Il ransomware Sodinokibi/REvil spiegato
Le reti di criminali informatici, spesso note come "famiglie di ransomware", sono diventate sempre più sofisticate negli ultimi anni. Una famiglia di ransomware, nota come "Sodinokibi" o "REvil", si è fatta un nome utilizzando il modello "Ransomware-as-a-Service" (RaaS) per attaccare sia grandi aziende che privati.
Più le operazioni di ransomware si complicano, più è difficile rintracciare i principali responsabili. Ecco perché i servizi di cybersecurity come Mimecast sono così importanti. Offrono gli strumenti e le partnership necessarie per proteggersi dalle reti avanzate di criminali informatici e dal loro crescente elenco di tecniche ed exploit.
Che cos'è il Ransomware-as-a-Service?
Il modello RaaS funziona attraverso una rete preesistente di attori criminali informatici. I distributori svilupperanno il malware in modo che funzioni nel modo più distruttivo possibile e poi passeranno questo software agli "affiliati". Questi affiliati eseguiranno poi l'attacco ransomware vero e proprio.
Di solito, gli affiliati ottengono l'accesso al malware attraverso servizi in abbonamento che comportano un taglio mensile per i distributori e gli affiliati, oppure acquistano una licenza unica dagli sviluppatori, in modo simile a come funzionano molte piattaforme software commerciali.
Il vantaggio di questo modello è che rintracciare la fonte del malware e rintracciare gli aggressori cybercriminali diventa un compito duplice. Anche se si trovano gli affiliati, le loro tracce non conducono necessariamente agli sviluppatori del software e viceversa.
Come funziona il ransomware Sodinokibi?
La famiglia di ransomware Sodinokibi/REvil utilizza una varietà di vettori di attacco, sfruttando gli attacchi RDP, le vulnerabilità del software e la suscettibilità umana agli attacchi di phishing e alle truffe via e-mail.
Una volta che gli affiliati di Sodinokibi/REvil hanno trovato un modo per installare i loro file nel suo sistema, cripteranno i suoi file e tutti i backup esistenti che riusciranno a trovare sulla sua rete. Riceverà quindi un messaggio che le chiederà un pagamento in Bitcoin in cambio dei suoi file mancanti.
Se è vittima di un attacco, si raccomanda di non negoziare con gli aggressori. Non c'è alcuna garanzia che riceverà le sue informazioni e, anche se le riceve, non c'è nulla che impedisca a questi criminali informatici di vendere copie delle sue informazioni private ad altri criminali.
Che cos'è il ransomware Sodinokibi/REvil?
Il ransomware Sodinokibi è una particolare operazione di Ransomware-as-a-Service che sembra aver avuto origine in Russia o nell'Europa orientale intorno al 2019. L'obiettivo di questa famiglia di ransomware sembra essere esplicitamente monetario, in quanto la loro modalità di funzionamento generale consiste nel raccogliere informazioni private o dati aziendali e minacciare di pubblicare queste informazioni a meno che non venga pagato il riscatto.
Sin dall'inizio, la famiglia ha attaccato aziende di grandi dimensioni come Apple, e ha preso di mira anche celebrità e politici, come Madonna ed ex presidenti degli Stati Uniti.
Tuttavia, ci sono dubbi sul fatto che il gruppo sia ancora attivo. A partire dal luglio 2021, tutti i siti web noti affiliati al ransomware Sodinokibi/REvil sono stati inattivati. Sebbene l'inattività sia promettente, questo silenzio radio non garantisce affatto che il gruppo abbia cessato del tutto le sue attività. Potrebbe significare che sono diventati più difficili da trovare.
Come posso proteggermi da REvil/Sodinokibi?
Il modo migliore per proteggersi dal ransomware REvil/Sodinokibi è adottare un approccio su più fronti che preveda la sensibilizzazione alla sicurezza, la scansione delle e-mail e l'audit delle misure di cybersecurity attuali.
La sensibilizzazione alla sicurezza implica la formazione del suo personale a riconoscere le potenziali truffe di phishing e gli allegati email difettosi. Questa dovrebbe essere sempre la prima linea di difesa per le aziende, poiché il phishing e le truffe via e-mail sono i vettori di attacco più comuni per i criminali del ransomware, comprese le famiglie come Sodinokibi.
Gli esperti di cybersecurity come Mimecast offrono formazione sulla consapevolezza della sicurezza, scansione delle e-mail e archivi di recupero basati sul cloud, in modo che anche se subisce un attacco ransomware, non debba sentirsi in debito con i criminali informatici per ottenere l'accesso alle informazioni private.
Tenga il passo con Sodinokibi e altre famiglie di ransomware
Che si tratti del ransomware Sodinokibi o di qualsiasi altra rete di ransomware, lei e la sua organizzazione dovete essere attrezzati per gestire gli attacchi di cybersecurity. In caso contrario, il rischio di questi attacchi è abbastanza elevato da rischiare di perdere l'intera infrastruttura IT, oltre a tutte le informazioni private archiviate all'interno della rete IT.
Mimecast le fornisce tutti gli strumenti necessari per prevenire questi incidenti. Inoltre, dotano lei e il suo team delle conoscenze e della leva per gestire eventuali attacchi nel caso in cui si verifichino.
Scopra di più su come Mimecast può aiutare la sua organizzazione e collabori con Mimecast oggi stesso per proteggersi dal ransomware.
