I gruppi ransomware rappresentano una delle minacce più insidiose nel panorama della sicurezza informatica mondiale. Questi gruppi di cybercriminali specializzati nell’uso di ransomware, un tipo di malware progettato per cifrare o bloccare l’accesso ai dati di un sistema fino al pagamento di un riscatto, hanno guadagnato notorietà per la loro capacità di colpire enti governativi, infrastrutture critiche, aziende e individui su scala globale. La loro operazione si basa sull’anonimato e sull’uso di tecniche avanzate di evasione e cifratura, rendendo difficile la tracciabilità e la mitigazione degli attacchi.
Composizione dei gruppi ransomware
I gruppi ransomware sono organizzazioni cybercriminali altamente strutturate, con ruoli e responsabilità ben definiti tra i loro membri. Tipicamente, questi gruppi includono:
– Leader: individui che coordinano gli attacchi, stabiliscono gli obiettivi e distribuiscono le risorse. Sono responsabili della pianificazione strategica e spesso detengono le chiavi per decifrare i dati sequestrati.
– Sviluppatori di malware: sono programmatori che creano e mantengono il malware, assicurandosi che sia efficace contro le nuove tecnologie di sicurezza. Questi individui hanno competenze avanzate in crittografia e sicurezza informatica e sono incaricati di aggiornare costantemente il ransomware per evitare la rilevazione da parte dei software antivirus.
– Operatori di Ransomware-as-a-Service (RaaS): offrono il ransomware come un servizio a criminali meno esperti, condividendo i profitti.
– Distributori / Esperti di penetrazione: Specializzati nell’identificare e sfruttare le vulnerabilità di rete per distribuire il ransomware. Sono hacker che diffondono il ransomware, spesso attraverso campagne di phishing, exploit di vulnerabilità di rete, o l’uso di kit di exploit. Loro sono i “piedi sul campo” dell’operazione, responsabili dell’infezione iniziale dei sistemi.
– Negoziatori: Esperti che gestiscono la comunicazione con le vittime e negoziano il pagamento del riscatto. Questi individui devono essere abili nel manipolare le vittime e nel convincerle a pagare.
– Launderers (Riciclatori di denaro): Specialisti nel riciclaggio dei pagamenti dei riscatti, spesso attraverso criptovalute, per nascondere l’origine illecita dei fondi e proteggere l’identità dei membri del gruppo.
Comportamento dei gruppi ransomware
I gruppi ransomware seguono un modello operativo relativamente standardizzato, che può essere suddiviso in varie fasi:
1. Ricerca e selezione degli obiettivi: Identificano le organizzazioni vulnerabili o di alto valore, come ospedali, istituzioni governative, o grandi imprese, che sono più propense a pagare il riscatto.
2. Infiltrazione: Utilizzano tecniche di ingegneria sociale, phishing, o vulnerabilità di sicurezza per guadagnare accesso alla rete dell’obiettivo.
3. Espansione dell’accesso: Una volta all’interno, cercano di ottenere privilegi elevati e di diffondersi all’interno della rete per cifrare quanti più file possibile.
4. Cifratura: Attivano il ransomware per cifrare i file, rendendoli inaccessibili, e lasciano istruzioni su come pagare il riscatto.
5. Negoziazione: Se la vittima contatta il gruppo, iniziano le negoziazioni per il pagamento del riscatto, spesso in criptovaluta per mantenere l’anonimato.
6. Raccolta del riscatto e decifratura: Una volta ricevuto il pagamento, possono fornire alla vittima la chiave di decifratura.
Questi gruppi sono notoriamente difficili da rintracciare e perseguire a causa dell’uso di tecniche avanzate di anonimato, della natura transnazionale delle loro operazioni e del riciclaggio dei pagamenti dei riscatti attraverso criptovalute. La loro capacità di adattarsi rapidamente alle contromisure di sicurezza li rende avversari formidabili per le organizzazioni e gli enti di law enforcement di tutto il mondo.
Se vuoi imparare a migliorare la tua postura di cybersecurity
ed allenarti alla protezione continua,
ti aspettiamo il 10 aprile alla Cyber Security Conference 2024
I principali e più noti gruppi ransomware
Negli ultimi anni, diversi gruppi ransomware si sono distinti per la loro pericolosità, sofisticatezza e l’impatto dei loro attacchi. Questi gruppi hanno colpito grandi aziende, enti governativi e infrastrutture critiche, richiedendo riscatti milionari e causando interruzioni significative. Di seguito, alcuni dei più noti e influenti:
1. WannaCry
WannaCry ha guadagnato notorietà nel maggio 2017, quando ha infettato più di 230.000 computer in oltre 150 paesi in meno di un giorno. Questo worm si è diffuso sfruttando una vulnerabilità nei sistemi Windows, precedentemente scoperta dalla NSA e resa pubblica dal gruppo hacker Shadow Brokers. WannaCry è stato particolarmente dannoso per il sistema sanitario britannico (NHS), causando la cancellazione di appuntamenti e interventi.
2. NotPetya
NotPetya è emerso nel giugno 2017, inizialmente mirando all’Ucraina ma diffondendosi rapidamente a livello globale. Sebbene mascherato da ransomware, NotPetya funzionava più come un wiper, progettato per cancellare permanentemente i dati anziché cifrarli per un riscatto. Ha colpito grandi aziende come Maersk e Merck, causando danni per miliardi di dollari.
3. Ryuk
Ryuk è apparso per la prima volta alla fine del 2018 e si è rapidamente guadagnato una reputazione per i suoi attacchi mirati e i riscatti elevati, spesso richiesti in Bitcoin. Ryuk tende a colpire organizzazioni con capacità di pagare riscatti significativi, come ospedali, enti governativi e grandi imprese. Questo gruppo è noto per la sua attenta pianificazione e l’approccio mirato, studiando le reti delle vittime per massimizzare l’impatto del loro attacco.
4. Maze
Maze è stato uno dei primi gruppi ransomware a utilizzare la tecnica del “double dip”, cifrando i dati delle vittime e allo stesso tempo esfiltrandoli. Prima di cifrare i file, Maze rubava dati sensibili, minacciando poi di rilasciarli pubblicamente se il riscatto non veniva pagato. Questo gruppo ha colpito numerose organizzazioni in vari settori, compresa la sanità, il diritto e le finanze, prima di annunciare la loro “chiusura” nel novembre 2020.
5. DarkSide
DarkSide è noto per il suo attacco alla Colonial Pipeline nel maggio 2021, che ha causato la chiusura temporanea dell’oleodotto principale per il trasporto di benzina e carburante jet sulla Costa Est degli Stati Uniti. Il gruppo opera con un modello di Ransomware-as-a-Service (RaaS), fornendo il suo software di ransomware ad affiliati in cambio di una parte del riscatto raccolto. DarkSide si è autodescritto come “etico”, affermando di evitare di attaccare ospedali, scuole, governi e organizzazioni non profit.
Caratteristiche comuni e impatto
Questi gruppi condividono diverse caratteristiche, tra cui l’uso di tecniche avanzate di evasione e cifratura, la preferenza per obiettivi ad alto valore e la capacità di causare danni significativi a livello economico e operativo. L’impatto dei loro attacchi va ben oltre il costo immediato del riscatto, includendo interruzioni prolungate delle operazioni, danni alla reputazione e costi di recupero e di rafforzamento della sicurezza IT.
La lotta contro i gruppi ransomware richiede un approccio coordinato che includa la sicurezza informatica proattiva, la collaborazione internazionale tra le forze dell’ordine e un impegno continuo nella consapevolezza e nella formazione degli utenti. Con la crescente sofisticatezza di questi gruppi, diventa sempre più importante adottare pratiche di sicurezza robuste e mantenere i sistemi aggiornati per mitigare il rischio di attacchi.
Riscatti ed obiettivi
I riscatti e gli obiettivi dei gruppi ransomware si concentrano su due aspetti cruciali della loro operatività: la natura e le dimensioni dei riscatti richiesti, e gli obiettivi strategici che guidano la selezione delle loro vittime.
Riscatti: dimensioni e modalità di pagamento
I riscatti richiesti dai gruppi ransomware variano significativamente a seconda della vittima, della capacità percepita di pagare e dell’impatto dell’attacco. Mentre gli attacchi iniziali potevano avere richieste di riscatto nell’ordine di qualche centinaio o migliaia di dollari, gli attacchi recenti vedono cifre che possono raggiungere milioni di dollari. Ad esempio, il ransomware Ryuk e altri gruppi simili hanno richiesto riscatti che vanno dalle decine alle centinaia di Bitcoin, equivalenti a milioni di dollari al momento del pagamento.
Il pagamento viene quasi sempre richiesto in criptovalute per sfruttarne l’anonimato e la difficoltà nel tracciare le transazioni. Questo complica gli sforzi delle autorità di identificare e perseguire i criminali.
Obiettivi strategici
I gruppi ransomware selezionano attentamente i loro obiettivi basandosi su vari criteri strategici:
– Capacità di Pagamento: Organizzazioni grandi e ricche, come aziende multinazionali, ospedali e enti governativi, sono spesso nel mirino perché più propense a pagare somme ingenti per recuperare l’accesso ai dati critici.
– Vulnerabilità di Sicurezza: Le vittime vengono anche scelte in base alla presenza di vulnerabilità note e facilmente sfruttabili nei loro sistemi informatici. A volte, un’analisi preliminare o un attacco esplorativo può precedere l’attacco ransomware vero e proprio.
– Importanza dei Dati: Le organizzazioni che detengono dati estremamente sensibili o critici per le loro operazioni quotidiane sono particolarmente a rischio, poiché la perdita o l’indisponibilità di tali dati può avere conseguenze devastanti.
– Impatto Sociale ed Economico: Alcuni gruppi mirano a massimizzare l’impatto sociale o economico dell’attacco, come nel caso di infrastrutture critiche, per aumentare la pressione sulle vittime a pagare il riscatto.
Doppia estorsione e altre tattiche
Recentemente, la pratica della “doppia estorsione” è diventata comune: i criminali non solo cifrano i dati, ma li esfiltrano anche prima dell’attacco. Questo consente loro di minacciare la pubblicazione dei dati sensibili come ulteriore leva per costringere al pagamento del riscatto, anche se la vittima è in grado di ripristinare i file da backup.
Gli obiettivi e le strategie dei gruppi ransomware evidenziano la loro natura calcolatrice e mirata, nonché la necessità per le organizzazioni di adottare misure di sicurezza proattive e “comprehensive”. Questo include l’aggiornamento e la patch dei sistemi, la formazione degli utenti sulla sicurezza informatica, l’adozione di soluzioni di backup affidabili e la preparazione di piani di risposta agli incidenti. La collaborazione tra le organizzazioni private e le agenzie governative è fondamentale per contrastare efficacemente la minaccia rappresentata dai gruppi ransomware, cercando di interrompere le loro operazioni e di ridurre l’incidenza e l’impatto degli attacchi di ransomware a livello globale.
