali erano relativamente semplici. Il malware è stato consegnato via e-mail o sfruttando una vulnerabilità del software e ha crittografato i file sulle macchine infette. Se il riscatto veniva pagato, gli aggressori fornivano un software di decriptazione che permetteva alla vittima di ripristinare le normali operazioni.

Negli ultimi anni, le campagne ransomware si sono evolute rapidamente. Un cambiamento importante riguarda i vettori di infezione utilizzati. Il ransomware ora prende di mira soprattutto le soluzioni di accesso remoto, sfruttando le vulnerabilità delle VPN o utilizzando le credenziali compromesse dei dipendenti per accedere tramite RDP.

Anche le tecniche utilizzate dagli operatori di ransomware per costringere le vittime a pagare il riscatto sono cambiate. La possibilità di ripristinare dai backup neutralizza l'impatto della crittografia dei dati, quindi il ransomware si è esteso anche al furto di dati. I moderni operatori di ransomware minacciano di far trapelare i dati rubati se non viene pagato un riscatto dalla vittima e, in alcuni casi, dai suoi clienti. Alcuni gruppi di ransomware utilizzano anche la minaccia di attacchi Distributed Denial of Service (DDoS) come incentivo per soddisfare le loro richieste.

Infine, la minaccia ransomware si è evoluta grazie alla specializzazione dei ruoli e alla creazione del modello Ransomware as a Service (RaaS) per gli attacchi. Invece di un singolo gruppo che sviluppa il malware, infetta le organizzazioni e raccoglie i riscatti, gli autori del ransomware ora distribuiscono il loro malware agli "affiliati" per utilizzarlo nei loro attacchi. RaaS fornisce agli affiliati l'accesso al malware avanzato e consente agli autori di ransomware di scalare le loro campagne, aumentando la minaccia del ransomware.

Le principali varianti di ransomware

Il successo del ransomware ha spinto molti gruppi di criminalità informatica a sviluppare le proprie varianti. Alcune delle varianti di ransomware più prolifiche e famose includono:

• REvil: REvil, noto anche come Sodinokibi, era famoso per essere una delle varianti di ransomware con le richieste più alte. REvil ha improvvisamente cessato l'attività nel luglio 2021 dopo un famoso attacco a Kaseya.
• LockBit: Il ransomware LockBit è una variante RaaS che è emersa per la prima volta nel settembre 2019, quando è stato chiamato ransomware ABCD (per via del suo .abcd estensione del file). Nel luglio 2021, LockBit ha infettato Accenturerubando i dati interni e criptando i server che poi sono stati ripristinati dai backup. WannaCry: WannaCry è la variante di ransomware che ha dato il via alla recente ondata di attacchi ransomware. La variante originale di WannaCry utilizzava EternalBlue, un exploit sviluppato dall'NSA e divulgato da ShadowBrokers, per diffondersi attraverso versioni vulnerabili di SMB di Windows.
• Conti - Conti è un gruppo di ransomware-as-a-service (RaaS), che consente agli affiliati di affittare l'accesso a Infrastruttura IT per lanciare attacchi. Gli esperti del settore hanno detto che Conti ha sede in Russia e potrebbe avere legami con l'intelligence russa.
• Ryuk: Ryuk è una variante di ransomware molto mirata che richiede riscatti elevati alle sue vittime. Nel luglio 2021, il pagamento medio del riscatto di Ryuk era di 691.800 dollari.
• CryptoLocker: CryptoLocker è una variante di ransomware precoce che ha operato principalmente da settembre 2013 a maggio 2014. Operazione Tovar, che ha abbattuto la rete bot Gameover ZeuS, ha in gran parte ucciso questa variante di ransomware.
• Petya: Petya è una famiglia di varianti di ransomware. A differenza della maggior parte dei ransomware, queste varianti criptano il Master Boot Record (MBR) piuttosto che i singoli file.
• Locky: Locky è una variante di ransomware che ha iniziato a diffondersi nel 2016. È stato utilizzato da diverse bande di criminali informatici e ha ispirato altre varianti di ransomware.
• Coniglio cattivo: Bad Rabbit era una variante di ransomware di breve durata che è attribuito a BlackEnergy, i creatori di NotPetya. A differenza di NotPetya, che era un wiper mascherato da ransomware, il pagamento del riscatto di Bad Rabbit ha permesso di recuperare i file criptati.
• DarkSide: DarkSide è un gruppo di ransomware ormai defunto, famoso soprattutto per l'attacco a Colonial Pipeline nel maggio 2021. Si ritiene che il gruppo operi ora con il nome di BlackMatter.
• CaroCry: DearCry è una variante di ransomware sviluppata dal gruppo HAFNIUM per sfruttare le vulnerabilità di Microsoft Exchange segnalate nel marzo 2021.

Proteggersi da ransomware con Check Point

L'ampia varietà di varianti di ransomware e di vettori d'attacco può rendere difficile difendersi da e rimuoverli. La protezione contro un vettore di attacco ransomware potrebbe non fornire alcuna sicurezza contro un altro.

Check Point Harmony Endpoint Protection Offre capacità di rilevamento e prevenzione del ransomware leader di mercato, secondo il Valutazione di MITRE Engenuity ATT&CK. Per saperne di più sulla pandemia di ransomware e su altre tendenze delle minacce informatiche, si consiglia di consultare il sito Rapporto 2021 cyber attack Trends. È anche il benvenuto a si iscriva alla provagratuita per vedere di persona le capacità di prevenzione del ransomware di Harmony Endpoint.