Nel INTERNET ORGANISED CRIME THREAT ASSESSMENT (IOCTA) 2020 di EUROPOL si riporta che il ransomware rimane una delle minacce dominanti per le organizzazioni private europee. Considerando l’entità del danno che il ransomware può infliggere, le vittime sembrano anche essere riluttanti a denunciare alle autorità gli attacchi subiti. I criminali hanno continuato a rendere sempre più mirati i loro attacchi. Il ransomware prende di mira le supply-chain e i fornitori di servizi terzi. Uno degli sviluppi principali è il nuovo modo di fare pressione sulle vittime a pagare il riscatto: rubando i dati e successivamente minacciando di pubblicare i dati sensibili delle vittime sia sul Darkweb che verso le autorità nazionali che possono multare l’azienda per il mancato rispetto del GDPR. Entrambe queste minacce porterebbero un immenso danno reputazionale alla vittima che si vedrebbe esposta al pubblico ludibrio, quindi clienti, fornitori, partner e banche verrebbero a conoscenza della falla informatica.
Oltre al ransomware, le forze dell’ordine europee hanno segnalato che il malware è ampiamente presente nei casi di criminalità informatica. I criminali hanno convertito alcuni tradizionali trojan bancari in malware modulari più avanzati per coprire una gamma più ampia di funzionalità. Queste forme evolute di malware modulari sono una delle principali minacce nell’UE, soprattutto perché la loro natura adattabile ed espandibile li rende sempre più complicati da combattere efficacemente.
Gli attori del cyber-crime variano in termini di grado di abilità, capacità e adattabilità. Le organizzazioni criminali più evolute gestiscono le loro operazioni come un’impresa professionale e strutturata, focalizzandosi verticalmente su attività specifiche: alcune creano e producono malware evoluti e raffinati, altre si occupano solo della loro commercializzazione sui mercati del Darkweb, infine la maggior parte si limite ad acquistare questi prodotti a mercato per condurre le loro attività criminali contro aziende e organizzazioni istituzionali. Un ulteriore livello di sviluppo riguarda il business model criminale del RaaS – Ransomware as a Service – dove le grandi aziende del cyber-crime creano dei tunnel informatici che penetrano nelle difese delle aziende, li mantengono nascosti ed aperti per affittarli as-a-service a tutta una pletora di criminali minori che potrà usarli per sferrare ogni tipo di attacco.
Ciò consente agli autori delle minacce di aumentare sia l’importo del riscatto richiesto sia la probabilità di far pagare il riscatto alla vittima. La ricognizione delle vittime gioca un ruolo significativo nella preparazione di un attacco. Le forze dell’ordine europee ed Europol hanno osservato attacchi contro governi e ministeri locali; altre organizzazioni del settore pubblico nel settore della sanità e dell’istruzione (inclusi ospedali, università e scuole superiori); così come le imprese nei settori manifatturiero, finanziario, energetico e dei trasporti.
Il COVID-19 ha portato un aumento della superficie di attacco – #attacksurface – con endpoint e dispositivi personali non gestiti e collegati in remoto su WIFI insicure e con accesso all’infrastruttura informatica delle aziende. Il rapido passaggio al telelavoro ha fatto sì che alcune aziende “alleggerissero” alcune delle loro politiche di sicurezza IT e alcune responsabilità in materia di sicurezza IT sono state trasferite ai singoli utenti, dove la mancanza di formazione sulla cyber-security hanno creato una nuova lacuna nella sicurezza. Questo divario ha successivamente fornito nuove opportunità agli attori informatici per ottenere l’accesso all’infrastruttura IT delle aziende. Come citato, gli attacchi ransomware contro le aziende si verificano in fasi diverse e vengono eseguiti da diversi attori del crimine. Il primo passaggio mira ad infettare con ransomware il computer o la rete, che viene eseguito utilizzando più vettori di attacco. L’accesso è quindi venduto, da aziende criminali specializzate, a diversi criminali informatici che eseguono la mappatura dell’infrastruttura IT, l’escalation dei privilegi, lo spostamento laterale, l’esfiltrazione di dati ecc. e finalizzato con la distribuzione del ransomware.
Ransomware e provider di terze parti: combinazione letale
Il ransomware ha dimostrato di rappresentare una significativa minaccia indiretta per aziende e organizzazioni prendendo di mira le supply-chain. Un caso ha visto un fornitore di servizi IT essere attaccato con il ransomware Maze, che può rimanere sui server della vittima per diversi mesi. Ciò consente ai criminali di eseguire la ricognizione monitorando le comunicazioni interne al fine di identificare un momento chiave, come fusione, vendita, grandi riunioni con clienti / vendite, ecc., per la distribuzione del ransomware. I criminali utilizzano il ransomware prima di tali eventi con l’obiettivo di esercitare pressioni sulla vittima. Allo stesso tempo, i criminali possono anche esfiltrare i dati prima della distribuzione del ransomware. La presenza esistente dei criminali sui server della vittima è difficile da identificare dagli IT manager e dai classici sistemi di difesa cyber poiché le misure di sicurezza si concentrano principalmente sul rilevamento in entrata. Per garantirsi il pagamento del riscatto, i criminali minacciano di pubblicare online i dati esfiltrati.
La pubblicazione online o la vendita all’asta dei dati da parte di gruppi criminali segna un nuovo passo e dimostra un’escalation dei metodi volti a costringere le vittime a pagare il riscatto. Si prevede che sempre più gruppi criminali inizieranno ad adottare queste misure coercitive. Inoltre, le ammende per violazione del GDPR sono utilizzate come ulteriore leva.