mercoledì 17 luglio 2019

I ransomware Ryuk e Sodinokibi fanno lievitare le richieste di riscatto


L'ammontare medio dei riscatti richiesti dopo un attacco ransomware è quasi raddoppiato nel secondo trimestre di quest'anno: i dati indicano che gran parte della responsabilità risiede nei ransomware Ryuk e Sodinokibi

Di questi due malware abbiamo parlato abbondantemente: hanno registrato un consistente incremento dell'attività e bersagliano sia target privati che organizzazioni pubbliche.  E' ovvio che colpire organizzazioni e aziende rende molto più probabile riuscire ad ottenere il pagamento di riscatti molto alti rispetto a colpire utenti home. E il motivo non è soltanto il fatto che le aziende necessitano più urgentemente di rientrare in possesso dei propri file, ma anche che lo stallo operativo conseguente ad un attacco di questo tipo comporta ulteriori costi economici e reputazionali. 

Il duopolio  di Ryuk e Sodinokibi
Coveware, azienda che si occupa di gestione attacchi ransomware, ha pubblicato due giorni fa dati piuttosto eloquenti: nel secondo trimestre del 2019 l'ammontare medio del pagamento di un riscatto ha subito un boom del 184%, finendo attorno ai 36.000 dollari. Nel trimestre precedente la media si fermava a 12.700.

"I dati non fanno altro che riflettere e ribadire il duopolio dei ransomware Ryuk e Sodinokibi, il nuovo duopolio del mercato dei ransomware che si è "instaurato" dopo la cessazione di attività di GandCrab" commenta Alessandro Papini, Presidente di Accademia Italiana Privacy e esperto di sicurezza IT "I dati di Coveware sono interessanti anche da un altro punto di vista, che ribadisce quanto i rischi conseguenti ad un attacco ransomware non siano solo legati ai dati illeggibili: il tempo di fermo conseguente ad un attacco di questo tipo, ovvero il periodo nel quale un'azienda non può riprendere le normali operazioni di business a causa del down dei sistemi, è aumentato da 7 a quasi 10 giorni. Immaginate quindi il danno economico e reputazionale di un'azienda che rimane ferma, bloccata, per 10 giorni"

L'attacco di Sodinokibi contro gli MSP
La causa principale di questo cambiamento, e questa è opinione diffusa nel mondo dei ricercatori di sicurezza, è da vedersi nell'attacco che Sodinokibi ha portato contro tre Manged Service Provider (MSP): i MSP sono soggetti che forniscono servizi online di vario genere attraverso un sistema di abbonamenti. Gli autori del ransomware hanno usato tali servizi, che ovviamente hanno funzionalità di controllo da remoto sulle infrastrutture dei clienti, per diffondere il Sodinokibi. 


Ryuk è invece quel malware che si sta contraddistinguendo ormai da due mesi perchè ha colpito e compromesso le reti di alcune amministrazioni pubbliche negli Stati Uniti, raccogliendo riscatti di grande entità da enti incapaci di risolvere l'infezione e ripristinare velocemente i servizi. 


"E' dovuto specificare un passaggio importante del report di Coveware" continua Papini "le vittime di questi due ransomware sono soltanto il 3.4% di tutte le vittime di ransomware di questi ultimi tre mesi: un target piuttosto ridotto. Eppure l'incremento dei riscatto ottenuti è preoccupante. Questa è una indicazione non di poco conto: i ransomware "di punta" abbandonano la diffusione di massa per colpire pochi target specifici, dai quali è però possibile estorcere maggiori somme. Meno attacchi ma più mirati e devastanti per più guadagno"



La maggior parte delle aziende cede al ricatto
Infine Coveware registra incontrovertibilmente come ad oggi le aziende non siano pronte né in grado di fronteggiare attacchi ransomware. Il report indica che il 96% delle aziende colpite da attacchi ransomware ha ceduto al ricatto dei cyber attaccanti e ha pagato il riscatto sperando di ottenere il tool di decriptazione. Su questo "il servizio" offerto da Ryuk e Sodinokibi è molto "efficiente": in entrambi i casi i cyber attaccanti decriptano gratuitamente un file alla vittima, così da provare l'efficacia del tool. Una volta pagato il riscatto, nel caso di Ryuk la vittima ottiene il decryptor entro due - tre ore dal pagamento, mentre Sodinokibi ha addirittura un sito web TOR automatizzato che consente il pagamento e la ricezione automatica del tool.  

Il problema di questo modo di affrontare un attacco ransomware, sconsigliato sia dai ricercatori che dalle forze dell'ordine, è che si incoraggia e incrementa il modello di business dei malware: gli attacchi possono quindi farsi più frequenti. 

1 commento:

  1. Good Post. The attack of this newbie threat, Sodinokibi Ransomware , may be avoided by following good security practices & being cautious while using common internet services such as e-mails, torrent websites & peer-to-peer networks. After all, prevention is better than letting the hackers extort your hard-earned money.

    RispondiElimina