Le tecniche dei criminali per estorcere denaro

Mar 11, 2022 Trend Micro Ransomware: La serie 0

Il ransomware è un flagello che sta colpendo le aziende di tutto il mondo. Questa forma di malware ha come obiettivo finale quello di ottenere un riscatto dalla vittima per poter sbloccare i dati o evitare che vengano diffusi in rete.

Se il concetto di ransomware è ormai ben noto a tutti, non lo è altrettanto il fatto che negli ultimi tempi questo fenomeno si è evoluto.

Come sottolinea Gastone Nencini, Country Manager di Trend Micro Italia, “Si è evoluto sia nelle tipologie di attacco, sia nelle modalità di riscatto. Se prima infatti veniva richiesto per fornire la chiave per decriptare i dati, si è poi aggiunta una seconda richiesta di riscatto per evitare che questi dati vengano pubblicati in rete. Abbiamo poi visto un ulteriore aggiunta che è la minaccia, in caso di mancato pagamento, di attacchi di DDoS (Distributed Denial of Service), soprattutto nei confronti di siti di eCommerce, per impedire loro di lavorare. C’è anche un ulteriore step, che ci mostra il livello di chi sta dietro a queste operazioni criminali, cioè la minaccia di chiedere un riscatto direttamente all’utente di cui sono stati rubati i dati”.

I cybercriminali costringono l’azienda a pagare per riavere i dati, per non avere un danno di immagine o per continuare a lavorare quindi si tratta di una tipologia di attacco dalle mille sfaccettature. Si possono però mettere in atto delle procedure per contrastarlo.

Tiberio Molino, Senior Sales Engineer di Trend Micro Italia, spiega quale siano, secondo la sua esperienza, i metodi più usati per costringere un’azienda a pagare il riscatto: “Dopo avere impedito l’accesso ai dati in seguito all’attacco, c’è il classico cartello che dice di pagare per avere la chiave di decriptazione dei dati. Tuttavia, i criminali non si fermano a questo, poiché i tentativi per forzare la mano all’azienda sono diversi e seguono vari step.”

“Il primo” – continua Molino –“è minacciare la vittima di pubblicare le informazioni su un sito, che può essere pubblico o privato. Per esempio, di recente un gruppo d’attacco ha minacciato di pubblicare i dati e, per dimostrare di poterlo fare, ha usato un proprio sito nel dark Web in cui mostrava una porzione in chiaro delle informazioni esfiltrate prima di essere cifrate”.

Se si è vittime di ransomware e il gruppo criminale richiede un riscatto non solo per ripristinare i dati, ma anche per evitare di diffonderli, è infatti spesso possibile controllare se effettivamente ne sono in possesso grazie al fatto che ne mostrano una parte a titolo di prova.

Nelle parole di Tiberio Molino, “bisogna tener presente che l’accesso a questi siti deve essere fatto da specialisti che usano browser come Tor e altre tutele. Si può però arrivare anche a forzature più gravi, come l’uso di social network per pubblicare in modo ancora più visibile porzioni dei dati sottratti. Ovviamente la forzatura è tanto più importante quanto il dato è più sensibile, come per esempio nel caso di una cartella sanitaria”.

L’azienda attaccata deve inoltre gestire l’emergenza legata al fatto che i dati dei suoi clienti sono in mano a questi criminali. “Questo è un aspetto altrettanto delicato. Quando un’azienda ha clienti i cui dati sono stati sottratti, il suo problema è come e cosa comunicare loro riguardo l’attacco, tenendo presente che prima o poi lo verranno a sapere. Per esempio, a noi delle aziende hanno chiesto la lista delle compromissioni trovate per condividerle con alcuni clienti in modo trasparente e dare loro la possibilità di verificare se l’attacco si fosse propagato all’interno dei propri ambienti, file e database. Si tratta di una preoccupazione importante, perché riguarda il danno di immagine dell’azienda e questa trasparenza reciproca aiuta a mitigare il problema” – sottolinea Tiberio Molino.

Ci sono delle contromisure che si possono adottare anche contro il ransomware che si espande in questo modo e la tecnologia può essere di grande aiuto. Esistono infatti ottimi sistemi anti-malware e una tecnologia molto utilizzata è il machine learning.

Anche se la maggior parte delle aziende più strutturate è dotata di buone tecnologie di difesa, non sempre le applicano nel modo corretto. È infatti importante utilizzare le best practice per applicare tutte le protezioni nel modo più efficace, in modo da operare al momento giusto con la tecnologia giusta. Questo purtroppo in molti casi nelle aziende non avviene, sia per mancanza di tempo, sia per mancanza di skill e di conoscenze sul tema della sicurezza, aumentando così il rischio di subire un attacco ransomware.

Condividi l'articolo