Sempre più spesso negli ultimi anni anche chi conosce meno il mondo dell’informatica ha sentito parlare di ransomware. Dopo l’attacco subito da Regione Lazio, per di più, l’argomento è diventato ancora più popolare tanto da entrare in tendenza tra gli hashtag più utilizzati su Twitter.
I ransomware sono virus informatici che consentono ai cybercriminali di infettare un sistema criptandone i dati e, a quel punto, di chiedere un riscatto – ransom in inglese, da qui il nome – alle vittime. In cambio di un pagamento in criptovalute gli aggressori promettono di decriptare i file congelati rendendo nuovamente fruibile il sistema infettato.
Questi virus informatici, secondo gli esperti di Palo Alto Networks, sono una delle principali minacce del mondo moderno. Visto che con negli ultimi anni l’utilizzo di questa cyber-arma è aumentato notevolmente e visto che, di conseguenza, sono aumentati anche i riscatti, le aziende e le organizzazioni stanno cercando di correre ai ripari investendo nella cybersecurity in modo da potersi maggiormente protegge dai cyber criminali.
Secondo il Ransomware Threat Report 2021 di Unit42, nel primo trimestre del 2021 sono state rilevate 113 diverse famiglie di ransomware in circolazione. Basandosi sui dati statistici, Unit42 ha scoperto che solamente le prime 15 famiglie coprono il 52,3% del totale dei casi di attacco tramite ransomware. Questo dimostra la diversità di questa minaccia e sottolinea quanto sia difficile estenderne la copertura di rilevamento con una profilazione statica.
Con famiglie di ransomware s’intente l’insieme di varianti ransomware che derivano da un ceppo principale. Un numero più elevato di varianti non implica necessariamente una maggiore prevalenza. Alcune famiglie di ransomware non creano per ogni attacco una variante diversa, ma il loro rapporto d’infezione per campione rimane comunque alto. Questo significa che gli attaccanti hanno usato più volte lo stesso malware per colpire un gran numero di vittime.
I tre ransomware più popolari
Principali famiglie di ransomware in base al numero di infezioni (fonte: Palo Alto Networks)
Tra tutti i ransomware analizzati il più popolare, con il 31,7% di casi in cui viene impiegato, è Ryuk. In genere indicato da un file denominato RyukReadMe inserito nel sistema, questo ransomware viene spesso visto alla fine di attacchi multifase che coinvolgono malware come Trickbot e, più recentemente, BazaLoader (noto anche come BazarLoader). In molti casi, Ryuk non viene caricato sul sistema fino a settimane o mesi dopo l’infezione iniziale. Gli operatori Ryuk apprendono la rete della vittima enumerando l’ambiente interessato con strumenti che potrebbero essere familiari a quell’ambiente, come PowerShell e Windows Management Instrumentation. Ryuk ha causato talmente tanti problemi che il governo degli Stati Uniti lo ha classificato come una grave minaccia per l’industria sanitaria e del settore della sanità pubblica.
Il secondo ransomware più popolare è Sodinokibi con il 20% dei casi d’infezione registrati. Più comunemente noto come REvil questa famiglia di ransomware prende il suo nome dal gruppo di cybercriminali che lo adopera. REvil, infatti, è anche uno dei più importanti fornitori di ransomware as a service (RaaS) e uno degli operatori ransomware più famosi al mondo. Tramite i suoi attacchi a giungo 2021 è riuscito a estorcere un pagamento di 11 milioni di dollari dalla filiale statunitense della più grande azienda di confezionamento della carne al mondo con sede in Brasile, ha chiesto 5 milioni di dollari a un’azienda brasiliana di diagnostica medica e ha lanciato un attacco su larga scala a dozzine, forse centinaia di aziende che utilizzano il software di gestione IT di Kaseya VSA.
Sul terzo gradino del podio si colloca Maze infettando il 15% dei casi registrati. Dall’inizio del 2021 Palo Alto Networks ha rilevato un aumento degli attacchi tramite questo ransomware in più settori. Il ransomware Maze, una variante del ransomware ChaCha, è stato osservato per la prima volta nel maggio 2019 e ha preso di mira organizzazioni in Nord America, Sud America, Europa, Asia e Australia. Questo ransomware viene in genere distribuito tramite e-mail contenenti allegati Word o Excel infetti. Tuttavia, è stato anche distribuito tramite exploit kit come Spelevo, che è stato utilizzato con le vulnerabilità di Flash Player CVE-2018-15982 e CVE-2018-4878. Il malware prima stabilisce un punto d’appoggio all’interno dell’ambiente. Quindi ottiene privilegi elevati, esegue lo spostamento laterale e avvia la crittografia dei file su tutte le unità. Tuttavia, prima di crittografare i dati, i suoi operatori possono esfiltrare i file da utilizzare per ulteriori ricatti, inclusa l’esposizione pubblica. Senza le adeguate protezioni in atto, un’infezione ransomware Maze può paralizzare le normali operazioni aziendali compromettendo le informazioni sensibili.
Questi 3 ransomware sono solo la punta di un cyber-iceberg. Sono infatti molti i ransomware adoperati dai cybercriminali e, come sottolineano gli esperti di cybersicurezza della Unit42 di Palo Alto Networks, è importante adottare strategie di backup efficaci e procedure di ripristino d’emergenza. Queste strategie, come nel recente caso che ha visto protagonisti i sistemi informatici della Regione Lazio, possono permettere di recuperare i file criptati senza dover cedere al ricatto dei cybercriminali.
The post I ransomware più popolari del 2021 appeared first on Wired.
Link originale...