Rapporto: il ransomware-as-a-service è un "settore autosufficiente"
Pubblicato: 2022-06-24Un nuovo rapporto ha rivelato le complessità dell'ecosistema ransomware di Internet, concludendo che gli attori che lavorano a fianco dei gruppi di ransomware richiedono più attenzione di quella che stanno ricevendo attualmente.
Il rapporto descrive in dettaglio come gli attori delle minacce stiano implementando una miriade di tecniche di estorsione, spesso in tandem, al fine di costringere le aziende a negoziare e, in ultima analisi, pagare commissioni per proteggere e/o recuperare i propri dati.
Comprendendo i vettori di attacco più comunemente utilizzati dai gruppi di ransomware, le aziende possono agire per proteggersi. I gestori di password , ad esempio, sono un modo per garantire che i dipendenti della tua azienda non forniscano un modo semplice per accedere con credenziali dell'account deboli.
Il ransomware-as-a-service è in forte espansione
Il rapporto di Tenable spiega che una delle ragioni principali alla base del recente boom del ransomware è "l'avvento del ransomware-as-a-service (RaaS)".
In sostanza, RaaS è un modello di servizio, proprio come Software-as-a-Service. I gruppi di ransomware producono il software, ma poi altri attori finiscono per irrompere nei sistemi e distribuirlo.
Prima di questo, erano gli stessi gruppi di ransomware a svolgere ogni azione nel processo, ma ora il sistema è infinitamente più complesso e ci sono varie fasi in cui gli attori più piccoli possono fare soldi.
Spiegazione dell'ecosistema ransomware
Tenable spiega che l'ecosistema del ransomware, soprattutto, non è composto solo da gruppi di ransomware. I gruppi ransomware sono i creatori e i proprietari del "prodotto" e, a loro volta, ricevono gran parte dell'attenzione, ma tutto sommato l'azienda identifica tre "ruoli" principali che svolgono un ruolo nella maggior parte degli attacchi ransomware: IAB, affiliati e gruppi ransomware.
Gli Initial Access Broker (IAB) sono un "gruppo specializzato di criminali informatici responsabili dell'accesso alle organizzazioni attraverso una varietà di mezzi".
Invece di utilizzare il loro accesso ingiustificato per orchestrare il proprio attacco ransomware, spiega il rapporto, gli IAB "mantengono la persistenza all'interno delle reti delle organizzazioni vittime e la vendono ad altri individui o gruppi all'interno dell'ecosistema del crimine informatico".
Il mercato degli IAB valeva $ 1,6 milioni nel 2019, ma è cresciuto fino a $ 7,1 milioni nel 2021 (Group-IB). Questa è una cifra molto più piccola del denaro guadagnato altrove nella catena di ransomware, semplicemente perché c'è molto meno rischio.
Il mercato dei broker di accesso iniziale (IAB) valeva $ 1,6 milioni nel 2019, ma è cresciuto fino a $ 7,1 milioni nel 2021 – Group-IB
Dopo l'irruzione degli IAB, gli attori noti come Affiliati acquisteranno l'accesso che hanno estratto per un valore compreso tra poche centinaia e poche migliaia di dollari. In alternativa, utilizzeranno vettori di attacco come sistemi di protocollo desktop remoto forzati brute, phishing, vulnerabilità del sistema o credenziali rubate per entrare nei server aziendali.
Il rapporto afferma che questi attori funzionano in modo molto simile ai marketer di affiliazione che trovano contatti in pratiche commerciali normali e legittime: infettano il sistema e lasciano che il gruppo ransomware "chiuda l'affare" e avvii il processo di negoziazione.
Gli affiliati sono spesso istruiti dagli stessi gruppi di ransomware, che aiutano a testare e utilizzare le loro creazioni.
Come l'estorsione "doppio", "tripla" e "quadrupla" fa pagare le aziende
Tradizionalmente, i gruppi di ransomware crittografavano i file di un'azienda e li costringevano a pagare per decrittografarli. Ma al giorno d'oggi, la maggior parte delle aziende dispone di backup di file sicuri, quindi questo metodo è diventato sempre più inefficace.
Negli ultimi anni, tuttavia, la "doppia estorsione" è diventata lo standard per molti gruppi di ransomware. Si tratta di "esfiltrare i dati dalle organizzazioni delle vittime e pubblicare teaser" su forum del dark web e siti Web di divulgazione. Le aziende terrorizzate dal fatto che informazioni private e riservate vengano divulgate online successivamente pagano.
Nel 2021, REvil si è assicurata un pagamento di 11 milioni di dollari da JBS, nonostante il sistema dell'azienda fosse "pienamente operativo" al momento del pagamento.
Tuttavia, questa tattica ha ormai diversi anni e Tenable afferma che altre tecniche vengono utilizzate in tandem tra loro in tentativi di estorsione "tripla" o addirittura "quadrupla".
I metodi includono contattare i clienti a cui si riferiscono i dati rubati, minacciare di vendere i dati rubati ai migliori offerenti e mettere in guardia le vittime dal contattare le forze dell'ordine.
Concentrati oltre i gruppi di ransomware
Il rapporto suggerisce che il ruolo cruciale che gli IAB e gli affiliati svolgono all'interno dell'ecosistema ransomware dovrebbe ricevere maggiore attenzione.
I gruppi di ransomware sono, in sostanza, temporanei. Più successo hanno, più gli affiliati vogliono orientarsi verso di loro e utilizzare il loro software, ma poi, a loro volta, più le forze dell'ordine tentano di rintracciarli.
Molti dei "famigerati" gruppi di ransomware che fanno notizia oggi, come il gruppo Conti , sono i successori di altri gruppi di ransomware. Se hai avviato un'indagine su un gruppo, potrebbe non esistere nemmeno tra un anno. Gli IAB e le affiliate, tuttavia, lo faranno.
Cosa possono fare le aziende per proteggersi?
Tenable offre una serie di diverse misure di mitigazione che le aziende possono adottare per assicurarsi di non essere le prossime vittime di un attacco ransomware estorsione. Questi includono l'uso dell'autenticazione a più fattori, il controllo continuo delle autorizzazioni utente per gli account, l'applicazione di patch alle risorse vulnerabili nella rete, il rafforzamento dei protocolli del desktop remoto e l'uso di software antivirus appropriato.
L'elenco include anche il rafforzamento delle password dei dipendenti e consiglia che "i requisiti per le password includono parole lunghe e non di dizionario". Un modo per garantire che le password siano sufficientemente lunghe senza doverle ricordare è utilizzare un gestore di password , che consentirà anche al tuo personale di creare password univoche per tutti gli account di cui è proprietario anziché riutilizzarle.
Con il mercato RaaS - e i gruppi dannosi che vi partecipano - non mostra segni di rallentamento, prendere le massime precauzioni con i tuoi dati non è mai stato così importante.