Home . Immediapress . Ict . Kaspersky Lab identifica gruppi criminali che lanciano attacchi ransomware mirati contro le aziende

Kaspersky Lab identifica gruppi criminali che lanciano attacchi ransomware mirati contro le aziende

ICT

I ricercatori di Kaspersky Lab hanno scoperto un trend emergente allarmante: sempre più cyber criminali stanno passando dagli attacchi contro gli utenti privati agli attacchi ransomware mirati contro le aziende. Sono stati identificati almeno otto gruppi di criminali informatici coinvolti nello sviluppo e nella distribuzione di malware criptatori, che hanno colpito principalmente le organizzazioni finanziarie di tutto il mondo. Gli esperti di Kaspersky Lab hanno scoperto alcuni casi in cui la richiesta di pagamento ha raggiunto oltre mezzo milione di dollari.

Gli otto gruppi identificati comprendono gli autori di PetrWrap, che ha attaccato organizzazioni finanziarie in tutto il mondo, il famigerato gruppo Mamba e altri sei gruppi senza nome che prendono di mira gli utenti aziendali. È importante notare che questi sei gruppi erano stati precedentemente coinvolti in attacchi che hanno preso di mira principalmente gli utenti privati, usando modelli di programmi di affiliazione. Questi cyber criminali hanno ora riorientato i loro sforzi sulle reti aziendali. Secondo i ricercatori di Kaspersky Lab, la ragione di questo trend è chiara: i criminali considerano gli attacchi ransomware mirati contro le aziende potenzialmente più profittevoli degli attacchi di massa contro gli utenti privati. Un attacco ransomware andato a buon fine può facilmente bloccare le attività di un’azienda per ore o persino giorni, inducendone i proprietari a pagare il riscatto.

In generale, le tattiche, tecniche e procedure usate da questi gruppi sono molto simili. Innanzitutto, infettano col malware l’organizzazione presa di mira attraverso server vulnerabili o email di spear phishing. Dopo essersi infiltrati nella rete della vittima, i criminali identificano le risorse aziendali vulnerabili da criptare, per poi chiedere il riscatto in cambio della decriptazione. Oltre a queste somiglianze, alcuni gruppi presentano caratteristiche uniche.

Ad esempio, il gruppo Mamba usa un malware criptatore di proprietà, basato sul software open source DiskCryptor. Dopo aver ottenuto l’accesso al network, gli hacker vi installano il malware, usando una utility legittima per il controllo remoto di Windows. Questo approccio rende le operazioni meno sospette agli occhi dei responsabili della sicurezza dell’azienda presa di mira. I ricercatori di Kaspersky Lab hanno incontrato casi in cui il riscatto ammontava fino a un bitcoin (circa 1.000 dollari alla fine di marzo 2017) per la decriptazione di un endpoint.

Un altro esempio unico di tool utilizzato negli attacchi ransomware mirati viene da PetrWrap. Questo gruppo colpisce principalmente le aziende più grandi che hanno numerosi nodi di rete. I criminali selezionano accuratamente gli obiettivi di ogni attacco, che può durare per diverso tempo: PetrWrap è riuscito a mantenere una persistenza costante in una rete fino a 6 mesi.

“Dovremmo essere tutti consapevoli che la minaccia degli attacchi ransomware mirati alle aziende è in crescita, comportando sensibili perdite finanziarie. Il trend è allarmante: i gruppi criminali sono a caccia di nuove vittime che consentano ricavi maggiori. I potenziali obiettivi dei ransomware sono ancora più numerosi e gli attacchi possono avere conseguenze ancora più disastrose”, ha commentato Anton Ivanov, Senior Security Researcher, Anti-Ransom di Kaspersky Lab.

Per proteggere le aziende da questi attacchi, gli esperti di sicurezza di Kaspersky Lab consigliano di:

• Effettuare regolarmente e correttamente il backup dei dati, in modo da poter ripristinare i file originali in caso di perdita.
• Usare una soluzione di sicurezza con tecnologie di rilevamento basate sui comportamenti. Queste tecnologie consentono di scoprire i malware, compresi i ransomware, osservando la loro attività sul sistema attaccato e permettendo di rilevare sample di ransomware nuovi e ancora sconosciuti.
• Visitare il sito “No More Ransom”, un’iniziativa congiunta con l’obiettivo di aiutare le vittime dei ransomware a recuperare i dati criptati senza dover pagare i criminali.
• Controllare i software installati – non solo sugli endpoint, ma anche su tutti i nodi e server della rete – e assicurarsi di tenerli aggiornati.
• Condurre una valutazione di sicurezza della rete di controllo (ad esempio, audit di sicurezza, penetration testing e gap analysis) per identificare e rimuovere ogni vulnerabilità. Rivedere le policy di sicurezza dei vendor esterni e delle terze parti in caso abbiano accesso diretto alla rete di controllo.
• Richiedere un’intelligence esterna: l’intelligence offerta da vendor affidabili aiuta le organizzazioni a prevedere attacchi futuri all’azienda.
• Formare gli impiegati, facendo particolare attenzione allo staff operativo ed ingegneristico e alla loro consapevolezza degli ultimi attacchi e minacce.
• Fornire protezione all’interno e all’esterno del perimetro. Una corretta strategia di sicurezza deve dedicare significative risorse al rilevamento e alla risposta agli attacchi per bloccarli prima che raggiungano oggetti critici.

Per saperne di più sugli attacchi ransomware mirati, è possibile leggere il blog post su Securelist.com.

Per scoprire i tool sviluppati per aiutare le vittime dei ransomware, visitare NoRansom.kaspersky.com.

RIPRODUZIONE RISERVATA © Copyright Adnkronos.