Aumentano i ransomware contro l’industria del gaming

Ott 03, 2023 Marina Londei Approfondimenti, Attacchi, Campagne malware, In evidenza, RSS 0

---

Il settore del gaming sta vivendo un’impennata di attacchi ransomware: la grande quantità di informazioni sensibili dei clienti, le transazioni finanziare e le operazioni interconnesse hanno resto questo settore uno dei più interessanti per il cybercrimine.

Secondo un report di ThreatLabz di Zscaler, dall’inizio dell’anno gli attacchi ransomware contro il settore sono aumentati del 37% rispetto all’anno precedente, con un costo medio che ha raggiunto i 5.3 milioni di dollari.

Il team di sicurezza di Zscaler ha approfondito il fenomeno, sottolineando che le tattiche di ingegneria sociale hanno avuto un ruolo centrale negli attacchi. Queste tattiche si stanno orientando sempre di più verso le comunicazioni telefoniche invece delle email: gli utenti sono meno ferrati sugli attacchi di spam telefonici rispetto a quelli basati su email, e quindi più esposti ai rischi.

Ransomware contro il settore del gaming: UNC3944

Uno dei gruppi ransomware più attivi nel mondo del gaming è UNC3944, conosciuto anche come Scattered Spider, Muddled Libra, Oktapus o Scatter Wine. Attivo da maggio 2022, il gruppo è formato da giovani adulti provenienti dagli Stati Uniti e dal Regno Unito. UNC3944 ha condotto numerosi attacchi contro i casinò e di recente è diventato un affiliato del gruppo dietro il ransomware BlackCat.

Inizialmente il gruppo conduceva campagne contro il settore delle telecomunicazioni, usando tecniche come il SIM swap, la multi-factor authentication fatigue e lo smishing. Le ultime attività di UNC3944 riflettono i trend del cybercrimine dell’ultimo anno: il gruppo ha sfruttato il modello del ransomware-as-a-service per condurre i propri attacchi e ha usato spesso tecniche di ingegneria sociale per rubare le credenziali delle vittime e accedere ai sistemi.

Gli attacchi ransomware del gruppo hanno usato la tecnica della double extortion: UNC3944 non solo ha cifrato i dati, ma ha anche minacciato di pubblicarli se la vittima non avesse pagato il riscatto. Questa tecnica è diventata una delle più redditizie, tanto che molti gruppi hanno smesso di cifrare i dati e si concentrano solo sul sottrarli; inoltre, poiché i dati non vengono compromessi, le attività di business non vengono interrotte e i criminali possono agire pressoché indisturbati.

Difendersi dagli attacchi

Tutti gli attacchi ransomware, non solo nel settore del gaming, seguono sequenze di attività simili. Per individuare il prima possibile questi attacchi e contrastarli è importante conoscere  il modo in cui si svolgono.

La prima fase è quella di ricognizione: durante questo step, gli attaccanti cercano di raccogliere quante più informazioni possibile sulla vittima, tra le quali le applicazioni in uso, le vulnerabilità dell’infrastruttura e dove risiedono le informazioni sensibili. Per contrastare queste attività le organizzazioni devono rimuovere tutte le appliance vulnerabili, proteggere le applicazioni chiave dietro un proxy, mantenere aggiornati i dispositivi e sistemare eventuali configurazioni errate.

La seconda fase è quella di compromissione, durante la quale avviene l’accesso vero e proprio ai sistemi. Gli attaccanti usano tecniche come il phishing, brute force o lo sfruttamento di una vulnerabilità per accedere all’infrastruttura aziendale. Le difese contro queste attività richiedono un’ispezione del traffico in entrata e uscite, controlli di sicurezza multilivello e un controllo degli accessi più restrittivo.

In seguito c’è la fase del movimento laterale: l‘attaccante è già entrato nei sistemi e cerca di fare escalation dei privilegi o di infettare altri dispositivi. In questo caso è indispensabile seguire strategie zero-trust per minimizzare gli accessi alle applicazioni e massimizzare la microsegmentazione, permettendo agli utenti di connettersi solo a un’applicazione per volta.

L’ultima fase è quella del furto di dati: l’attaccante è riuscito a localizzare e accedere alle informazioni sensibili ed è pronto a inviarle al server C2. In questo caso occorre analizzare il traffico in uscita – compresi i canali cifrati – e applicare delle policy per impedire il trasferimento di dati.

Per proteggersi dal rischio di ransomware le organizzazioni devono lavorare per minimizzare la superficie d’attacco e applicare soluzioni di Threat Detection & Response per identificare il prima possibile le minacce. Per garantire in ogni momento un livello elevato di protezione, le imprese devono condurre audit periodici per valutare il rispetto degli standard di sicurezza e assicurarsi di seguire le best practice del settore.

Visto il largo uso delle tecniche di phishing, è fondamentale prevedere dei programmi di training per i propri dipendenti per istruirli sulle minacce più recenti e le tecniche di attacco più diffuse, fornendogli gli strumenti e la conoscenza per contrastarle.

L’industria del gaming rimarrà uno dei target preferiti dai gruppi ransomware per via dell’enorme volume di dati di valore processato ogni giorno. Nonostante i progressi della cybersecurity, gli attaccanti si evolvono rapidamente e migliorano le proprie tecniche, quindi il livello d’allerta deve rimanere alto in ogni settore.

---

• double extortion, ingegneria sociale, Phishing, Ransomware, settore gaming, UNC3944

---

---