I virus ransomware, come altri tipi di malware, si evolvono e cambiano nel corso degli anni: da semplici armadietti che impedivano all'utente di accedere al sistema e ransomware "polizia" che minacciavano procedimenti giudiziari per fittizie violazioni della legge, siamo arrivati ai programmi di crittografia. Questi malware crittografano i file sui dischi rigidi (o interi dischi) e richiedono un riscatto non per la restituzione dell'accesso al sistema, ma per il fatto che le informazioni dell'utente non verranno cancellate, vendute sulla darknet o esposte al pubblico online . Inoltre, il pagamento del riscatto non garantisce affatto la ricezione della chiave per decrittografare i file. E no, questo “è già successo cento anni fa”, ma è una minaccia ancora attuale.
Dato il successo degli hacker e la redditività di questo tipo di attacchi, gli esperti ritengono che la loro frequenza e ingegnosità non potranno che aumentare in futuro. Di
Gli specialisti di Trend Micro hanno analizzato gli attacchi tramite virus ransomware nei primi mesi del 2019 e in questo articolo parleremo delle principali tendenze che attendono il mondo nella seconda metà.
Virus ransomware: un breve dossier
Il significato del virus ransomware è chiaro già dal nome stesso: minacciando di distruggere (o, al contrario, di pubblicare) informazioni riservate o preziose per l'utente, gli hacker le utilizzano per chiedere un riscatto per restituirne l'accesso. Per gli utenti ordinari, un simile attacco è spiacevole, ma non critico: la minaccia di perdere una raccolta musicale o foto delle vacanze degli ultimi dieci anni non garantisce il pagamento di un riscatto.
La situazione sembra completamente diversa per le organizzazioni. Ogni minuto di inattività aziendale costa denaro, quindi la perdita di accesso a un sistema, ad applicazioni o dati per un'azienda moderna equivale a perdite. Ecco perché negli ultimi anni il focus degli attacchi ransomware si è gradualmente spostato dal bombardamento dei virus alla riduzione dell'attività e al passaggio a raid mirati contro organizzazioni in aree di attività in cui le possibilità di ricevere un riscatto e la sua entità sono maggiori. A loro volta, le organizzazioni stanno cercando di proteggersi dalle minacce in due modi principali: sviluppando modi per ripristinare in modo efficace infrastrutture e database dopo gli attacchi e adottando sistemi di difesa informatica più moderni che rilevano e distruggono tempestivamente il malware.
Per rimanere aggiornato e sviluppare nuove soluzioni e tecnologie per combattere il malware, Trend Micro analizza continuamente i risultati ottenuti dai suoi sistemi di sicurezza informatica. Secondo TrendMicro
La scelta della vittima nel 2019
Quest’anno i criminali informatici sono diventati chiaramente molto più selettivi nella scelta delle vittime: prendono di mira le organizzazioni meno protette e disposte a pagare ingenti somme per ripristinare rapidamente la normale operatività. Ecco perché dall'inizio dell'anno si sono già registrati diversi attacchi contro strutture governative e amministrazioni di grandi città, tra cui Lake City (riscatto - 530mila dollari) e Riviera Beach (riscatto - 600mila dollari).
Suddivisi per settore, i principali vettori di attacco si presentano così:
— 27% — agenzie governative;
— 20% — produzione;
— 14% — assistenza sanitaria;
— 6% — commercio al dettaglio;
— 5% — istruzione.
I criminali informatici spesso utilizzano OSINT (public source intelligence) per prepararsi a un attacco e valutarne la redditività. Raccogliendo informazioni, comprendono meglio il modello di business dell'organizzazione e i rischi reputazionali che potrebbe subire a seguito di un attacco. Gli hacker cercano anche i sistemi e i sottosistemi più importanti che possono essere completamente isolati o disabilitati utilizzando virus ransomware: ciò aumenta le possibilità di ricevere un riscatto. Ultimo ma non meno importante, viene valutato lo stato dei sistemi di sicurezza informatica: non ha senso lanciare un attacco contro un'azienda i cui specialisti IT sono in grado di respingerlo con un'alta probabilità.
Nella seconda metà del 2019 questa tendenza sarà ancora rilevante. Gli hacker troveranno nuove aree di attività in cui l'interruzione dei processi aziendali porta alle massime perdite (ad esempio trasporti, infrastrutture critiche, energia).
Metodi di penetrazione e infezione
Anche in questo settore si verificano costantemente cambiamenti. Gli strumenti più diffusi restano il phishing, la pubblicità dannosa su siti web e pagine Internet infette nonché gli exploit. Allo stesso tempo, il principale “complice” degli attacchi rimane l’utente dipendente che apre questi siti e scarica file tramite collegamenti o e-mail, il che provoca un’ulteriore infezione dell’intera rete dell’organizzazione.
Tuttavia, nella seconda metà del 2019 a questi strumenti si aggiungeranno:
- uso più attivo degli attacchi utilizzando l'ingegneria sociale (un attacco in cui la vittima esegue volontariamente le azioni desiderate dall'hacker o fornisce informazioni, credendo, ad esempio, di comunicare con un rappresentante della direzione o un cliente dell'organizzazione), che semplifica la raccolta di informazioni sui dipendenti da fonti accessibili al pubblico;
- utilizzo di credenziali rubate, ad esempio login e password per sistemi di amministrazione remota, acquistabili sulla darknet;
- hacking fisico e penetrazione che consentiranno agli hacker in loco di scoprire sistemi critici e sconfiggere la sicurezza.
Metodi per nascondere gli attacchi
Grazie ai progressi nella sicurezza informatica, incluso Trend Micro, il rilevamento delle classiche famiglie di ransomware è diventato molto più semplice negli ultimi anni. Le tecnologie di machine learning e analisi comportamentale aiutano a identificare il malware prima che penetri nel sistema, quindi gli hacker devono trovare modi alternativi per nascondere gli attacchi.
Già noto agli specialisti nel campo della sicurezza informatica e le nuove tecnologie dei criminali informatici mirano a neutralizzare i sandbox per analizzare file sospetti e sistemi di apprendimento automatico, sviluppare malware senza file e utilizzare software con licenza infetto, compresi software di fornitori di sicurezza informatica e vari servizi remoti con accesso a la rete dell'organizzazione.
Conclusioni e raccomandazioni
In generale, possiamo dire che nella seconda metà del 2019 c'è un'alta probabilità di attacchi mirati contro grandi organizzazioni capaci di pagare ingenti riscatti ai criminali informatici. Tuttavia, non sempre gli hacker sviluppano soluzioni di hacking e malware da soli. Alcuni di loro, ad esempio, il famigerato team GandCrab, che lo ha già fatto
In tali condizioni, le organizzazioni devono aggiornare costantemente i propri sistemi di sicurezza informatica e gli schemi di recupero dei dati in caso di attacco, perché l’unico modo efficace per combattere i virus ransomware non è pagare un riscatto e privare i propri autori di una fonte di profitto.
Fonte: habr.com