15 esempi di attacchi ransomware recenti
Trend Micro: riduzione del rischio di ransomware con una gestione proattiva della superficie di attacco
15 esempi di ransomware
Il ransomware è un tipo di malware progettato per crittografare i dati di una vittima e richiedere un pagamento di riscatto in cambio della chiave di decrittografia. Ciò che rende il ransomware particolarmente distruttivo è la sua capacità di bloccare completamente l'accesso ai dati, spesso lasciando impossibile il ripristino senza backup recenti. Anche quando i riscatti vengono pagati, le vittime potrebbero non ricevere mai una chiave di lavoro.
Il ransomware si è evoluto in un modello di cybercrime-as-a-service noto come Ransomware-as-a-Service (RaaS) che ha ampliato la loro portata. Questo nuovo approccio consente agli sviluppatori di ransomware di noleggiare i propri strumenti ransomware alle affiliate, con conseguente aumento degli attacchi.
Ogni anno sono emersi più gruppi ransomware, ognuno con tattiche, obiettivi ed impatti distinti. Di seguito sono riportati 15 esempi di ransomware che evidenziano la diversità e l'evoluzione di questa minaccia informatica persistente
RansomHub
RansomHub è un gruppo Ransomware-as-a-Service (RaaS) rilevato per la prima volta nel febbraio 2024 e ha rapidamente guadagnato fama per la sua strategia di "caccia ai grandi giochi", prendendo di mira le grandi imprese che hanno maggiori probabilità di pagare riscatti sostanziali. Tracciato da Trend Micro come Water Bakunawa, RansomHub è stato osservato sfruttare le vulnerabilità nei backup di archiviazione in cloud e le istanze Amazon S3 mal configurate, sfruttando la fiducia tra provider e clienti per migliorare le loro tattiche di estorsione.
Rhysida
Rhysida è un gruppo ransomware che è emerso all'inizio del 2023, utilizzando tattiche di doppia estorsione sia crittografando i dati delle vittime che minacciando di pubblicarli, a meno che non venga pagata una richiesta di riscatto in Bitcoin. Si mascherano come un team di cybersecurity che si offre di aiutare le vittime evidenziando i punti deboli della sicurezza nelle loro reti e nei loro sistemi. Utilizzeranno gli attacchi di phishing per ottenere l'accesso iniziale e il follow-up con i beacon Cobalt Strike per il movimento laterale nelle macchine compromesse prima di distribuire il loro ransomware.
Figure 1: The RansomHub ransomware observed infection chain
Akira
Akira è emersa all'inizio del 2023 e si è rapidamente affermata come una delle famiglie di ransomware più famose. Akira utilizza tattiche a doppia estorsione, un modello di distribuzione ransomware-as-a-service (RaaS) e opzioni di pagamento non convenzionali, un approccio che ha contribuito al suo successo operativo. È noto che Akira richiede ingenti pagamenti di riscatto che possono variare da 200.000 a oltre 4 milioni di dollari.
WannaCry
L'attacco ransomware WannaCry nel maggio 2017 ha sfruttato una vulnerabilità di Microsoft Windows che ha infettato oltre 200.000 sistemi in oltre 150 paesi. Il malware ha crittografato i file e ha richiesto pagamenti di riscatto in Bitcoin per le chiavi di decrittografia. Una delle più grandi vittime dell'attacco WannaCry è stata il National Health Service (NHS) del Regno Unito, con un massimo di 70.000 dispositivi infettati e circa 19.000 appuntamenti o procedure mediche annullati.
Figure 2: Infection diagram
Clop
Il ransomware Clop, a volte chiamato Cl0p, è attivo dal 2019 ed è rinomato per le sue tattiche di estorsione multilivello e gli attacchi di alto profilo, che estorcono oltre 500 milioni di dollari tra il 2019 e il 2021. Clop ha anche sfruttato le vulnerabilità in software ampiamente utilizzati, come File Transfer Appliance di Accellion, per massimizzare la sua portata.
8Base
8Baseè un gruppo ransomware che funge da tester di penetrazione e si rivolge principalmente alle piccole imprese. Utilizzano una strategia a doppia estorsione, crittografando i dati e minacciando di esporre informazioni sensibili, a meno che le vittime non paghino un riscatto. 8Base adotta una tattica di "nome e vergogna" e sostiene di colpire esclusivamente le organizzazioni che hanno trascurato la privacy dei dati, con l'obiettivo di danneggiare la reputazione delle loro vittime esponendo informazioni riservate.
Trigona
Il gruppo di ransomware Trigona si è rapidamente evoluto rilasciando più versioni con diverse funzionalità, tra cui argomenti della riga di comando per la crittografia personalizzata. Hanno pubblicizzato aggressivamente quote di fatturato elevate dal 20% al 50% per le affiliate, indicando un'operazione redditizia. Tuttavia, le loro attività sono cessate bruscamente nell'ottobre 2023 quando il loro sito di perdita è stato rimosso, lasciando incerto il loro stato operativo.
Figure 3: Trigona ransomware’s infection chain
LockBit
LockBit è un gruppo ransomware di spicco che opera su un modello Ransomware-as-a-Service (RaaS). Hanno rilasciato più versioni, tra cui LockBit 2.0 e 3.0, introducendo funzionalità come tattiche di doppia estorsione e metodi di crittografia personalizzati. Nel febbraio 2024, l'operazione Cronos, uno sforzo coordinato delle forze dell'ordine internazionali, ha interrotto significativamente le operazioni di LockBit, cogliendo la loro infrastruttura e arrestando i membri chiave. Nonostante queste battute d'arresto, LockBit rimane una minaccia significativa nel panorama dei ransomware.
BlackCat
BlackCat, noto anche come ALPHV o AlphaVM, è un sofisticato gruppo ransomware che opera su un modello Ransomware-as-a-Service (RaaS) dalla fine del 2021. Hanno preso di mira vari settori, tra cui finanza e servizi professionali, con un numero significativo di vittime negli Stati Uniti. BlackCat utilizza tecniche avanzate, come il malvertising e lo sfruttamento di vulnerabilità come Log4J, per ottenere l'accesso iniziale. Sono anche noti per il loro sito pubblico per le perdite di dati, che esercita una pressione sulle vittime per soddisfare le richieste di riscatto.
Ryuk Ransomware
Ryuk è una variante ransomware collegata al gruppo di cybercriminali noto come Wizard Spider. Nel 2019, Ryuk ha richiesto riscatti fino a 12,5 milioni di dollari ed è stata responsabile di alcune delle maggiori richieste di riscatto di quell'anno, tra cui 5,3 milioni di dollari e 9,9 milioni di dollari. Le sue vittime si estendevano a vari settori, tra cui governo, sanità e media. Il gruppo è inoltre associato ad altri malware, come TrickBot ed Emotet, per facilitare le compromissioni iniziali del sistema.
Source: Malwarebytes
Nero Basta
Black Basta è un gruppo ransomware che opera come ransomware-as-a-service (RaaS) e ha rapidamente guadagnato visibilità nel panorama dei ransomware prendendo di mira un'ampia gamma di settori e infrastrutture critiche in tutto il mondo. Il gruppo è stato osservato sfruttare vulnerabilità come QakBot, Brute Ratel e Cobalt Strike per infiltrarsi nelle reti ed esfiltrarsi nei dati sensibili.
Royal
Royal, un gruppo di ransomware attivo dall'inizio del 2022, ha rapidamente guadagnato notorietà per le sue tattiche aggressive e per le elevate richieste di riscatto, che vanno da 250.000 a oltre 2 milioni di dollari. Royal utilizza metodi a doppia estorsione, crittografando ed esfiltrando i dati, e ha ampliato le sue operazioni fino a raggiungere i sistemi basati su Linux, compresi i server ESXi. Le loro vittime coprono vari settori, con una concentrazione significativa in Nord America.
Figure 5: Royal ransomware’s attack flow
I Nostri Nocciolo d'Acqua
Water Ouroboros, che emerge nell'ottobre 2023, opera come gruppo Ransomware-as-a-Service (RaaS), evolvendosi presumibilmente dal ransomware Hive a seguito della sua interruzione da parte dell'FBI nel gennaio 2023. Si concentrano più sul furto di dati che sulla crittografia, sfruttando le vulnerabilità, eseguendo il dumping delle credenziali e utilizzando malware avanzati scritti in linguaggi come Rust. I loro obiettivi principali includono Stati Uniti, Canada, Regno Unito, Francia, Germania e Italia.
Orticaria
Hive è un gruppo Ransomware-as-a-Service (RaaS) che è emerso nel 2021 e si rivolge a vari settori a livello globale, tra cui sanità, finanza e produzione. Utilizzano tattiche a doppia estorsione, crittografano i dati e minacciano di divulgare informazioni sensibili a meno che non venga pagato un riscatto. Nel gennaio 2023, l'FBI ha interrotto le operazioni di Hive, ma il gruppo continua a operare con diversi alias.
Trend Micro Ransomware Protection
L'anno scorso, l'83% delle aziende ha affrontato più violazioni per un costo di 4,4 milioni di dollari ciascuna, mentre la riduzione dell'esposizione al rischio ha portato a un risparmio medio di 1,3 milioni di dollari.
Cyber Risk Exposure Management, parte della nostra piattaforma di cybersecurity Trend Vision One™, riduce drasticamente il rischio informatico grazie al rilevamento continuo, valutazioni in tempo reale e mitigazione automatizzata in ambienti cloud, ibridi o locali.
Related Research
Related Article