Microsoft ha rivelato che i suoi team di sicurezza stanno monitorando più di 100 bande e oltre 50 famiglie di ransomware che sono state utilizzate attivamente fino alla fine dello scorso anno.
“Alcuni dei payload ransomware più importanti nelle recenti campagne sono Lockbit Black, BlackCat (aka ALPHV), Play, Vice Society, Black Basta e Royal”, ha detto Microsoft.
Secondo Microsoft “le strategie di difesa dovrebbero concentrarsi meno sui payload, ma più sulla catena di attività che portano alla loro implementazione”, poichè le bande di ransomware stanno ancora prendendo di mira server e dispositivi non ancora patchati contro vulnerabilità comuni o recentemente affrontate.
Focus sui comportamenti che precedono gli attacchi
Infatti, mentre le nuove famiglie di ransomware si evolvono continuamente con nuove varianti, la maggior parte degli attacchi utilizza le stesse tattiche quando penetra e si diffonde attraverso le reti. In questo senso dunque si rivela ancor più utile studiare questi comportamenti per contrastare le minacce. L’azienda di Redmond ha evidenziato che gli aggressori si affidano sempre più a tattiche che vanno oltre il phishing per condurre i loro attacchi. Attori delle minacce, come ad esempio DEV-0671 e DEV-0882, sfruttano le vulnerabilità di Exchange Server recentemente patchate per hackerare server vulnerabili e distribuire il ransomware Cuba e Play.
Oltre 60.000 server Exchange esposti a Internet sono ancora vulnerabili agli attacchi che sfruttano gli exploit RCE di ProxyNotShell. Allo stesso tempo, migliaia di persone aspettano ancora di essere protette dagli attacchi mirati ai difetti di ProxyShell e ProxyLogon, due dei difetti di sicurezza più sfruttati del 2021.
La scorsa settimana, il team di Microsoft Exchange ha esortato gli amministratori a distribuire l’ultimo aggiornamento cumulativo supportato (CU) per proteggere i server Exchange locali e a tenersi sempre pronti a installare un aggiornamento per la protezione di emergenza.
Le vulnerabilità più sfruttate
Pochi mesi fa le autorità di sicurezza informatica di tutto il mondo, in collaborazione con la NSA e l’FBI, avevano pubblicato un elenco delle prime 15 vulnerabilità sfruttate abitualmente dagli attori delle minacce nel corso del 2021. Le autorità di sicurezza informatica hanno esortato le organizzazioni a correggere prontamente questi difetti di sicurezza e implementare sistemi di gestione delle patch per ridurre la superficie di attacco.
A livello globale, sono stati osservati attori di minacce concentrare i loro attacchi su sistemi Internet, inclusi server di posta elettronica e reti private virtuali (VPN), utilizzando exploit mirati alle vulnerabilità appena divulgate.
Altri attori del ransomware stanno passando o utilizzando il malvertising per fornire downloader di malware che aiutano a infiltrare ransomware e vari altri ceppi di malware, come quelli legati al furto di informazioni. Ad esempio, un attore di minacce monitorato come DEV-0569, ritenuto un broker di accesso iniziale per bande di ransomware, sta ora abusando di Google Ads in campagne pubblicitarie diffuse per distribuire malware, rubare password da dispositivi infetti e, infine, ottenere l’accesso alle reti aziendali.
Calano gli introiti delle gang ma non il numero di attacchi
L’anno scorso è stato segnato dalla fine dell’operazione di criminalità informatica del gruppo Conti e dall’ascesa di nuove operazioni ransomware-as-a-service (Raas), tra cui Royal, Play e BlackBasta. Nel frattempo, gli operatori di ransomware LockBit, Hive, Cuba, BlackCat e Ragnar hanno continuato a violare e tentare di estorcere un numero costante di vittime per tutto il 2022.
Tuttavia, le bande di ransomware hanno visto un massiccio calo delle entrate di circa il 40% l’anno scorso in quanto sono state in grado di estorcere solo circa $ 456,8 milioni dalle vittime per tutto il 2022, dopo che nei due anni precedenti si era raggiunto un record di $ 765 milioni.
Tuttavia, questo calo significativo degli introiti non è stato causato da un minor numero di attacchi, ma dal rifiuto delle vittime di pagare le richieste di riscatto degli aggressori. Quest’anno è iniziato con una grande vittoria contro i gruppi di ransomware dopo la fuga di dati del ransomware Hive e con il sequestro dei siti segreti di pagamento Tor come parte di un’operazione internazionale di applicazione della legge che coinvolge il Dipartimento di Giustizia degli Stati Uniti, l’FBI, i servizi segreti ed Europol.
Dopo aver hackerato i server di Hive, l’FBI ha distribuito più di 1.300 chiavi di decrittazione alle vittime di Hive e ha ottenuto l’accesso ai record di comunicazione di Hive, agli hash dei file malware e ai dettagli su 250 affiliati.
Dopo aver subito un attacco
Nel malaugurato caso d’essere stati vittima di un attacco ransomware, la procedura più corretta resta quella di isolare e spegnere quanto prima le macchine colpite. Inoltre:
- non cancellare i file che l’attaccante ha scritto nelle varie cartelle;
- non formattare il disco;
- non pagare il riscatto ai criminali: molto spesso il pagamento non porta al recupero dei dati nè evita attacchi successivi;
- non rimuovere alcun file dal disco infetto.
A questo punto è consigliabile contattare un esperto di recupero dati infettati da ransomware per una diagnosi affidabile di cosa e quanto possa essere recuperato.
Foto di Sigmund
