Perché il ransomware è un grosso problema di sicurezza informatica e cosa bisogna fare per fermarlo Guarda ora
L'improvvisa scomparsa di uno dei servizi di ransomware più prolifici ha costretto i truffatori a passare ad altre forme di ransomware e una in particolare ha visto una grande crescita di popolarità.
La banda di ransomware REvil, nota anche come Sodinokibi, si è oscurata a luglio, poco dopo essersi ritrovata ad attirare l'attenzione della Casa Bianca in seguito al massiccio attacco ransomware, che ha colpito 1.500 organizzazioni in tutto il mondo.
Non è ancora chiaro se REvil si sia ritirato definitivamente o se tornerà con un marchio diverso, ma gli affiliati dello schema ransomware non stanno aspettando di scoprirlo; stanno passando all'utilizzo di altre marche di ransomware e, secondo l'analisi dei ricercatori di sicurezza informatica di Symantec, il ransomware LockBit è diventato l'arma preferita.
VEDERE: Una strategia vincente per la sicurezza informatica (rapporto speciale ZDNet)
LockBit è apparso per la prima volta a settembre 2019 e i suoi creatori hanno aggiunto uno schema ransomware-as-a-service a gennaio 2020, consentendo ai criminali informatici di affittare LockBit per lanciare attacchi ransomware, in cambio di una riduzione dei profitti.
< p>LockBit non è di così alto profilo come altre forme di ransomware, ma chi lo utilizza ha guadagnato da solo dai riscatti pagati in Bitcoin.
Ora l'apparente scomparsa di REvil ha portato a un aumento dei criminali informatici che si sono rivolti a LockBit per condurre attacchi ransomware, aiutati dagli autori di LockBit che si sono impegnati a offrire una versione aggiornata.
“LockBit ha pubblicizzato in modo aggressivo nuovi affiliati nelle ultime settimane. In secondo luogo, affermano di avere una nuova versione del loro carico utile con velocità di crittografia molto più elevate. Per un utente malintenzionato, più velocemente puoi crittografare i computer prima che il tuo attacco venga scoperto, più danni causerai”, ha detto a ZDNet Dick O'Brien, redattore di ricerca senior presso Symantec.
I ricercatori notano che molti di coloro che ora usano LockBit stanno usando le stesse tattiche, strumenti e procedure che usavano in precedenza nel tentativo di consegnare REvil alle vittime: hanno appena cambiato il carico utile.
Questi metodi includono lo sfruttamento di vulnerabilità firewall e VPN prive di patch o attacchi di forza bruta contro i servizi RPD (Remote Desktop Protocol) lasciati esposti a Internet, nonché l'uso di strumenti tra cui Mimikatz e Netscan per aiutare a stabilire l'accesso alla rete necessaria per installare il ransomware.
E come altri gruppi di ransomware, anche gli aggressori LockBit utilizzano attacchi di doppia estorsione, rubando dati alla vittima e minacciando di pubblicarli se non viene pagato un riscatto.
Anche se finora è sfuggito al radar, gli aggressori che utilizzano LockBit lo hanno implementato in un tentativo di attacco ransomware contro Accenture , anche se la società ha affermato che non ha avuto alcun effetto in quanto sono stati in grado di ripristinare i file dal backup.
LockBit ha attirato anche l'attenzione dei servizi di sicurezza nazionale; l'Australian Cyber Security Center (ACSC) ha pubblicato un avviso su LockBit 2.0 questa settimana, avvertendo di un aumento degli attacchi.
VEDI: Questo nuovo attacco di phishing è “più subdolo del solito”, avverte Microsoft
Il ransomware rappresenta una minaccia per le organizzazioni, indipendentemente dal marchio utilizzato. Solo perché un gruppo di alto profilo è apparentemente scomparso, per ora, non significa che il ransomware sia meno pericoloso.
“Consideriamo LockBit una minaccia comparabile. Non è solo il ransomware stesso, è l'abilità degli aggressori che lo distribuiscono. In entrambi i casi, gli aggressori dietro le minacce sono piuttosto abili”, ha affermato O'Brien.
“A breve termine, prevediamo che Lockbit continuerà a essere una delle famiglie di ransomware più utilizzate negli attacchi mirati. Le prospettive a lungo termine dipendono dal fatto che alcuni degli sviluppatori di ransomware recentemente scomparsi, come come REvil e Darkside – tornano”, ha aggiunto.
Per proteggersi dagli attacchi ransomware, le organizzazioni devono garantire che software e servizi siano aggiornati con le patch più recenti, in modo che i criminali informatici non possano sfruttare le vulnerabilità note per accedere alle reti. Si consiglia inoltre di applicare l'autenticazione a più fattori a tutti gli account utente, per impedire agli aggressori di utilizzare facilmente password trapelate o rubate.
Le organizzazioni dovrebbero anche eseguire regolarmente il backup della rete, quindi in caso di caduta vittima di un attacco ransomware, la rete può essere ripristinata senza pagare un riscatto.
ALTRO SULLA CYBERSECURITY
Questo grave attacco ransomware è stato sventato all'ultimo minuto. Ecco come l'hanno individuatoRansomware: questi sono i due modi più comuni in cui gli hacker entrano nella tua reteCon l'aumento degli attacchi ransomware, gli Stati Uniti lanciano un nuovo sito per combattere la minaccia strong>Abbiamo raggiunto il picco di ransomware? Come è cresciuto il più grande problema di sicurezza di Internet e cosa succede dopoQuesta azienda è stata colpita da un ransomware. Ecco cosa hanno fatto dopo e perché non hanno pagato
Argomenti correlati:
Security TV Data Management CXO Data Center 
< p class="meta"> Di Danny Palmer | 13 agosto 2021 — 09:00 GMT (10:00 BST) | Argomento: Sicurezza