Il ransomware in azione: l'evoluzione delle tecniche di sfruttamento delle vulnerabilità e l'obiettivo degli attacchi zero-day
Analisi riassuntiva
Confrontando il 1° trimestre 2022 con lo stesso periodo del 2023, si nota una preoccupante svolta nelle tecniche degli attacchi se si guarda allo scenario del ransomware con un crescente abuso delle vulnerabilità zero-day e one-day osservato nell'ultimo semestre, che ha portato ad un aumento di aziende coinvolte pari al 143%.
I gruppi di ransomware ora puntano sempre più all'esfiltrazione di file, che è diventata la fonte principale di estorsione, come è stato osservato nel recente sfruttamento di GoAnywhere e MOVEit.
Dalla ricerca di Akamai, è emerso come le vittime di più gruppi di ransomware hanno più di 6 probabilità di subire un altro attacco nei tre mesi successivi all'attacco iniziale
I gruppi di ransomware, come CL0P, stanno perseguendo in modo aggressivo l'individuazione e lo sviluppo delle vulnerabilità zero-day in-house. Questa strategia si è dimostrata efficace con il gruppo CL0P che ha visto crescere di 9 volte il numero delle sue vittime dal 1° trimestre del 2022 allo stesso periodo del 2023.
- LockBit domina la scena del ransomware, sferrando i suoi attacchi al 39% delle aziende (1.091 in totale), ossia più del triplo rispetto al numero di vittime del secondo gruppo di ransomware, che è cresciuto in modo significativo vista l'assenza del gruppo classificatosi in precedenza al vertice (il gruppo Conti), che ha visto crescere del 92% il numero delle sue vittime dal 4° trimestre del 2022 al 1° trimestre del 2023.
Secondo il nostro ultimo rapporto sullo stato di Internet (SOTI), in uno scenario del ransomware in continua evoluzione, in cui i criminali cercano di superare le capacità di difesa delle loro vittime, i gruppi di ransomware stanno cambiando le proprie tecniche di attacco passando dal phishing ad una maggiore attenzione verso l'abuso delle vulnerabilità zero-day . L'abuso delle vulnerabilità è cresciuto considerevolmente in portata e complessità, come abbiamo esaminato in modo dettagliato nei nostri rapporti del 2022, come nel rapporto dal titolo Sfruttare le falle nella sicurezza.
Inoltre, i gruppi di ransomware sono diventati più aggressivi nei loro metodi di estorsione e di sfruttamento delle vulnerabilità, come ad esempio tramite lo sviluppo in-house di attacchi zero-day e programmi bug bounty. I gruppi di ransomware sono disposti a pagare, se hanno l'opportunità di ottenere un guadagno finanziario, anche altri hacker per individuare le vulnerabilità presenti nei loro software o per acquisire l'accesso agli obiettivi prefissati tramite gli IAB (Initial Access Broker).
I criminali cambiano marcia per guadagnare un vantaggio competitivo
I criminali stanno cambiando anche le loro tattiche per generare maggiori profitti. La loro strategia risulta più efficace poiché i criminali si stanno spostando dalla loro iniziale tattica di estorsione (la crittografia) focalizzandosi maggiormente sul furto di dati per guadagnare un vantaggio sulle organizzazioni che si basano sui loro backup.
In tal modo, i criminali possono ricorrere ad altre tattiche di estorsione perseguitando, ad esempio, i clienti o i partner delle loro vittime tramite e-mail o telefono per costringerli ad incoraggiare le vittime a pagare il riscatto richiesto (Figura 1). Tra le tecniche di attacco emergenti, figurano anche le e-mail di phishing contenenti nuovi tipi di payload in cui i criminali abbandonano l'utilizzo di macro, l'uso di credenziali rubate e compromessi di tipo drive-by.
Figura 1. Panoramica sulla kill chain del ransomware, incluse alcune nuove tattiche di estorsione
Una panoramica sulle attività dei principali gruppi di ransomware
Dalla nostra analisi trimestrale, emergono cambiamenti significativi nei principali gruppi di ransomware (Figura 2). Anche se LockBit domina ancora la scena del ransomware, CL0P è salito al secondo posto in classifica nel 1° trimestre del 2023 con un significativo balzo in avanti dal 10° posto nel 4° trimestre del 2022, il che potrebbe essere attribuito allo sfruttamento da parte di CL0P di una serie di vulnerabilità zero-day come punti di accesso.
Inoltre, abbiamo osservato che i gruppi di ransomware hanno perlopiù incrementato le loro attività dall'inizio dell'anno, determinando una notevole crescita nel numero delle loro vittime, mentre altri gruppi si sono attestati al 4° posto in classifica, come nel caso di ALPHV e Royal.
Figura 2. L'enorme balzo in avanti da parte di CL0P può essere attribuito al suo sfruttamento di una serie di vulnerabilità zero-day come punti di accesso
Come figurano gli IAB nei modelli aziendali RaaS?
È interessante notare anche come si continua ad osservare un livello di specializzazione in alcuni gruppi di criminali che agiscono principalmente come IAB. Questi gruppi di cybercriminali sono responsabili della vendita dell'accesso alle reti aziendali agli autori degli attacchi di ransomware e ad altri gruppi,
facendo abbassare il livello di competenze richieste e riducendo il tempo necessario per lanciare gli attacchi contro gli obiettivi prefissati. La soluzione RaaS (Ransomware-as-a-Service) insieme all'espansione dei modelli di estorsione ha determinato la riuscita di un maggior numero di campagne di attacchi.
I dati rubati in ostaggio
Abbiamo osservato il passaggio dalla crittografia tradizionale all'ostaggio dei dati rubati. I criminali informano persino i clienti delle vittime sul fatto di aver rubato i loro dati, incoraggiandoli a chiedere all'azienda presa di mira di pagare il riscatto richiesto. In tal modo, viene esercitata un'ulteriore pressione sull'organizzazione presa di mira per spingerla a pagare quanto richiesto.
Inoltre, abbiamo osservato alcuni criminali integrare anche un attacco DDoS (Distributed Denial-of-Service) per sbaragliare i sistemi di difesa della vittima.
Nessun obiettivo è troppo piccolo
Per quanto riguarda il fatturato delle vittime, abbiamo notato come per le organizzazioni più piccole il rischio di subire attacchi di ransomware sia elevato, con oltre il 60% delle vittime analizzate che rientrano nella fascia di reddito più bassa (fino a 50 milioni di dollari USA), il che dimostra come i criminali riescano a sferrare i loro attacchi anche contro questo tipo di organizzazioni.
Tuttavia, non dimentichiamo che un numero significativo (12%) di vittime si trova nella categoria di reddito più alta (almeno 501 milioni di dollari USA).
I settori più importanti sono ad alto rischio
In termini di ripartizione dei settori industriali, per quelli più importanti, come il settore manifatturiero, il rischio di subire attacchi di ransomware è elevato (Figura 3). Questo rischio maggiore deriva dalla moltitudine di programmi software commerciali ormai obsoleti o legacy che sono implementati nei vari siti di produzione e della supply chain, tra cui apparecchiature operative, sensori e altri endpoint connessi, dalle auto connesse agli impianti chimici.
Questo rischio elevato è emerso anche dai nostri risultati in cui il numero delle aziende manifatturiere coinvolte è cresciuto del 42% tra il 4° trimestre del 2021 e lo stesso periodo del 2022.
Figura 3. Il settore manifatturiero rimane il principale mercato verticale con il maggior numero di aziende che hanno subito attacchi di ransomware
Gli importanti regolamenti dell'OFAC
Secondo i regolamenti applicati dall'OFAC (Office of Foreign Assets Control) del Dipartimento del Tesoro americano, può risultare illegale pagare un riscatto ad alcuni singoli o enti. Le organizzazioni che ignorano le varie potenziali conseguenze degli attacchi ransomware e del furto di dati potrebbero prendere la difficile decisione di violare i regolamenti dell'OFAC se scelgono di pagare un riscatto.
Suggerimenti
Nel nostro rapporto SOTI vengono forniti suggerimenti suddivisi per le varie fasi di un attacco. Di seguito sono elencate alcune raccomandazioni di carattere generale:
Comprendete bene la vostra superficie di attacco
Implementate rigorosi processi/playbook
Monitorate il traffico in uscita per individuare gli indicatori di compromissione (IOC)
Assicuratevi che il vostro team legale sia sempre aggiornato sulle nuove normative
Applicate patch, seguite corsi di formazione e proteggetevi
Innanzitutto, cercate di comprendere bene la vostra superficie di attacco (e di minimizzarla, se possibile). Per le API fittizie, i sistemi legacy e i sistemi interni che non vengono monitorati o segmentati, il rischio di subire attacchi è elevato.
In secondo luogo, implementate rigorosi processi/playbook che sono stati verificati con esercizi come il red teaming. Se desiderate utilizzare gruppi come CL0P per guidare il mito del red team, potete sfruttare le tecniche MITRE : non dimenticate di guardare il navigatore per immagini eccellenti.
Poi, assicuratevi di monitorare il traffico in uscita per individuare gli IoC. Il vostro scopo è rilevare i dati esfiltrati e le comunicazioni C2 (Command and Control).
Quindi, assicuratevi che il vostro team legale sia sempre aggiornato sulle nuove normative relative ai ransomware per rendere il vostro piano conforme e completo.
Infine, tenete presente che gli elementi basilari sono sempre fondamentali: l'applicazione delle patch, la formazione dei dipendenti e la protezione dei backup rimangono comunque importanti. Potete anche consultare la CISA (Cybersecurity & Infrastructure Security Agency) e l' ISAC (Information Sharing and Analysis Center) per informazioni sulle best practice.
Non abbassate la guardia
L'informazione che mi ha creato maggiori problemi è stata la consapevolezza di non poter mai abbassare la guardia dopo aver subito un'intrusione. Un attacco DDoS può nascondersi sotto varie forme e può essere seguito da un altro attacco ransomware mentre voi cercate di gestire o di riprendervi da un attacco.
Scopri di più
Oltre ai risultati globali, il rapporto SOTI completo include le tendenze osservate nel ransomware a livello locale: in Asia-Pacifico e Giappone (APJ) in Europa, Medio Oriente e Africa (EMEA). Inoltre, per ulteriori informazioni, tenetevi aggiornati sulla nostra ultima ricerca consultando il nostro Security Research Hub.
