I ricercatori di Kaspersky Lab hanno scoperto che sempre più cyber criminali stanno passando dagli attacchi contro gli utenti privati agli attacchi ransomware mirati contro le aziende. Sono stati identificati almeno otto gruppi di criminali informatici coinvolti nello sviluppo e nella distribuzione di malware criptatori che hanno colpito principalmente le organizzazioni finanziarie di tutto il mondo, con richieste di riscatto che hanno raggiunto anche il mezzo milione di dollari.

Gli otto gruppi identificati comprendono gli autori di PetrWrap, che ha attaccato organizzazioni finanziarie in tutto il mondo, il famigerato gruppo Mamba e altri sei gruppi senza nome che prendono di mira gli utenti aziendali. Questi cyber criminali hanno ora riorientato i loro sforzi sulle reti aziendali perché potenzialmente più profittevoli rispetto agli attacchi di massa contro gli utenti privati.

Un attacco ransomware andato a buon fine infatti può facilmente bloccare le attività di un’azienda per ore o persino giorni, inducendone i proprietari a pagare il riscatto. In generale le tattiche, tecniche e procedure usate da questi gruppi sono molto simili.

Innanzitutto, infettano col malware l’organizzazione presa di mira attraverso server vulnerabili o email di spear phishing. Dopo essersi infiltrati nella rete della vittima, i criminali identificano le risorse aziendali vulnerabili da criptare, per poi chiedere il riscatto in cambio della decriptazione. Oltre a queste somiglianze, alcuni gruppi presentano caratteristiche uniche.

ransomware

Ad esempio, il gruppo Mamba usa un malware criptatore di proprietà, basato sul software open source DiskCryptor. Dopo aver ottenuto l’accesso al network, gli hacker vi installano il malware, usando una utility legittima per il controllo remoto di Windows. Questo approccio rende le operazioni meno sospette agli occhi dei responsabili della sicurezza dell’azienda presa di mira.

Un altro esempio unico di tool utilizzato negli attacchi ransomware mirati viene da PetrWrap. Questo gruppo colpisce principalmente le aziende più grandi che hanno numerosi nodi di rete. I criminali selezionano accuratamente gli obiettivi di ogni attacco, che può durare per diverso tempo: PetrWrap è riuscito a mantenere una persistenza costante in una rete fino a 6 mesi.

Per proteggere le aziende da questi attacchi, gli esperti di sicurezza di Kaspersky Lab consigliano di effettuare regolarmente e correttamente il backup dei dati, in modo da poter ripristinare i file originali in caso di perdita. Bisogna poi usare una soluzione di sicurezza con tecnologie di rilevamento basate sui comportamenti, che consentono di scoprire i malware, compresi i ransomware, osservando la loro attività sul sistema attaccato e permettendo di rilevare sample di ransomware nuovi e ancora sconosciuti.

È anche consigliabile controllare i software installati e assicurarsi di tenerli aggiornati, condurre una valutazione di sicurezza della rete di controllo (ad esempio, audit di sicurezza, penetration testing e gap analysis) e formare i dipendenti, facendo particolare attenzione allo staff operativo ed ingegneristico e alla loro consapevolezza degli ultimi attacchi e minacce.