Gruppi ransomware: ecco i più pericolosi e come operano

In questo articolo, esamineremo alcuni dei principali gruppi ransomware che le aziende dovrebbero conoscere, inclusi alcuni dei loro obiettivi di più alto profilo.

Il ransomware sta diventando un settore sempre più redditizio per i criminali che sfruttano le vulnerabilità delle aziende e prendono in ostaggio i loro dati per ottenere un riscatto.

Secondo i dati di Check Point Research, i danni economici per le vittime di ransomware, nel corso del 2022, si sono aggirati dallo 0,7% al 5% delle loro entrate, per una media di poco inferiore al 3%.

Numeri che possono sembrare bassi ma che, moltiplicati per l’ammontare delle vittime, circa 10 al giorno nei soli Stati Uniti lo scorso anno, diventano importanti.

Con così tanti soldi da guadagnare, i cosiddetti “gruppi ransomware” o “gang ransomware” stanno diventando molto grandi e specializzate.

Si tratta di collettivi oramai organizzati, con esperti sparsi anche localmente in punti disseminati nel Pianeta. Questo rende ancora più difficile un’identificazione e permette di ‘lavorare’ 24 ore su 24, 7 giorni su 7. 

Quello che si assiste negli ultimi anni, a seguito della pandemia, è la nascita o la formazione di gruppi ransomware devastanti nei loro attacchi ma di breve durata.

Prendono di mira obiettivi con una massa critica superiore alla media prima che i loro membri si sciolgano e si uniscano ad altre bande.

Il panorama degli attori delle minacce ransomware è in continua evoluzione. Le aziende devono stare al passo con le potenziali minacce ransomware.

Gruppi Ransomware

I principali gruppi Ransomware

Ecco alcuni dei principali gruppi ransomware

Clop

Il gruppo di ransomware Clop è apparso per la prima volta nel febbraio 2019 e si ritiene che operi nei paesi di lingua russa.

Gli aggressori utilizzano una strategia di “doppia estorsione”, minacciando di rilasciare i dati degli utenti nel Dark Web se si rifiutano di pagare il riscatto per i loro file crittografati.

Clop è noto per i suoi attacchi contro obiettivi come la società farmaceutica statunitense ExecuPharm, il gigante della vendita al dettaglio sudcoreano E-Land e la società di servizi marittimi offshore di Singapore, Swire Pacific Offshore.

Il ransomware Clop si diffonde tramite vettori di attacco come e-mail di phishing, siti Web infetti ed exploit Remote Desktop Protocol (RDP).

Clop è noto per il suo utilizzo di malware, come SDBOT, per diffondersi nella rete di un’organizzazione.

Conti

Rilevato per la prima volta nel febbraio 2020, si ritiene che il gruppo di ransomware Conti sia una propaggine di Ryuk, una variante del ransomware sviluppata dalla banda di criminali informatici russi Wizard Spider di San Pietroburgo.

Come il gruppo ransomware Clop, Conti utilizza una strategia di “doppia estorsione”, minacciando le vittime con il rilascio dei loro dati riservati se non riescono a inviare un riscatto.

Ciò che rende Conti diverso dagli altri è la velocità con cui i file vengono crittografati.

Conti è responsabile di importanti attacchi ransomware sia a società private che a governi come Irlanda, Stati Uniti e Costa Rica.

Sebbene gran parte dell’infrastruttura critica del gruppo sia stata chiusa nel giugno 2022, i membri del gruppo si sono probabilmente uniti ad altre bande ransomware quindi la situazione richiede un ulteriore monitoraggio.

DarkSide

Il gruppo ransomware DarkSide è stato osservato per la prima volta nell’agosto 2020.
DarkSide è uno dei principali fornitori del modello di business “ransomware as a service” (RaaS), in cui le bande pagano altri gruppi per l’uso dei loro kit di ransomware e strumenti software.

Spesso fanno uso delle vulnerabilità CVE-2019-5544 e CVE-2020-3992.
Sebbene entrambe siano già state corrette, gli aggressori si concentrano sulle aziende che eseguono software obsoleto o senza patch.

DarkSide è conosciuto per il suo attacco ransomware del maggio 2021 contro Colonial Pipeline, che ha interrotto bruscamente le operazioni dell’azienda e lasciato temporaneamente senza carburante molte stazioni di servizio negli Stati Uniti.

Gruppi Ransomware
Attività dei Gruppi Ransomware
Maggiori Nazioni Attaccate
Maggiori Nazioni Attaccate

Revil

Conosciuto anche come “Sodinokibi”, il gruppo di ransomware Revil è apparso per la prima volta nell’aprile 2019 ed è rapidamente diventato una delle bande di ransomware più pericolose e famigerate.

Secondo IBM, è stato responsabile di un attacco ransomware su tre nel 2020.

Come molti altri gruppi ransomware, si ritiene che abbia sede in Russia o almeno membri di lingua russa.
In un caso eclatante, il team ha violato il fornitore Apple Quanta Computer, rubando diversi progetti di futuri prodotti Apple.

Nel gennaio 2022, le autorità russe hanno affermato di aver arrestato membri di Revil e che il gruppo aveva “cessato di esistere”.
Tuttavia, lo scorso aprile sono apparsi nuovi attacchi, che hanno messo in dubbio questa affermazione.

LockBit

Il gruppo di ransomware LockBit ha subito diverse iterazioni dalla sua prima apparizione nel 2019, da LockBit 1.0 a 2.0 fino all’attuale versione LockBit 3.0.

La società di consulenza NCC Group ha riferito che LockBit 3.0 è stato responsabile del 40% di tutti gli attacchi ransomware osservati nell’agosto 2022, rendendolo uno degli “attori di minacce ransomware più pericoloso”. LockBit può diffondersi da solo sotto il controllo di meccanismi automatizzati pre-progettati.

Gli attacchi ransomware LockBit tendono a concentrarsi sulle imprese private negli Stati Uniti, in Europa e in Asia. Si ritiene che il gruppo sia responsabile di attacchi a società come Accenture e Foxconn.

Come sono composti i Gruppi Ransomware

Ad aprile del 2022, Yoroi, società di consulenza sulla cybersecurity del gruppo Tinexta, ha stilato un breve profilo della composizione media dei gruppi ransomware, che agiscono quasi come imprese legittime:

  • in alto ci sono i veterani del gruppo, che rappresentano il consiglio di amministrazione
  • il gruppo di sviluppatori altamente specializzati nel produrre malware e strumenti di supporto per compiere gli attacchi
  • seguono gli esperti penetration tester e red-teamer che compiono le operazioni di intrusione avanzata all’interno delle organizzazioni bersaglio
  • i contabili e addetti al riciclaggio del denaro, e particolarmente nella gestione dei bitcoin
  • i ‘recruiter’ che cercano di attrarre persone all’interno del circuito
  • gli esperti di negoziazione utilizzati per trattare con le vittime
  • gli esperti di marketing, focalizzati a posizionare il brand all’interno della comunità, anche social.

Chi sono gli obiettivi degli attacchi Ransomware

Non c’è una risposta univoca alla domanda “in che modo i criminali scelgono gli obiettivi dei loro ransomware?” ma una recente ricerca di Coveware tenta di dare un quadro più preciso.

Lo studio dimostra che i margini di profitto delle vittime e la loro probabilità di pagare il riscatto giocano un ruolo chiave nella definizione del target.

Quest’ultimo punto è diventato più importante che mai perché il numero di vittime che tende a pagare i riscatti sta scendendo notevolmente nel tempo, anche grazie a modelli preventivi e il ricorso a backup.

La ricerca di Coveware ha rilevato che la percentuale di vittime disposte a pagare un potenziale riscatto è scesa dall’85% nel primo trimestre del 2019 al 37% nel quarto trimestre del 2022.

Ecco perché i gruppi di ransomware hanno iniziato a esaminare i tipi di organizzazioni che hanno maggiori probabilità di pagare, chiedendo pagamenti più elevati alle industrie con un fatturato più alto.

Ci si allontana quindi dai piccoli studi legali e società di servizi finanziari, le più utilizzate in passato, per puntare maggiormente su organizzazioni sanitarie, ospedali, pubbliche amministrazioni.