15 esempi di attacchi ransomware recenti
Trend Micro: riduzione del rischio di ransomware con una gestione proattiva della superficie di attacco
15 esempi di ransomware
Il ransomware è un malware che crittografa i file importanti sullo storage locale e di rete e richiede un riscatto per decrittografare i file. Gli hacker sviluppano questo malware per ottenere denaro attraverso l'estorsione digitale.
Il ransomware cripta i file, la chiave non può essere forzata e l'unico modo per recuperare le informazioni è da un backup.
Il modo in cui funziona il ransomware lo rende particolarmente dannoso. Altri tipi di malware distruggono o rubano i dati ma lasciano aperte altre opzioni di recupero. Con il ransomware, se non ci sono backup, è necessario pagare il riscatto per recuperare i dati. A volte le aziende pagano il riscatto e l'aggressore non invia comunque la chiave di decrittazione.
RansomHub
RansomHub è un giovane gruppo Ransomware-as-a-Service (RaaS) rilevato per la prima volta a febbraio 2024 e monitorato da Trend Micro come Water Bakunawa. Ha acquisito rapidamente notorietà per la loro tattica di "caccia al grande gioco". Preda sulle vittime che hanno maggiori probabilità di pagare grandi riscatti per mitigare i tempi di inattività sulle operazioni aziendali causati da un attacco ransomware. Mirano ai backup di archiviazione in cloud e alle istanze Amazon S3 mal configurate per minacciare i provider di backup con perdite di dati, sfruttando la fiducia tra provider e loro clienti.
Rhysida
Motivati da un guadagno finanziario, gli operatori di Rhysida sono noti per l'uso degli attacchi di phishing come mezzo per ottenere l'accesso iniziale, dopodiché Cobalt Strike viene utilizzato per il movimento laterale nelle macchine infette. Nel luglio 2023, la nostra telemetria ha scoperto che il ransomware Rhysida utilizzava PsExec per consegnare uno script, rilevato come SILENTKILL, per terminare i programmi antivirus.
Figure 1: The RansomHub ransomware observed infection chain
Akira
Akira ransomware è emersa a marzo 2023 ed è noto per essere destinato alle aziende con sede negli Stati Uniti e in Canada.
Il suo sito per le perdite Tor ha un aspetto retrò unico che, secondo un rapporto di Sophos, ricorda le "console green-screen degli anni '80" che possono essere esplorate digitando comandi specifici.
WannaCry
WannaCry è stato rilevato per la prima volta ad aprile, dove è stato scoperto utilizzando il servizio di hosting di file Dropbox come parte del suo metodo di propagazione.
I focolai epidemici di "WannaCry" si classificano come gli incidenti di cybersicurezza globale più dannosi durante la prima metà del 2017. Questi massicci attacchi ransomware hanno colpito le reti di ospedali, fabbriche e ferrovie in molti paesi diversi con gravi conseguenze.
WannaCry ha paralizzato oltre 200.000 computer, compresi quelli che gestiscono la ferrovia nazionale tedesca e la rete ospedaliera del Regno Unito.
Il flusso di infezione del ransomware è mostrato in questo diagramma:
Figure 2: Infection diagram
Clop
Clop (talvolta stilizzato come "Cl0p") è stata una delle famiglie di ransomware più prolifiche tra il 2020 e il 2023. Ha guadagnato fama per aver compromesso organizzazioni di alto profilo in vari settori in tutto il mondo utilizzando tecniche di estorsione multilivello che hanno portato a enormi pagamenti stimati a 500 milioni di dollari a novembre 2021.
8Base
Rilevato per la prima volta a marzo 2022, 8Base è un gruppo ransomware attivo che si posiziona come "semplice tester di penetrazione" per giustificare la sua strategia di doppia estorsione, che comporta la crittografia dei dati e la minaccia di esporre informazioni sensibili. La gang adotta una tattica di nome e vergogna, affermando nel suo sito di fuga di oggetti destinati esclusivamente alle organizzazioni che "hanno trascurato la privacy e l'importanza dei dati dei loro dipendenti e clienti" e rivelando dati riservati per causare potenzialmente danni al marchio e alla reputazione della vittima.
Trigona
Il ransomware Trigona, inizialmente tracciato da Trend Micro come Water Ungaw, è emerso a ottobre 2022. Tuttavia, i binari del ransomware sono stati visti per la prima volta già a giugno dello stesso anno. Mentre era attivo, il gruppo si è posizionato come responsabile di uno schema redditizio, lanciando attacchi globali e ricavi pubblicitari fino al 20-50% per ogni attacco riuscito. Il gruppo è stato inoltre segnalato come comunicante con i broker di accesso alla rete che forniscono credenziali compromesse tramite le chat interne del forum del Russian Anonymous Marketplace (RAMP) e utilizzando le informazioni fornite per ottenere l'accesso iniziale agli obiettivi.
Figure 3: Trigona ransomware’s infection chain
LockBit
LockBit è emerso per la prima volta come ransomware ABCD a settembre 2019, migliorato per diventare una delle famiglie di ransomware più prolifiche oggi.
Attraverso le loro operazioni professionali e il solido programma di affiliazione, gli operatori di LockBit hanno dimostrato di essere presenti a lungo termine. Pertanto, conoscere le loro tattiche aiuterà le organizzazioni a rafforzare le loro difese contro gli attacchi ransomware attuali e futuri.
Il 19 febbraio 2024, Operation Cronos, un'azione mirata delle forze dell'ordine, ha causato interruzioni sulle piattaforme affiliate a LockBit, interrompendo le operazioni del noto gruppo ransomware.
BlackCat
Osservata per la prima volta a metà novembre 2021 dai ricercatori del MalwareHunterTeam, BlackCat (noto anche come AlphaVM, AlphaV o ALPHV) si è rapidamente guadagnata la fama di essere la prima grande famiglia di ransomware professionali ad essere scritta in Rust, un linguaggio multipiattaforma che consente agli attori malintenzionati di personalizzare il malware con facilità per diversi sistemi operativi come Windows e Linux, offrendo così un'ampia gamma di ambienti aziendali.
Ryuk Ransomware
Ransomware Ryuk, pronunciato ree-yook, è una famiglia di ransomware apparsa per la prima volta a metà del 2018. Nel dicembre 2018, il New York Times ha riferito che Tribune Publishing era stata infettata da Ryuk, costringendola a interrompere le attività di stampa a San Diego e in Florida. Il New York Times e il Wall Street Journal condividevano uno stabilimento di stampa a Los Angeles. Anche loro sono stati colpiti dall'attacco, che ha causato problemi di distribuzione delle edizioni del sabato dei giornali.
Una variante del vecchio ransomware Hermes, Ryuk è in cima alla lista degli attacchi ransomware più pericolosi. Nel CrowdStrike 2020 Global Threat Report, Ryuk rappresenta tre delle prime 10 maggiori richieste di riscatto dell'anno: 5,3 milioni di dollari, 9,9 milioni di dollari e 12,5 milioni di dollari. Ryuk ha attaccato con successo settori e aziende in tutto il mondo. Gli hacker chiamano la pratica di prendere di mira le grandi aziende "big game hunting" (Big Game Hunting, BGH).
Gli hacker lasciano sul sistema richieste di riscatto sotto forma di file denominati RyukReadMe.txt e UNIQUE_ID_DO_NOT_REMOVE.txt il cui contenuto è simile a quello rappresentato nella schermata seguente.
Source: Malwarebytes
Nero Basta
Black Basta è un gruppo ransomware che opera come ransomware-as-a-service (RaaS) inizialmente individuato nell'aprile 2022. Da allora si è dimostrato una minaccia formidabile, come dimostrato dall'uso di tattiche a doppia estorsione e dall'espansione del suo arsenale di attacco per includere strumenti come il trojan Qakbot e l'exploit PrintNightmare.
Royal
Il ransomware Royal ha fatto i round nei circoli di ricercatori sui social media nel settembre 2022 dopo che un sito di notizie sulla cybersecurity ha pubblicato un articolo che riporta come gli attori delle minacce dietro il gruppo ransomware stavano prendendo di mira più aziende attraverso l'uso di tecniche mirate di callback phishing.
Figure 5: Royal ransomware’s attack flow
Petya
Petya è un vecchio ransomware esistente emerso per la prima volta nel 2016. È noto per sovrascrivere il Master Boot Record (MBR) del sistema, bloccando gli utenti dalle loro macchine con un blue screen di morte (BSoD). Nel caso di Petya, la schermata BSoD viene utilizzata per mostrare la nota di riscatto.
Orticaria
Il 15 agosto 2021, gli attacchi ransomware di Hive contro un sistema sanitario integrato senza scopo di lucro hanno gravemente interrotto le operazioni cliniche e finanziarie di tre ospedali in Ohio e West Virginia. L'attacco ha comportato deviazioni al pronto soccorso e l'annullamento di casi chirurgici urgenti ed esami radiologici. La crittografia dei file ha costretto il personale ospedaliero a utilizzare grafici cartacei. Oltre ai tre ospedali, l'organizzazione no-profit interessata gestisce anche diversi centri di servizi ambulatoriali e cliniche con una forza lavoro combinata di 3.000 dipendenti.
Trend Micro Ransomware Protection
L'anno scorso, l'83% delle aziende ha affrontato più violazioni per un costo di 4,4 milioni di dollari ciascuna, mentre la riduzione dell'esposizione al rischio ha portato a un risparmio medio di 1,3 milioni di dollari.
Trend Vision One™ – Attack Surface Risk Management (ASRM) riduce drasticamente il rischio informatico con rilevamento continuo, valutazioni in tempo reale e mitigazione automatizzata in ambienti cloud, ibridi o locali.
Related Research
Related Article