Nonostante lo scenario fosco, vogliamo aprire con una buona notizia: si registrano sempre più persone / soggetti che decidono di resistere agli estorsori e rifiutare il pagamento del riscatto una volta subita l'infezione ransomware, talvolta grazie alla presenza del backup talvolta per mero coraggio, anche e nonostante le minacce dei cyber attaccanti di pubblicare i dati rubati prima della criptazione dei dati. Il numero di vittime coraggiose è stato così importante da aver fatto registrare, nell'ultimo trimestre del 2020, un calo significativo della media dei pagamenti di riscatto rispetto al trimestre precedente.
Ma si sta presentando un fenomeno ancora più insidioso e pericoloso, ovvero quello di procedere alla distruzione dei file durante l'attacco, senza lasciare alle aziende alcuna possibilità di recuperarli anche pagando il riscatto.
Attacchi ransomware "data wiping"
L'ultimo trimestre del 2020, stando ai dati di Coveware (un'azienda che si occupa di sicurezza informatica e offre anche servizi di vera e propria contrattazione coi gruppi ransomware in corso di estorsione), ha mostrato un chiaro e costante aumento di segnalazioni su interi cluster di server e dati condivisi spazzati via, letteralmente, da attacchi ransomware.
Ora, come si sa, solitamente i ransomware mirano target specifici, soprattutto sistemi di backup, e tentano la criptazione su macchine di alto valore. In questi casi però gli attaccanti hanno lasciato dietro di sé terra bruciata, cancellando tutto: senza nulla da recuperare le vittime che hanno subito un data wiping di questo tipo hanno dovuto ricostruire da zero i propri sistemi. Certo, questo sistema deve necessariamente basarsi, per gli attaccanti, sull'esistenza di copie dei file disponibili in forma criptata, altrimenti le vittime non avrebbero alcune motivo per richiedere il tool di decriptazione pagando il riscatto. Va comunque detto che non tutte le cancellazioni di dati sono state volute: molti sono anche gli eventi ransomware che portano ad una accidentale distruzione dei dati, conseguente poi per alcune vittime in un prolungato stop delle attività.
Questi incidenti sono sicuramente conseguenza di attori meno qualificati ed inesperti che stanno piano piano invadendo la scena ransomware producendo malware disfunzionanti: il rischio, dicono da Coveware, è che questa tendenza si faccia sempre più importante nel corso di questo 2021. Tali attacchi infatti potrebbero essere conseguenza di operazioni ransomware con RaaS (ransomware as a service), dove non esiste alcuno standard o verifica rispetto a coloro che si affiliano ad un servizio ransomware, oppure ancora da singoli attori che operano in solitaria o con un piccolissimo gruppo di supporto.
Le richieste di riscatto si sono ridotte
Dopo l'impennata dell'ammontare del riscatto medio richiesto, in conseguenza della tendenza alla "doppia / tripla estorsione" introdotta dal gruppo ransomware Maze, si registra una riduzione forse inaspettata dell'ammontare dei riscatti richiesti. Per due interi anni svariati gruppi ransomware hanno deciso di aprire siti di leak dove pubblicare i dati rubati, a piccole dosi, chiedendo più riscatti (per non vedere pubblicati i dati rubati, per tornare in possesso dei file criptati ecc...) a seguito dello stesso attacco e sono state migliaia le vittime, di entità più o meno grande, che hanno ceduto e pagato il riscatto sulla mera parola degli aggressori non di pubblicare nulla.
Fonte: Coveware |
Sembra però che il potere ricattatorio di questa tipologia di estorsione si sia ridotto, dato che la richiesta media di riscatto è diminuita del 34% nel 4° trimestre del 2020:233.817 dollari USA nel 3° trimestre contro i 154.108 dell'ultimo trimestre. Per Coveware la drastica riduzione è da imputarsi all'aumentare del numero di vittime che hanno detto basta e hanno scelto di non pagare. Tutto questo va comunque visto alla luce dell'aumentare del numero di attacchi ransomware accompagnati da minaccia di leak dei dati: un aumento dal 50% al 70%. CoveWare fa anche sapere che le aziende fanno bene a non fidarsi della parola data dagli attaccanti: la tendenza che hanno riscontrato rispetto ai propri clienti è che praticamente mai i dati rubati vengono eliminati. Non solo: alcuni gruppi ransomware mentono spudoratamente riguardo alla riuscita esfiltrazione dei dati prima dell'avvio della routine di criptazione. Sono ormai molti i casi in cui si scopre che le "prove" di furto dati sono contraffatte e volte solo all'aggiungere ulteriore pressione ricattatoria sulla vittima e forzare il pagamento.
Insomma, non pagare un estorsione ransomware ha, come si può chiaramente vedere, un effetto benefico e vantaggioso per tutti: come abbiamo sempre ribadito, la sicurezza informatica deve vedere i singoli soggetti in prima linea, ma è un "prodotto" collettivo.
Qualche altro dato utile:
I dati rivelano anche che operazioni RaaS come Sodinokibi, Egregor, Ryuk dominano il mercato riuscendo a colpire vittime selezionate e "di peso" soprattutto con banali attacchi di pishing o violando le connessioni RDP compromesse.
Fonte: Coveware |
Nessun commento:
Posta un commento