Attacco ransomware: non solo danni economici, ma anche conseguenze legali. Il caso Blackbaud

Blackbaud è un'gigante high tech statunitense, provider di servizi in cloud: ha clienti e svolge le proprie operazioni in tutto il mondo, ma il grosso dei clienti si concentra tra Stati Uniti, Regno Unito, Australia e Canada. 

Il 16 Luglio 2020 l'azienda ha subito un attacco ransomware i cui effetti hanno impattato i dati e i servizi di migliaia di clienti, comprese organizzazioni di carità e no profit, fondazioni, università e altre aziende dagli Usa al Canada fino all'Olanda. La società aveva dichiarato di essere riuscita ad impedire agli attaccanti di criptare completamente i sistemi, ma non prima che gli attaccanti fossero riusciti a mettere le mani su un sottoinsieme dei dati aziendali da un ambiente self-hosted. Per riportare in chiaro la porzione di file criptati, l'azienda ha optato per il pagamento del riscatto, una volta saputo però del furto dei dati: probabilmente il riscatto è stato pagato più per non far pubblicare i dati rubati che per riportare in chiaro quelli criptati. 

Le cause legali e le richieste di informazioni da parte delle Autorità Garanti
Se per la maggior parte delle aziende un attacco ransomware si conclude quando i dati sono tornati in chiaro e gli attaccanti sono stati espulsi dalla rete, la realtà è però ben diversa e il caso di Blackbaud lo dimostra. Sulla Blackbaud sono infatti piovute ben 23 class action da parte dei clienti. 

Emotet e Trickbot hanno un nuovo concorrente: anche il malware Buer debutta come distributore di ransomware

Analizzando alcune recentissime campagne di attacco del ransomware Ryuk, alcuni ricercatori di sicurezza hanno individuato in diffusione il malware Buer: Buer, conosciuto già dall'Agosto 2019, è in affitto nel dark web come malware-as-a-service, in dettaglio con la funzionalità di downloader. Nel dark web è conosciuto come Modular Buer Loader. 

Scopo principale è quello di fornire un primo punto di accesso ad una macchina target a successivi attaccanti, compromettendo sistemi Windows dei quali rivendono gli accessi ad altri gruppi di cyber attaccanti. E' esattamente quanto sta già avvenendo con TrickBot e Emotet i quali, oltre a rubare credenziali e dati sensibili, installano sulle macchine infette delle backdoor che poi vengono rivendute ad altri attaccanti, soprattutto gang ransomware: gli attaccanti ransomware quindi non devono occuparsi di cercare un punto di accesso ad una macchina violandone la sicurezza, ma sfruttano accessi già presenti.

La novità recente riguardo a Buer è che se fino a poco tempo fa era usato solo per distribuire malware bancari, oggi è usato anch'esso negli attacchi ransomware: il numero dei malware che collaborano con i ransomware quindi cresce e possiamo definitivamente parlare della triade Emotet, TrickBot e Buer. 

Qualche dettaglio tecnico

Prospettive: l'e-commerce è in crescita e resterà in voga anche ben oltre la pandemia

I profitti registrati da Amazon, dalle aziende di food delivery, ma anche da shop di piccole e medie dimensioni parlano chiaro da quasi un anno: la pandemia è stata una di quelle "crisi da sfruttare" per un settore che ha garantito alle persone di poter fare acquisti pur rinchiuse dentro casa o con forti limitazioni agli spostamenti. 

Il sondaggio pubblicato da IZI in collaborazione con Comin&Partners però ci permette di fare una riflessione mirata e specifica per l'Italia, entro un trend che comunque, come detto, è stato valido e riscontrato in tutto il mondo. A partire dal +20% registrato dal settore nel nostro paese dall'inizio della pandemia. 

Intanto un primo dato: delle oltre 1.000 persone intervistate tra il 6 e il 9 Ottobre 2020, quasi il 60% ha dichiarato che continuerà ad acquistare online anche al termine dell'emergenza. Il 68% si aspetta di eseguire online lo stesso volume di acquisti online che già effettua oggi, con particolare interesse nei settori libri (+29%), elettronica (+25%) e abbigliamento. Un dato notevole, se consideriamo anche che prima dell'emergenza oltre l'85% degli italiani acquistava vestiario solo in punti di vendita fisici e oggi, a meno di 10 mesi di distanza, questa percentuale si è contratta fino al 64%. 

Una buona notizia: il ransomware Maze cessa le operazioni

I ransomware sono più numerosi e sempre più complessi, nel funzionamento dell'attacco e nella gestione dell'estorsione ma, ogni tanto, ci sono anche buone notizie e quella di oggi è davvero una Buona Notizia: il temibile ransomware Maze, capofila delle nuove tecniche di estorsione a doppio riscatto (uno per la chiave di decriptazione e uno per non vedere pubblicati online i dati rubati) sta sospendendo le operazioni di attacco. 

Maze ha rivoluzionato il mondo dei ransomware
E' significativo che Maze stia sospendendo le operazioni non solo per il livello raggiunto (in termini di importanza delle vittime e di ammontare dei riscatti), ma anche perchè Maze ha apportato modifiche così sostanziali alla metodologia di attacco ransomware da averla, nei fatti rivoluzionata. Ad esempio, prima del debutto di Maze sulla scena del cybercrime  nessun gruppo di cybercriminali aveva mai concesso interviste e risposto alle domande poste dai ricercatori di sicurezza e dei giornalisti: tutto è cambiato nel Novembre 2019, quando i gestori di Maze hanno deciso di contattare le redazioni di una serie di riviste online specializzate in cybersecurity, BleepingComputer su tutte, per diffondere la notizia che, per la prima volta, il loro attacco alla Allied Universal non aveva solo comportato la criptazione dei dati, ma anche il loro furto. Per la prima volta cioè, un gruppo di attaccanti ha spiegato alla stampa il proprio attacco, mettendone anche a conoscenza il mondo. In quel caso, da Maze spiegavano che la scelta di contattare le redazioni e informare dell'attacco dipendeva dalla volontà di aumentare la pressione estorsiva contro un'azienda che si stava rifiutando di partecipare alle trattative e pagare il riscatto.

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT la scorsa settimana

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte? 

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano. 

I malware della settimana 23/10
Nel corso della scorsa settimana il CERT-AgID ha individuato e analizzato 22 campagne dannose ai danni di utenti italiani: 382 gli indicatori di compromissione (IoC) resi disponibili. Le famiglie di malware individuate in diffusione sono state 9, in dettaglio: