Dal 2020, ransomware e ransom denial-of-service (RDoS) sono diventati onnipresenti, con attacchi ransomware a occupare i titoli dei giornali quasi ogni settimana. Per quanto ransomware e ransom DoS abbiano un obiettivo comune e alcune delle loro tattiche si sovrappongano, le loro tecniche e il tasso di successo sono piuttosto diversi, così come la minaccia e il potenziale impatto per le aziende. Nel corso del tempo, con l'evoluzione di entrambe le minacce la loro reputazione e le loro tecniche si sono incrociate.
Ransomware
Gli attacchi ransomware sfruttano un crypto-locking malware che distrugge i sistemi e rende i dati inaccessibili. Il crypto-locking malware deve essere installato sui server all'interno dell'azienda. Gli aggressori devono violare la rete o un dispositivo all'interno della rete e quindi muoversi lateralmente all’interno per colpire quanti più sistemi e bloccare quanti più dati possibile. L'accesso iniziale viene tipicamente fornito da Initial Access Broker, intermediari che usano propri metodi per violare e ottenere una base di partenza nelle reti e vendono tale accesso ad altri attori di minacce, principalmente bande di ransomware o loro affiliati.
Gli attacchi ransomware rendono i sistemi inutilizzabili e i dati inaccessibili. In molti casi, dati sensibili vengono estratti col potenziale rischio di fuga.
Ransom DoS
Gli aggressori RDoS sfruttano attacchi denial-of-service per estorcere denaro dalle loro vittime. Interrompendone i servizi online, possono impattare sul business, la produttività e la reputazione di un'azienda. Gli aggressori prendono di mira risorse online come siti web, servizi di nomi di dominio, API web, lobby di gioco, etc. per rendere inutilizzabili i servizi online e incidere negativamente sulla reputazione dell'azienda. Essi possono anche impattare sulla produttività delle aziende, prendendo di mira l'accesso vocale, di posta elettronica e remoto in filiali o da lavoratori da remoto. Altri target includono la connettività internet necessaria per accedere ad applicazioni cloud, impianti di produzione dipendenti dalla connettività per operazioni da remoto e il cloud per lo scambio di dati logistici con applicazioni di pianificazione delle risorse e aziende esterne.
È importante sottolineare che, a differenza degli attacchi ransomware, gli attacchi RDoS e DDoS in generale non violano reti o sistemi. Durante gli attacchi non vengono rubati o compromessi dati.
Un attacco RDoS inizia con l'invio da parte dell'aggressore di un messaggio privato, per esempio via e-mail utilizzando un provider di posta elettronica attento alla privacy, chiedendo il pagamento di un riscatto per evitare che l’azienda diventi l'obiettivo del prossimo attacco. Se l’azienda decide di non pagare entro la scadenza fissata, gli aggressori scateneranno un attacco DDoS che continuerà fino all'avvenuto pagamento del riscatto. Solitamente, il riscatto richiesto aumenta per ogni giorno in cui la vittima rifiuta di pagare.
In realtà, gli attacchi DDoS tendono a scomparire non appena l'attore vede che i suoi tentativi vengono mitigati con successo. Durano diverse ore, cambiano i vettori cercando di eludere i sistemi di rilevamento e mitigazione, potrebbero spuntare di nuovo diversi giorni dopo i tentativi falliti, ma alla fine gli estorsori sono costretti ad andarsene a mani vuote.
[Ti potrebbe interessare anche: Why Understanding Cyber Criminals Behavior and Tools is Vital]
| (dati 2021, in USD) | Ransomware | Ransom DoS |
| Obiettivo | Lucro | Lucro |
| Tattica | Estorsione | Estorsione |
| Tecnica primaria | Criptoblocco | DDoS |
| Impatto | Permanente (fino a recupero) | Transitorio (fintanto che dura l'attacco) |
| Valuta del riscatto | Bitcoin | Bitcoin |
| Richiesta media di riscatto | $5,3 milioni in media [1] | $5.000 fino a $1 milione [2] |
| Pagamento medio del riscatto | $570.000 | ~ $0,0 |
| Pagamento più alto | $40 milioni [3] | $6.000 nel 2015 [7] |
| Tasso di successo | 70% [4] | Molto basso |
| Costo stimato del danno | $1,85 milioni in media [5] | Da $9 a 12$ milioni [6] |
| Difesa | Difesa in profondità, segmentazione per limitare l'impatto, ma nessuna formula magica | Servizio di protezione DDoS adeguato |
Estorsione tripla ransomware
Le tecniche sfruttate dagli operatori ransomware si sono evolute e diversificate per aumentare la possibilità di raggiungere l’obiettivo. Dal momento che le vittime si preparavano meglio e i backup erano facilmente disponibili per ripristinare e riprendersi dal malware crittografico, gli operatori ransomware hanno iniziato a esfiltrare i dati sensibili che avrebbero dato loro un maggiore vantaggio sulla vittima. Se la vittima non era ancora impressionata, gli operatori cominciavano a minacciare attacchi DDoS spingendo la vittima a tornare a negoziare.
Attori ransom DoS che si atteggiano a bande ransomware
Il successo, l'impatto e il dramma che circondano le bande ransomware altamente visibili non sono sfuggiti all'attenzione di altri criminali. In una delle campagne RDoS più recenti contro provider VoIP in Regno Unito e Canada, gli attori si sono spacciati per "REvil", una famigerata banda ransomware responsabile dei devastanti attacchi a JBS SA e Kaseya Ltd. Analogamente agli operatori ransomware che annunciano nuove vittime sui blog underground, questi attori RDoS hanno condiviso la loro lettera di riscatto attraverso Pastebin e ricattato pubblicamente una delle loro vittime (Voip.ms) su Twitter al fine di aumentare la pressione sulla stessa.
Figura 1: Attore che si finge “REvil” ed espone pubblicamente le sue minacce su Twitter
[Ti potrebbe interessare anche: How to Respond to a DDoS Ransom Note]
Figura 2: screen capture di una lettera di riscatto condivisa pubblicamente su Pastebin da un attore RDoS che si finge “REvil”
Difendersi da ransomware e ransom DoS
Parlando per esperienza personale, devo ancora vedere un attacco DDoS che riesca a sfondare le nostre difese. Ciò premesso, c'è sempre una piccola finestra temporale in cui il traffico malevolo può potenzialmente penetrare mentre gli algoritmi di rilevamento stanno creando firme automatiche per bloccarlo e sintonizzare le firme per evitare falsi positivi che bloccherebbero il traffico legittimo. Tuttavia, secondo la mia esperienza, in generale non c’è alcun motivo per pagare il riscatto se si è protetti da un servizio DDoS adeguato.
Per contro, il ransomware è una minaccia da cui è molto difficile difendersi e dura da eliminare. Gli operatori ransomware hanno organizzato ecosistemi sotterranei e raccolto molto seguito tra abili hacker mercenari e affiliati ben felici di condividere i profitti derivanti da grandi campagne di estorsione. L'incentivo è diventato troppo grande e la domanda di competenze e risorse di hacking nell'underground è cresciuta da quando gli operatori di ransomware hanno avuto successo con le loro campagne. Con attori di minacce altamente motivati che cercano pagamenti da gruppi organizzati di criminalità informatica, gli attacchi sono passati da quelli automatizzati a quelli gestiti dall'uomo. Una cosa è difendersi dall’automazione, un’altra, molto più difficile, è difendersi dall’intelligenza umana e dalla perseveranza dettata da pagamenti multimilionari.
[Ti è piaciuto il post? Registrati subito per ricevere ogni settimana le ultime novità Radware direttamente nella tua email oltre all'accesso esclusivo al Premium Content di Radware.]
Note a piè pagina e riferimenti
- Extortion Payments Hit New Records as Ransomware Crisis Intensifies (paloaltonetworks.com)
- Le richieste di riscatto fluttuano, le campagne del 2020 chiedevano fino a 20 BTC mentre le campagne più recenti di un attore che si spacciava per "The Cursed Partriarch" si sono accontentate di appena 0,06 BTC.
- 81 Ransomware Statistics, Data, Trends and Facts for 2021 | Varonis
- Study: 70 Percent of Businesses Hit with Ransomware Paid the Ransom | Healthcare Innovation (hcinnovationgroup.com)
- The True Cost of Ransomware (backblaze.com)
- Bandwidth.com expects to lose up to $12M following DDoS extortion attempt – The Record by Recorded Future
- Update regarding the DDoS attack – ProtonMail Blog