Il ransomware, ovvero quella tipologia di attacchi che cripta i dati e ne richiede il riscatto per la decrittografia, rappresenta una delle minacce più diffuse per aziende e pubbliche amministrazioni. Negli ultimi mesi, si è assistito all’emergere di un nuovo modello di business noto come Ransomware-as-a-Service (RaaS). Questo fenomeno costituisce un’evoluzione particolarmente insidiosa nel panorama delle minacce informatiche, segnando un punto di svolta nella modalità di attacco e diffusione dei ransomware.
Nato dall’incrocio tra l’efficienza del modello di business “as a Service” e l’illegalità del ransomware, il RaaS consente anche a criminali privi di competenze tecniche avanzate di lanciare attacchi dannosi, mediante il pagamento per l’utilizzo di infrastrutture e software sviluppati da altri. In parole semplici, il RaaS è un servizio creato su apposite piattaforme che permette ai malintenzionati di lanciare attacchi ransomware. I cybercriminali sviluppano il malware e lo rendono disponibile nel dark web ad “affiliati”, che si occupano di generare gli attacchi e di incassare i riscatti.
Come funziona?
Il processo di RaaS inizia quando un affiliato si iscrive al servizio offerto dagli sviluppatori del ransomware. Questi ultimi forniscono un pacchetto completo di “strumenti” che includono il malware e i pannelli di controllo per gestire gli attacchi. L’affiliato, quindi, seleziona il target e lancia l’attacco, spesso attraverso tecniche di phishing e sfruttamento di vulnerabilità software. Una volta che il sistema della vittima viene infettato, i dati vengono criptati, e viene richiesto un riscatto per ottenere la chiave di sblocco. L’affiliato e lo sviluppatore del ransomware condividono i profitti secondo un accordo prestabilito, spesso con una quota maggiore assegnata allo sviluppatore.
Perché è pericoloso?
La pericolosità del RaaS risiede nella sua accessibilità, che di fatto rende il ransomware disponibile a un pubblico più ampio. Le vittime spaziano da singoli utenti a grandi organizzazioni, compresi enti governativi, ospedali e aziende di ogni dimensione, con conseguenze potenzialmente devastanti in termini di perdita di dati sensibili, interruzione delle operazioni e danni economici e di reputazione. Inoltre, la natura distribuita e anonima del RaaS complica gli sforzi delle autorità nel tracciare e perseguire i responsabili, creando un ambiente in cui i criminali possono operare con un rischio relativamente basso e alti rendimenti economici.
Il ruolo di Lockbit
Il collettivo che ha reso famigerato il RaaS è LockBit, noto come uno dei gruppi di ransomware più attivi nel panorama della cybercriminalità globale. Fondato verso la fine del 2019, LockBit ha guadagnato notorietà per aver lanciato attacchi ransomware-as-a-service (RaaS), colpendo vittime inizialmente negli Stati Uniti per poi espandersi in tutto il mondo.
LockBit è stato anche uno dei primi collettivi a introdurre l’adozione di tattiche di “doppia estorsione”, criptando i dati delle vittime e minacciando la loro pubblicazione su siti di leak nel caso in cui il riscatto non venga pagato. Questo approccio è diventato sempre più comune tra i gruppi ransomware, ma LockBit lo ha elevato a un nuovo livello di minaccia, combinando avanzate tecniche di criptazione con strategie aggressive di estorsione. Nel corso degli anni, hanno introdotto diverse versioni del loro malware, tra cui LockBit 2.0 e LockBit 3.0, che hanno visto un’ampia adozione e successo tra gli affiliati del collettivo.
Operazione Cronos
Tra gli attacchi più notevoli attribuiti a LockBit vi sono quelli contro organizzazioni di alto profilo, inclusi enti governativi, istituti di sanità e aziende multinazionali in diversi settori. La lotta internazionale contro questa cybergang è iniziata anni fa, ma nonostante gli arresti di membri di spicco non ha ottenuto i risultati sperati. Almeno fino alla recente Operazione Cronos, guidata dalla National Crime Agency (NCA) del Regno Unito e supportata da un’ampia coalizione internazionale che include l’FBI e Europol. Questa iniziativa ha colpito duramente l’infrastruttura di LockBit.
Secondo le prime informazioni, le autorità hanno preso il controllo del pannello di Lockbit 3.0, un’interfaccia utilizzata dagli affiliati del gruppo per coordinare gli attacchi e gestire le richieste di riscatto. La presa di possesso del pannello ha permesso il sequestro di informazioni vitali quali codici sorgente, comunicazioni interne, un elenco dettagliato delle vittime e i dati loro sottratti. Forse l’aspetto più rilevante per le vittime di LockBit è il recupero e la pubblicazione delle chiavi di decrittazione da parte delle forze dell’ordine.
Da non sottovalutare
L’operazione Cronos rappresenta un modello di successo nella lotta al cybercrimine, dimostrando l’efficacia della cooperazione internazionale contro le minacce informatiche. Nonostante questi successi, è cruciale non sottovalutare la capacità di adattamento dei gruppi ransomware. Le organizzazioni, sia private che pubbliche, devono pertanto rimanere vigili, rafforzando le proprie difese e collaborando a livello internazionale per anticipare e contrastare le minacce future.
Come mitigare il problema
Per mitigare gli effetti devastanti del Ransomware-as-a-Service (RaaS), aziende e pubbliche amministrazioni devono adottare un approccio multistrato alla sicurezza informatica. Questo deve includere una serie di strategie e tecnologie progettate per prevenire gli attacchi, proteggere i dati sensibili e garantire una rapida ripresa delle attività in caso di incidente. Di seguito, si delineano alcune delle misure più efficaci in questo contesto. In tutti questi percorsi, Hypergrid può offrire assistenza grazie a servizi ad hoc e una più che ventennale esperienza nel settore.
Per avere una panoramica completa di tutti i servizi offerti: 🌐 https://hypergrid.it
Gestione delle vulnerabilità
Aggiornamenti regolari: mantenere sistemi operativi, software e firmware sempre aggiornati per mitigare le vulnerabilità note.
Scansione e valutazione: utilizzare strumenti come il Vulnerability Assessment per identificare e correggere le falle di sicurezza nei sistemi IT.
Formazione e sensibilizzazione
Conoscenza delle minacce: formare il personale su cosa sono i ransomware e come si diffondono, con un focus particolare su tecniche di ingegneria sociale come il phishing.
Buone pratiche online: insegnare ai dipendenti a riconoscere e segnalare email sospette, a non cliccare su link non verificati o aprire allegati di email non sollecitati.
Controllo degli accessi
Principio del privilegio minimo: assegnare ai dipendenti solo le autorizzazioni necessarie per svolgere le loro mansioni, riducendo così la superficie di attacco.
Autenticazione a due o più fattori: implementare MFA per aggiungere un ulteriore livello di sicurezza oltre le semplici password.
Protezione e isolamento
Firewall e sistemi di prevenzione delle intrusioni: utilizzare queste tecnologie per filtrare il traffico sospetto e bloccare gli attacchi prima che raggiungano i sistemi critici.
Segmentazione della rete: separare le reti critiche da quelle meno sicure per limitare la diffusione di un attacco.
Strategie di backup e recupero
Backup regolari: eseguire backup frequenti di tutti i dati critici, conservandoli in luoghi sicuri, preferibilmente offline o su cloud certificati con accesso limitato.
Piani di continuità operativa e recupero dai disastri: avere piani dettagliati e testati regolarmente per ripristinare rapidamente i sistemi e i dati in caso di attacco.
Monitoraggio e risposta agli incidenti
Strumenti di rilevamento delle minacce: impiegare soluzioni di sicurezza avanzate per monitorare la rete in tempo reale e rilevare attività sospette.
Team di risposta agli incidenti: avere un team dedicato o un servizio esterno preparato a reagire rapidamente a un attacco per limitarne l’impatto e guidare il processo di recupero.
Per ulteriori informazioni o per un preventivo gratuito: info@hypergrid.it – Tel. 0382 528875
Devi effettuare l'accesso per postare un commento.