Comprendere gli attacchi ransomware RaaS
Emerso nel 2019, il ransomware Maze è un tipo di ransomware che prende di mira i sistemi operativi basati su Windows in diversi settori. Il ransomware ha compromesso e bloccato i dati, spesso richiedendo il pagamento di un riscatto sotto forma di bitcoin per rilasciare i dati.
A seguito di un'autodenuncia da parte dei suoi creatori, Maze avrebbe sospeso le operazioni nel 2020, ma poco dopo sono emersi i successivi "successori" di RaaS (ransomware-as-a-service), come il ransomware Egregor.
In questo articolo tratteremo di come funzionano i RaaS come il ransomware Maze, di come si infiltrano nelle organizzazioni e di cosa si può fare per prevenire gli attacchi ransomware.
Che cos'è il RaaS?
Il Ransomware as a Service (Raas) è un modello basato su abbonamento che consente agli affiliati criminali informatici di utilizzare strumenti ransomware già sviluppati per eseguire attacchi ransomware. Molti attacchi impiegano forme evolute di ransomware precedentemente impiegati, in particolare il ransomware Maze che si è evoluto in minacce di cybersicurezza ben note come il ransomware Egregor.
Come funziona il ransomware Maze?
Il ransomware Maze si infiltra per prima cosa nella rete, spesso con campagne di phishing via e-mail, in cui i messaggi di posta elettronica contenenti link al malware o malware scaricabile sono camuffati da documenti Microsoft Word o Excel.
Maze è noto anche per infiltrarsi nelle reti tramite attacchi RDP brute force, che spesso sfruttano con successo le password deboli.
Una volta che Maze si è infiltrato nella rete, i suoi cyberattaccanti lavorano per ottenere privilegi elevati all'interno della rete, in modo da poter distribuire il malware ad altri computer e compromettere quanti più dati possibile.
Una volta compromessi i dati, li esfiltrano su server controllati dai cyberattaccanti.
Come ha fatto Maze a esfiltrare i dati?
Esfiltrare i dati significa spostarli al di fuori di una rete fidata e protetta. Maze ottiene questo risultato utilizzando un protocollo di trasferimento di file (FTP) che poi copia i file su un altro server e li cripta. Ciò significa che le vittime saranno bloccate nell'accesso ai loro file, oltre che nel luogo in cui questi sono archiviati.
Qual era il sito web del ransomware Maze?
Maze gestiva un sito web in cui pubblicava regolarmente i dati compromessi per dimostrare che i suoi attacchi informatici avevano successo e per punire coloro che non pagavano il riscatto.
Nel 2020 Maze ha annunciato sul proprio sito web che avrebbe chiuso, ma molti sospettano che gli operatori di Maze siano ancora in libertà e operino con nomi diversi.
Da dove viene il ransomware Maze?
Non è chiaro da dove provenga esattamente il ransomware Maze, ma si sospetta che il gruppo Maze faccia parte di una vasta rete di affiliati criminali informatici che sviluppano anche altri tipi di malware.
Ciò che è chiaro è che il ransomware Maze ha aperto la strada ai successori di RaaS, ossia Egregor, emerso poco dopo la chiusura di Maze nel 2020.
Attacchi ransomware Egregor
Figlio delle famiglie di ransomware Maze e Sekhmet, Egregor ha iniziato a operare nel settembre del 2020 ed è stato ampiamente distribuito dagli affiliati di Maze. Una delle differenze più notevoli è che il ransomware Egregor non solo rende inefficaci i file e i programmi, ma gli operatori pubblicano anche i dati compromessi se il riscatto non viene pagato entro tre giorni.
Questa tattica di doppia estorsione ha rapidamente reso Egregor una forza da non sottovalutare, con il costo più alto registrato di un riscatto Egregor che ha raggiunto i 4 milioni di dollari.
Egregor ha avuto un periodo di sei mesi prima di essere eliminato dall'FBI e dalle autorità ucraine. Si sospetta che Egregor possa presto riemergere con un altro nome.
Perché un ransomware RaaS è così pericoloso per la sanità
I cyberattaccanti sfruttano le vulnerabilità di tutte le organizzazioni che devono proteggere i dati sensibili, e le organizzazioni sanitarie hanno spesso una pletora di informazioni mediche dei pazienti che devono rimanere protette. I cyberattaccanti possono minacciare di vendere, pubblicare o condividere in altro modo le informazioni protette dall'HIPAA a cui hanno accesso, mettendo le vittime di tali attacchi informatici in una posizione molto difficile.
Nonostante i cyberattacchi, l'importanza di mantenere la conformità HIPAA rappresenta una sfida unica per il settore sanitario, ma ci sono modi per rimanere conformi all'HIPAA senza sacrificare la convenienza della comunicazione e la facilità di funzionamento - e anche proteggendo l'organizzazione dai cyberattaccanti.
Per esempio, i servizi di cybersecurity come Mimecast che offrono canali di comunicazione conformi alla normativa HIPAA per proteggere le informazioni anche quando vengono inviate via e-mail. Quando prendono in considerazione un fornitore di servizi di cybersecurity, le organizzazioni sanitarie faranno bene a lavorare con uno che sia in grado di comprendere e rispettare la conformità HIPAA.
Dovrebbe pagare il riscatto per gli attacchi ransomware RaaS?
In genere è consigliabile non pagare il riscatto per qualsiasi attacco ransomware, poiché non c'è alcuna garanzia che i criminali onoreranno il riscatto. Inoltre, il pagamento del riscatto non impedirà loro di continuare a vendere o visualizzare i dati compromessi.
Si assicuri sempre di segnalare gli attacchi ransomware alle autorità competenti.
Come Mimecast può aiutare a prevenire gli attacchi ransomware RaaS
Sebbene sia quasi impossibile evitare del tutto il ransomware, il modo migliore per mitigare i danni degli attacchi ransomware è collaborare con un fornitore di servizi di cybersecurity come Mimecast.
- I servizi di cybersecurity consentono una comoda protezione e backup dei dati, senza compromettere la comunicazione e il funzionamento ininterrotto all'interno della sua organizzazione.
- Formazione di sensibilizzazione alla sicurezza che mette i suoi team in condizione di proteggere la sua organizzazione
- Esegua il backup dei suoi dati con la sicurezza del cloud di Mimecast.
Per saperne di più su come Mimecast può aiutare a prevenire gli attacchi ransomware , prenoti una demo.
