Esempi di attacchi Ransomware

Esempi famosi di ransomware

L'aumento degli attacchi ransomware ha visto diversi tipi di ransomware utilizzati per sfruttare le vulnerabilità del sistema in modi diversi.

Ryuk

Ryuk è stato responsabile di alcuni dei più noti attacchi ransomware che hanno colpito le organizzazioni di tutto il mondo. È una forma di crypto ransomware che ha preso di mira in modo specifico le grandi aziende, spesso con l'intento di chiedere un riscatto elevato.

Locky

Locky è una nota variante di ransomware distribuita principalmente tramite allegati di e-mail di phishing, di solito camuffati da fatture, documenti o aggiornamenti software . Una volta cliccato, l'allegato dannoso blocca i file della vittima, rendendoli inaccessibili.

Wannacry

L'attacco WannaCry ha provocato una crisi globale, infettando più di 230.000 computer in 150 Paesi e causando, secondo le stime di , 4 miliardi di dollari di danni. L'attacco ha sfruttato una vulnerabilità nei sistemi Microsoft Windows, in particolare , prendendo di mira i sistemi che non erano stati patchati con un aggiornamento di sicurezza critico.

Coniglio cattivo

Bad Rabbit è stato un attacco ransomware drive-by, ossia si è diffuso attraverso siti web compromessi che gli utenti ignari hanno visitato. Il malware sembrava essere un programma di installazione legittimo di Adobe Flash, ma in realtà era un pezzo di ransomware che criptava i file della vittima del ransomware.

Seghetto alternativo

Il ransomware Petya si diffonde criptando il Master Boot Record (MBR) e rendendo inutilizzabile l'intero sistema. It spesso utilizza le e-mail di phishing come metodo di consegna, causando gravi interruzioni alle aziende bloccando i loro computer a livello di sistema.

NotPetya

NotPetya inizialmente sembrava essere una variante di Petya, ma era molto più distruttiva. Si è diffuso rapidamente utilizzando gli exploit della stessa vulnerabilità di Windows di WannaCry ed è stato progettato non solo per estorcere denaro, ma per causare danni massicci ai sistemi. Ha avuto un impatto sulle organizzazioni di tutto il mondo, in particolare in Ucraina.

Cerber

Cerber è un ceppo di ransomware altamente sofisticato che utilizza tecniche di crittografia avanzate per bloccare i file. È comunemente diffuso attraverso e-mail di phishing con allegati dannosi ed è noto per la sua capacità di adattarsi e cambiare le sue tattiche per evitare il rilevamento.

BitPaymer

Il ransomware BitPaymer è spesso collegato a grandi attacchi ben coordinati. Prende di mira gli ambienti aziendali e cripta i file prima di richiedere un pagamento in Bitcoin per la chiave di decriptazione. La nota di riscatto in genere include un URL a un portale di pagamento basato su TOR.

Cryptolocker

Uno dei ceppi di ransomware più noti, Cryptolocker criptava i file e chiedeva riscatti in valute digitali come Bitcoin. È stato diffuso tramite e-mail di spam e ha infettato con successo un vasto numero di utenti, causando a danni significativi prima della sua eliminazione.

DarkSide

DarkSide è un'operazione di Ransomware-as-a-Service (RaaS), rivolta principalmente agli ambienti aziendali. Ha guadagnato l'attenzione di per il suo ruolo nell'attacco informatico Colonial Pipeline, che ha interrotto le forniture di carburante negli Stati Uniti. DarkSide in genere richiede riscatti elevati, spesso di milioni, e i suoi operatori si sono recentemente estesi ai sistemi basati su Linux.

Dharma

Il ransomware Dharma opera attraverso un modello RaaS, in cui gli aggressori concedono in licenza il ransomware e lo lanciano tramite affiliati. Dharma prende di mira soprattutto le piccole e medie imprese, spesso chiedendo un riscatto di circa 500-2.000 dollari in Bitcoin.

DoppelPaymer

DoppelPaymer è un ceppo altamente pericoloso di ransomware che è stato utilizzato in numerosi attacchi di alto profilo. cripta i file sui sistemi infetti e richiede il pagamento attraverso un portale di pagamento basato su TOR. DoppelPaymer è noto per le sue tattiche aggressive ed è stato collegato a importanti violazioni.

GandCrab

GandCrab è stata una delle famiglie di ransomware più attive e distribuite, con i suoi sviluppatori che aggiornavano costantemente il ceppo . GandCrab è stato diffuso principalmente tramite e-mail di phishing e kit di exploit, e i suoi affiliati hanno utilizzato varie tattiche per infettare obiettivi in tutto il mondo.

Labirinto

Il ransomware Maze è noto per la sua tecnica di doppia estorsione, in cui gli aggressori non solo criptano i dati, ma li rubano anche e minacciano di rilasciarli se non viene pagato il riscatto. Maze ha preso di mira numerose organizzazioni di alto profilo di ed è diventato famoso per l'uso dell'esfiltrazione dei dati oltre alla crittografia.

Tipi comuni di ransomware

I ransomware possono essere ampiamente classificati in due tipi principali: locker ransomware e crypto ransomware. Conoscere la differenza tra questi metodi di attacco è fondamentale per implementare le giuste strategie di difesa nella sua organizzazione .

Locker ransomware

Il ransomware Locker è progettato per bloccare completamente l'utente dal proprio sistema. In genere, questo tipo di ransomware impedisce l'accesso alle funzioni essenziali del sistema, come applicazioni, file o impostazioni, fino a quando non viene pagato un riscatto.

Sebbene inizialmente fosse più comune tra i singoli utenti, si è evoluto in una minaccia ransomware anche per le organizzazioni . Una volta bloccato il sistema, l'aggressore richiede il pagamento di un riscatto, spesso con la minaccia di un'escalation del danno o della perdita di dati .

Questo tipo di attacco può portare a tempi di inattività significativi, incidendo sulla produttività e danneggiando potenzialmente la reputazione del suo marchio .

Il ransomware Locker blocca le funzioni essenziali del computer, tranne che per consentire all'utente di pagare il riscatto e comunicare con i cyber-attaccanti. È stato visto più comunemente contro i consumatori e gli utenti domestici durante la prima storia degli attacchi ransomware .

Crypto ransomware

Il crypto ransomware è una delle forme più dannose di ransomware. Cifra file critici o interi sistemi, rendendoli inaccessibili senza la chiave di decifrazione. In molti casi, le aziende non sono in grado di recuperare i propri dati se non assecondando le richieste dell'aggressore.

Anche se viene fornita una chiave di decodifica dopo il pagamento, non c'è garanzia che i dati vengano ripristinati completamente o senza compromessi. Il tributo finanziario di un attacco crypto ransomware può essere sbalorditivo, sia in termini di costi diretti (come il riscatto pagato) che di costi indiretti (come la perdita di fatturato dovuta all'interruzione delle attività operative).

Il ransomware Crypto cripta i dati, rendendoli irrecuperabili senza la chiave di decriptazione. Questo può causare panico, in quanto gli utenti di possono tipicamente vedere i file, ma non saranno in grado di accedervi, il che può danneggiare i profitti dell'azienda ogni giorno in cui rimane bloccato.

Esempi di attacchi ransomware per le aziende sanitarie

Tutti i tipi di organizzazioni sono stati presi di mira da attacchi ransomware e le organizzazioni sanitarie, compresi gli ospedali, non fanno eccezione.

Dati di informazioni personali protette (PPI) compromessi

In molti attacchi ransomware, i file vengono crittografati in modo da non potervi accedere o i sistemi vengono bloccati in modo da non poter funzionare. Tuttavia, ci sono state anche violazioni significative che hanno compromesso informazioni sensibili e dati personali.

In un caso, i cyber-attaccanti si sono infiltrati nella rete di un'organizzazione sanitaria e hanno avuto accesso ai dati personali di pazienti e donatori. Da febbraio a maggio, i criminali informatici hanno avuto accesso di nascosto ai dati e ne hanno fatto delle copie per loro stessi, che includevano nomi, indirizzi personali e cronologia delle donazioni. Questo ha spinto le vittime a pagare un riscatto per eliminare i dati copiati.

La lezione da trarre da questo esempio di attacco ransomware è quella di proteggere i dati memorizzati tanto quanto la rete.

Mimecast offre soluzioni di sicurezza cloud per consentire alle organizzazioni di archiviare e accedere ai dati sensibili in modo sicuro (e semplice).

Aumento degli attacchi ransomware nel settore sanitario dopo il COVID-19

Secondo Comparitech, gli attacchi ransomware costeranno al settore sanitario statunitense oltre 20 miliardi di dollari solo nel 2020.

Rispetto agli anni precedenti, le organizzazioni sanitarie e gli ospedali hanno registrato un'impennata senza precedenti negli attacchi ransomware nel corso del 2020, e alcuni ipotizzano che COVID-19 abbia reso gli ospedali più vulnerabili ai cyberattacchi e forse anche più disposti a pagare un riscatto.

Una cosa che si può imparare da questa tendenza è che un'organizzazione può essere ancora più vulnerabile nei momenti di crisi. Ecco perché è meglio prepararsi oggi per le potenziali minacce ransomware di domani.

Esempi di attacchi ransomware nelle imprese

Oltre ad essere compromesse dai metodi indicati sopra, le aziende possono essere particolarmente vulnerabili alle password compromesse (date le dimensioni dell'organizzazione). Inoltre, quando vengono compromessi, possono prendere in considerazione l'idea di pagare un riscatto per ridurre le perdite, ma esempi recenti dimostrano che il pagamento di riscatti potrebbe non essere efficace nel prevenire perdite future.

Password compromesse

Una password compromessa è una password a cui ha accesso qualcuno al di fuori dell'organizzazione a cui è destinata. I cyber-attaccanti possono utilizzare una password compromessa per ottenere l'accesso diretto a una rete.

In altri casi, i dipendenti con credenziali hanno intenzionalmente compromesso le password vendendole sui mercati neri.

Questo è ciò che molti sospettano sia accaduto in un importante cyberattacco nell'aprile del 2021. Da un lato, non si può fare molto per impedire ai dipendenti scontenti di vendere informazioni aziendali riservate, ma si possono implementare ulteriori livelli di protezione contro il ransomware per salvaguardare questo comportamento.

Ad esempio, i punti di accesso per un cybercriminale possono richiedere password multiple da parte di più utenti per potervi accedere (verifica multifattoriale). Per sapere come i programmi di sicurezza e-mail di Mimecast possono aiutare a proteggere le password, prenoti una demo.

Quando tagliare le perdite?

Secondo un rapporto pubblicato da Cybereason, l '80% delle aziende che hanno pagato il riscatto ha subito un altro attacco, quasi la metà di quelle che hanno subito un attacco ripetuto dagli stessi cyber-attaccanti.

In molti casi recenti di attacchi informatici che hanno avuto un impatto sulle aziende, i cyber-attaccanti hanno affermato che il pagamento del riscatto è più conveniente rispetto all'assunzione di avvocati per intraprendere un'azione legale o all'assunzione di un'azienda che li aiuti a sbloccare i sistemi e i dati compromessi. Sebbene sia difficile sapere se pagare un riscatto sia la soluzione più semplice o più economica, pagare un riscatto non sempre fa sparire il problema.

Questo è uno dei tanti motivi per cui gli esperti di cyber consigliano alle organizzazioni di non pagare riscatti: dopo tutto, non c'è alcuna garanzia che i cyber-attaccanti rispetteranno i termini dell'accordo per cancellare i dati.

Proteggere la sua azienda dagli attacchi ransomware

I servizi di sicurezza e-mail e cloud possono aiutare le organizzazioni ad adottare le misure necessarie per proteggersi dagli attacchi ransomware.

Imparando dal passato, possiamo creare insieme un futuro più sicuro per tutte le organizzazioni.

Sebbene il ransomware rimanga una minaccia in continua evoluzione, Mimecast offre soluzioni di sicurezza dei dati e delle e-mail che possono aiutare a prevenire l' infiltrazione del ransomware nei suoi sistemi. Per saperne di più sulla protezione del suo team da un attacco ransomware, prenoti oggi stessouna demo di Mimecast.