L'ascesa del ransomware a doppia estorsione

Pubblicato: 2022-01-11

Per anni le aziende hanno dovuto affrontare la minaccia degli attacchi ransomware. Gli hack redditizi provocano il caos per le funzioni quotidiane di lavoro di un'organizzazione, spegnendo i dispositivi e rubando informazioni private e particolari. In risposta, il know-how tecnologico ei sistemi di prevenzione avanzano, ma anche le modalità utilizzate dai criminali. Negli ultimi dodici mesi si è notato un notevole aumento nella selezione di questi assalti, poiché gli aggressori opportunisti cavalcano gli ambienti di stabilità indebolita delle operazioni ibride. Il 30-7% delle aziende delle isole britanniche ha segnalato un incidente di violazione dei fatti al Data Commissioner's Office (ICO) quest'anno.

Il miglioramento degli approcci e del riconoscimento della sicurezza informatica ha costretto gli aggressori a evolvere le proprie procedure, espandendosi in nuovi territori di imprese che stanno rendendo i loro passi più difficili da regolamentare. Anche le motivazioni dei criminali informatici stanno cambiando, passando dalla detenzione di attività commerciali al riscatto per ottenere denaro, al causare il più possibile disagi per fattori politici, come chiusure su vasta scala di servizi di esperti importanti per la vita quotidiana.

In precedenza, quest'anno solare, abbiamo assistito a un fermo dei prodotti e dei servizi per Colonial Pipeline negli Stati Uniti grazie a un attacco ransomware che ha spinto la società non pubblica a sborsare circa 5 milioni di dollari in Bitcoin per riguadagnare la regolamentazione e mantenere le soluzioni. Nello stesso mese, il governo irlandese per i servizi di benessere è stato messo sotto stress per offrire un riscatto di $ 20 milioni in acquisto per aiutare a salvare probabilmente le informazioni pubbliche dei propri pazienti. Anche dopo che è stato progettato un accordo, 520 informazioni si sono comunque fatte strada sulla debole Internet, evidenziando ancora di più l'imprevedibilità dei criminali.

L'evoluzione degli attacchi ransomware è avvenuta in modo significativo negli ultimi anni. Ora, invece di crittografare le informazioni e trattenere il proprietario in ostaggio, il ransomware a doppia estorsione prevede che l'attaccante esfiltri prima le informazioni e renda obsoleti i backup dei fatti standardizzati e i progetti di ripristino dei dati in acquisto per costringere la mano degli imprenditori. I criminali hanno individuato una strada diversa per l'estorsione e le aziende vogliono essere preparate a vincere questo nuovo pericolo.

Che cos'è il ransomware a doppia estorsione e quanto è reale il rischio?

Il ransomware a doppia estorsione consente ai criminali non solo di richiedere ai clienti un riscatto per i dati rubati, ma anche di usarlo come una falsa promessa per evitare che venga rilasciato pubblicamente. Se il riscatto non viene pagato nei tempi richiesti, i criminali lo pubblicheranno affinché tutti lo vedano, insieme ai probabili concorrenti.

Minacciano una campagna di marketing "nome e vergogna" della comunità e/o del cliente se non si paga mai e, secondo una ricerca Emisoft, la gamma di criminali informatici che adotta la tattica del "nome e vergogna" si sta espandendo. L'esplorazione ha rilevato che su 100.101 segnalazioni ottenute di attacchi ransomware a ciascuna azienda e ente del settore comunitario, l'11,6% di queste persone è stato operato da team che rubano e pubblicano dati con attacchi in stile "nome e vergogna".

C'è anche uno sviluppo del crimeware-as-a-service da parte degli attori degli stati-nazione, che stanno introducendo sempre più tensioni geopolitiche. Gli stati-nazione stanno acquistando attrezzature e servizi esperti dal dark web, mentre anche gli strumenti sviluppati dagli stati-nazione si stanno facendo strada nell'industria nera.

Quindi, come possono le aziende superare questo rischio crescente?

Raddoppia il pericolo, raddoppia la preparazione del restauro necessaria

Affinché un aggressore sia redditizio nell'estorsione di un riscatto, dovrebbe iniziare assicurandosi che il recupero di dettagli utili sia impossibile, in ogni altro caso operano la possibilità che i decisori non riescano a sborsare. Quindi, disabilitano o rovinano i backup, costruendolo in modo estremamente difficile per recuperare tutti i dettagli utili. Quindi, convertono le loro braccia nei dettagli di produzione là fuori.

Stabilendo una strategia mirata di gestione delle possibilità di informazioni compromesse, le aziende sono pronte ad aumentare le proprie probabilità e rendere molto più possibile il recupero di dettagli cyber compromessi rispetto a se dovessero utilizzare un approccio di ripristino dei dettagli standardizzato. Le esigenze di ransomware non sono state in alcun modo maggiori e per preparare un gruppo è necessario ripensare i piani di ripristino dei dati esistenti.

Per affrontare queste difficoltà ricorrenti, le aziende dovranno adottare una strategia per i cinque metodi più cruciali per recuperare le informazioni danneggiate:

Riconoscere ― Capire e giustificare i Vital Info Belongings (VDA) dell'organizzazione. Queste sono le informazioni che richiedono un ulteriore grado di sicurezza. Sono le organizzazioni che dovrebbero avere dettagli.
Sicuro: funzionalità per aumentare le probabilità di avere dettagli recenti completamente puliti da ripristinare, ad esempio un duplicato failsafe protetto da un attacco informatico.
Rileva ― Individuare le vulnerabilità dei punti deboli nei controlli che possono massimizzare il rischio dell'organizzazione di ottenere i suoi VDA.
Reagire — I piani, le procedure, le strategie da seguire all'indomani di una parte compromettente di dettagli redditizi.
Migliora ―Le prove, le valutazioni e le routine che preparano le squadre a questa eventualità.

Impostare un piano efficiente

Tutte le aziende sono a rischio di attacchi ransomware. Il panorama dei pericoli in rapida evoluzione ha messo in discussione gli attuali strumenti di rilevamento. Non sono più un mezzo efficace per combattere tutti gli assalti e scongiurare un enorme declino di fatti. Mettendo da parte gli attori delle minacce esterne, tutte le aziende sono in competizione con la possibilità di minacce anche interne, con il possibile personale scontento che ottiene il privilegio di accedere all'interno della comunità e di informazioni e fatti. L'istruzione sulla sicurezza informatica è avvenuta a passi da gigante negli ultimi anni, ma l'errore umano continua a rappresentare un enorme rischio per le aziende, in particolare per gli individui che operano in ambienti ibridi.

Alla fine, spetta a ciascuna singola azienda apparire nel quadro più ampio e, in base principalmente ai propri fattori di vista unici, impostare un sistema di recupero delle informazioni in loco. L'importanza di un classico attacco ransomware semplicemente non può essere sottovalutata, ma le insidie associate alle nuove tattiche sono innegabilmente molto più importanti per le piccole imprese. La reputazione del marchio danneggiata e le convinzioni danneggiate dell'acquirente di solito possono essere irreparabili. Prima di consentire ai criminali opportunisti di scegliere di mantenere un'azienda, i leader delle piccole imprese devono accelerare l'intera organizzazione sul protocollo e lavorare con attenzione con l'amministrazione governativa su cui i dati devono avere la precedenza durante una missione di ripristino. In questa fase, le organizzazioni possono iniziare a percepire protette che i loro dettagli, i loro beni e le loro infrastrutture rimarranno intatti anche nell'affrontare le avversità.

Chris Huggett, SVP di EMEA, Sungard Availability Providers