Vi serve il cloud computing? Iniziate subito

Che cos'è il ransomware BlackCat?

Il ransomware BlackCat, anche noto come ransomware Noberus o ALPHV, è un tipo di malware creato da un gruppo di criminali di lingua russa. Si ritiene che vari membri di questo gruppo siano stati collegati ad altri due gruppi di ransomware (DarkSide e BlackMatter), che ora non esistono più. Fin dalla sua prima apparizione nel 2021, BlackCat è diventata una delle forme di ransomware più attive. Si ritiene che una nuova variante, denominata "Sphynx", sia in grado di operare persino con un maggior livello di velocità ed efficienza. Il ransomware BlackCat è scritto nel linguaggio di programmazione Rust ed è più difficile da rimuovere rispetto ad altri tipi di attacchi ransomware. Tra le vittime del ransomware BlackCat, figurano aziende che operano nel settore manifatturiero, edilizia, energia, sanità, tecnologia e retail.

Come funziona il ransomware BlackCat?

I criminali che utilizzano il ransomware BlackCat ottengono l'accesso iniziale agli ambienti IT e agli account degli utenti desiderati in vari modi, tra cui tramite RDP (Remote Desktop Protocol), violazione di credenziali e vulnerabilità di Exchange Server. Alcuni criminali utilizzano gli annunci pubblicitari di Google per promuovere falsi download di software popolari; in tal modo, quando gli utenti fanno clic su un collegamento, scaricano il malware anziché il software legittimo. Una volta che il payload del malware ha infettato i dispositivi presenti in una rete, i criminali informatici lo usano per crittografare i file e i dati che si trovano su server e su singoli computer, così gli utenti non possono accedervi. I gruppi BlackCat sono anche in grado di esfiltrare i dati sensibili prima di crittografarli, minacciando di renderli visibili se non viene pagato il riscatto richiesto.

In che cosa si differenzia BlackCat da altre forme di ransomware?

La famiglia di ransomware BlackCat si differenzia da altri tipi di ransomware per svariati motivi.

  • RaaS (Ransomware-as-a-Service). BlackCat funziona su un modello RaaS (Ransomware-as-a-Service), in cui gli autori del malware consentono ad altri gruppi di utilizzarlo, ricevendo in cambio una percentuale del riscatto.
  • Profitti superiori. Gli hacker che si nascondono dietro BlackCat offrono profitti dell'80% - 90% ai criminali affiliati che utilizzano il software (una percentuale superiore rispetto al 70% che viene offerto solitamente).
  • Nuovo linguaggio di programmazione. BlackCat è il primo attacco ransomware scritto in Rust, un linguaggio di programmazione rapido, stabile e sicuro che può essere eseguito su sistemi Windows e su sistemi di altro tipo come Linux e sulle macchine virtuali nelle istanze di VMware. Ad oggi, poche forme di malware hanno colpito i sistemi basati su Linux, pertanto i team addetti alla sicurezza che gestiscono gli ambienti basati su Linux possono risultare meno pronti a rispondere a questo tipo devastante di attacco informatico. Poiché molte soluzioni per la sicurezza sono meno efficaci nell'analizzare le minacce scritte in Rust e in altri linguaggi di programmazione moderni, BlackCat risulta più difficile da riconoscere e mitigare per alcuni strumenti di sicurezza.
  • Possibilità di personalizzazione. Gli operatori di BlackCat possono personalizzare il ransomware per farlo funzionare in vari sistemi operativi, fornendo così una gamma più ampia di possibili obiettivi. Gli operatori possono scegliere tra diversi algoritmi di crittografia, personalizzare la nota del riscatto, specificare i file da ignorare e scegliere specifici servizi e processi da interrompere.
  • Triplice minaccia. I criminali che utilizzano BlackCat spesso impiegano tattiche di tripla estorsione, richiedendo un riscatto per decrittografare i file infetti, evitare di pubblicare i dati rubati e impedire di sferrare un attacco DoS (Denial-of-Service) o DDoS (Distributed Denial-of-Service) contro la vittima designata.
  • Siti pubblici per la fuga di dati. Il gruppo che si nasconde dietro BlackCat ha creato un sito web sull'Internet pubblico, in cui si è verificata una fuga di dati in seguito ad attacchi riusciti. In tal modo, è migliorata la visibilità sulle operazioni del ransomware BlackCat tra i criminali informatici e le vittime sono diventate più inclini ad arrendersi all'estorsione e a pagare il riscatto richiesto.

Quali sono i segnali che indicano un attacco da parte del ransomware BlackCat?

Sono vari i segnali che indicano che un attacco ransomware sta utilizzando il malware BlackCat. Tra gli indicatori di compromissione (IOC), figurano le firme degli hash dei file, gli indirizzi IP CnC (Command and Control) e specifici domini pubblicati dall'FBI e da altri tipi di analisi. Gli attacchi BlackCat, di solito, utilizzano una nota di riscatto univoca o personalizzata, che può includere un collegamento ad un sito web Tor contenente una prova dei dati esfiltrati e sequestrati in precedenza. BlackCat, inoltre, aggiunge estensioni univoche e casuali ai file crittografati in ogni campagna e crea un file denominato "RECOVER-<random>-NOTES.txt" in ogni directory che contiene i file sequestrati.

Qual è il modo migliore per prevenire un attacco da parte del ransomware BlackCat?

Gli stessi metodi e controlli utilizzati per prevenire altri tipi di crimini informatici e attacchi ransomware possono risultare efficaci contro gli attacchi BlackCat.

  • Microsegmentazione. Limitando rigorosamente l'accesso alle singole risorse IT o a piccoli sottosegmenti di una rete, la microsegmentazione definita dal software può prevenire il tipo di movimento laterale che è essenziale per sferrare gli attacchi ransomware.
  • Formazione sulla consapevolezza della sicurezza. Educare i dipendenti è una parte fondamentale per la prevenzione degli attacchi ransomware. La formazione sulla consapevolezza deve includere le best practice per la sicurezza, nonché i modi con cui è possibile riconoscere le e-mail di phishing e altre tecniche comuni per la distribuzione dei ransomware.
  • Crittografia. Tramite la crittografia, le organizzazioni possono impedire agli autori di attacchi ransomware di rubare i dati sensibili e renderli visibili.
  • Solido controllo delle identità e degli accessi. Implementando password complesse e solide tecniche come l' autenticazione multifattore, le organizzazioni possono limitare rigorosamente gli utenti in grado di visualizzare o modificare i dati, riducendo il rischio o l'ambito di un'infezione causata dal ransomware BlackCat.
  • Backup. Eseguire regolarmente il backup dei dati consente alle organizzazioni di riprendersi rapidamente da un'infezione causata da un ransomware senza dover pagare un riscatto o perdere i file in modo permanente. Le copie di backup devono essere archiviate in un posto sicuro che non è connesso ai computer o alla rete per impedire l'infezione di queste posizioni di archiviazione.
  • Ottimizzazione della frequenza di applicazione delle patch. Installare regolarmente aggiornamenti e patch di sicurezza può aiutare a risolvere le vulnerabilità presenti nell'hardware, nelle applicazioni e nelle API di cui i criminali potrebbero altrimenti trarre vantaggio.
  • Monitoraggio continuo. Gli amministratori di rete devono monitorare continuamente il traffico in entrata e in uscita per individuare schemi insoliti che potrebbero indicare un'infezione causata da un ransomware o altri tipi di attacchi informatici.
  • Sicurezza degli endpoint. I servizi di sicurezza degli endpoint forniscono una protezione a livello di dispositivo in grado di riconoscere e bloccare gli attacchi.
  • Servizi cloud sicuri. Al momento di scegliere un provider di servizi cloud, le organizzazioni devono assicurarsi che i team addetti alla sicurezza siano a conoscenza del modello di responsabilità condivisa solitamente presente in molti servizi cloud e che il provider scelto sia conforme alle normative in materia di qualità e agli standard noti, come il PCI DSS o la certificazione FedRAMP.
  • Protezione dalla fuga di dati (DLP). Le soluzioni DLP offrono una classificazione granulare dei dati in base al loro grado di sensibilità e possono avvisare i team addetti alla sicurezza in tempo reale quando si verificano potenziali problemi causati da un ransomware o episodi di esfiltrazione di dati.

Domande frequenti (FAQ)

Il ransomware è un tipo di software dannoso o malware. Una volta scaricato su un server o nel computer di un utente, il ransomware crittografa i file presenti sul dispositivo, impedendone l'accesso e rendendo i file inutilizzabili finché non venga pagato il riscatto richiesto. Alcune versioni di ransomware come REvil e WannaCry hanno causato alcuni degli attacchi informatici più grandi e devastanti mai registrati. Il ransomware si può diffondere tramite i file Trojan allegati ad un'e-mail che sembra legittima, ma che, in realtà, contiene un programma malware. È possibile usare anche botnet , come la potente botnet Meris, per propagare il ransomware o individuare eventuali vulnerabilità che possono essere sfruttate dai gruppi di ransomware.

Il RaaS (Ransomware-as-a-Service) è un tipo di modello aziendale in cui gli autori e gli operatori del ransomware noleggiano il proprio software a gruppi criminali o eseguono attacchi per conto di altri criminali informatici. Il modello RaaS consente ai criminali che non dispongono di competenze o risorse specifiche per realizzare un proprio ransomware di sferrare comunque attacchi devastanti contro singoli e organizzazioni.

Il Rust è un linguaggio di programmazione informatico simile ai linguaggi C e C++, che privilegia l'importanza della sicurezza del codice con metodi non utilizzati da altri linguaggi. Il Rust, inoltre, offre performance ottimali nell'elaborazione di grandi quantità di dati, fornisce assistenza per la programmazione simultanea e fornisce un compilatore altamente efficace.

Perché i clienti scelgono Akamai

Akamai è l'azienda di cybersecurity e cloud computing che abilita e protegge il business online. Le nostre soluzioni di sicurezza leader del settore, la nostra innovativa intelligence sulle minacce e il nostro team operativo su scala globale forniscono una difesa approfondita in grado di proteggere i dati e le applicazioni aziendali ovunque. Le soluzioni complete di cloud computing offerte da Akamai assicurano performance elevate e notevoli risparmi, grazie alla piattaforma più distribuita al mondo. Le maggiori aziende internazionali si affidano ad Akamai per ottenere la protezione, la scalabilità e le competenze leader del settore di cui hanno bisogno per far crescere la loro attività senza rischi.

Scoprite tutte le soluzioni per la sicurezza di Akamai