{"id":24442,"date":"2021-04-21T16:34:09","date_gmt":"2021-04-21T14:34:09","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=24442"},"modified":"2022-05-05T12:27:53","modified_gmt":"2022-05-05T10:27:53","slug":"top5-ransomware-groups","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/top5-ransomware-groups\/24442\/","title":{"rendered":"Ransomware a caccia di aziende: i 5 principali gruppi di cybercriminali"},"content":{"rendered":"

Negli ultimi cinque anni, i ransomware sono passati<\/a> da essere una minaccia per i computer di singoli utenti a rappresentare un serio pericolo per le reti aziendali. I criminali informatici hanno smesso di cercare semplicemente di infettare il maggior numero possibile di computer e ora prendono di mira le vittime di maggiore peso economico. Gli attacchi alle organizzazioni commerciali e alle agenzie governative richiedono un\u2019attenta pianificazione ma possono portare a ricompense potenziali di decine di milioni di dollari.<\/p>\n

I gruppi di cybercriminali che creano i ransomware sfruttano il potenziale economico delle aziende, che tende a essere molto pi\u00f9 grande rispetto a quello degli utenti comuni. Inoltre, molti gruppi di cybercriminali moderni rubano i dati prima della cifratura, aggiungendo la minaccia della pubblicazione come ulteriore leva. Per l\u2019azienda colpita i rischi aumentano: si va dal danno di immagine ai problemi con gli azionisti, per non parlare delle multe imposte dagli organismi regolatori, il cui importo spesso \u00e8 superiore rispetto a quello richiesto come riscatto.<\/p>\n

Secondo i nostri dati, il 2016 \u00e8 stato un anno spartiacque. In pochi mesi, il numero di cyberattacchi ransomware rivolto alle aziende \u00e8 triplicato:<\/a> se a gennaio 2016 abbiamo registrato in media un incidente ogni 2 minuti, a fine settembre dello stesso anno l\u2019intervallo si \u00e8 ridotto a 40 secondi.<\/p>\n

Dal 2019, gli esperti hanno osservato regolarmente la presenza di campagne mirate da parte di ransomware che andavano a caccia di \u201cgrosse prede\u201d. Gli stessi siti degli operatori di malware mostrano le statistiche degli attacchi. Abbiamo usato questi dati per compilare una classifica dei gruppi di criminali informatici pi\u00f9 attivi.<\/p>\n

<\/strong><\/p>\n

1. Maze (conosciuto anche come ransomware ChaCha)<\/h2>\n

Il ransomware Maze, individuato per la prima volta nel 2019<\/a>, \u00e8 salito rapidamente in cima alla classifica dei malware pi\u00f9 pericolosi della sua categoria. Considerando il totale delle vittime, questo ransomware ha messo in atto pi\u00f9 di un terzo degli attacchi. Il gruppo di cybercriminali che ha creato Maze \u00e8 stato uno dei primi a rubare i dati<\/a> prima di cifrarli. Se la vittima si rifiutava di pagare il riscatto, i criminali informatici minacciavano di pubblicare i file rubati. La tecnica si \u00e8 dimostrata efficace ed \u00e8 stata poi adottata da molti altri ransomware, tra cui REvil e DoppelPaymer, di cui parleremo di seguito.<\/p>\n

Come altra novit\u00e0, i criminali informatici hanno iniziato a informare i media dei loro attacchi. Alla fine del 2019, il gruppo creatore di Maze ha informato Bleeping Computer del suo hackeraggio alla societ\u00e0 Allied Universal<\/a>, allegando alcuni dei file rubati come prova. Nelle conversazioni via e-mail con i redattori del sito, il gruppo ha minacciato di inviare dello spam dai server di Allied Universal, e in seguito ha pubblicato i dati riservati della societ\u00e0 violata sul forum di Bleeping Computer.<\/p>\n

Gli attacchi di Maze sono continuati fino a settembre 2020, quando il gruppo ha iniziato a chiudere bottega<\/a>, anche se in quel lasso di tempo ha fatto vittime illustri di livello internazionale, come una banca statale in America Latina e il sistema informatico di una citt\u00e0 degli Stati Uniti. In ognuno di questi casi, i creatori di Maze hanno richiesto alle vittime diversi milioni di dollari di riscatto.<\/p>\n

2. Conti (conosciuto anche come ransomware IOCP)<\/h2>\n

Conti \u00e8 apparso alla fine del 2019 ed \u00e8 stato molto attivo per tutto il 2020, colpendo oltre il 13% di tutte le vittime di ransomware durante questo periodo. I suoi creatori sono ancora in attivit\u00e0.<\/p>\n

Un dettaglio interessante degli attacchi di Conti \u00e8 che i criminali informatici offrono all\u2019azienda bersaglio un aiuto per la sicurezza se accettano di pagare. Il messaggio dice pi\u00f9 o meno cos\u00ec<\/a>: \u201cRiceverai istruzioni su come risolvere la falla nel tuo sistema di sicurezza e su come evitare tali problemi in futuro + ti consiglieremo un software speciale che render\u00e0 la vita difficile agli hacker.\u201d<\/p>\n

Cos\u00ec come avviene con Maze, questo ransomware non solo cifra i dati, ma invia anche una copia dei file ai creatori del ransomware. I criminali informatici poi minacciano di pubblicare le informazioni online se la vittima non soddisfa le loro richieste. Tra gli attacchi Conti di pi\u00f9 alto profilo c\u2019\u00e8 stato l\u2019hackeraggio di una scuola negli Stati Uniti<\/a>, seguito da una richiesta di riscatto di 40 milioni di dollari (a quanto pare l\u2019amministrazione sarebbe stata disposta a pagare\u00a0 fino a\u00a0 500 mila dollari, ma non avrebbe negoziato una cifra 80 volte superiore).<\/p>\n

<\/strong><\/p>\n

3. REvil (conosciuto anche come ransomware Sodin o Sodinokibi)<\/h2>\n

I primi attacchi del ransomware REvil sono stati rilevati all\u2019inizio del 2019 in Asia. Il malware ha rapidamente attirato l\u2019attenzione<\/a> degli esperti per le sue prodezze tecniche, come l\u2019uso di funzioni legittime della CPU per aggirare i sistemi di sicurezza. Inoltre, il suo codice conteneva alcuni segnali caratteristici che evidenziavano l\u2019intenzione dei cybercriminali di concederlo in leasing.<\/p>\n

Nelle statistiche totali, le vittime di REvil costituiscono l\u201911% del totale e il malware ha colpito quasi 20 settori diversi. La quota maggiore di vittime ricade su Ingegneria e produzione (30%), seguito da Finanza (14%), Servizi professionali e di consumo (9%), Settore legale (7%), e IT e telecomunicazioni (7%). A quest\u2019ultima categoria appartengono gli attacchi ransomware di pi\u00f9 alto profilo del 2019, quando i criminali informatici hanno violato<\/a> diversi MSP e distribuito Sodinokibi tra i loro clienti.<\/p>\n

Il gruppo detiene attualmente il record per la richiesta di riscatto pi\u00f9 alta fino ad ora conosciuta<\/a>: 50 milioni di dollari richiesti ad Acer nel marzo 2021.<\/p>\n

4. Netwalker (conosciuto anche come ransomware Mailto)<\/h2>\n

Netwalker si \u00e8 accaparrato pi\u00f9 del 10% delle vittime totali. Tra i suoi obiettivi ci sono giganti della logistica, gruppi industriali, societ\u00e0 di energia e altre grandi organizzazioni. Nel giro di pochi mesi nel 2020, i criminali informatici hanno guadagnato pi\u00f9 di 25 milioni di dollari<\/a>.<\/p>\n

I suoi creatori sembrano determinati a diffondere il ransomware in modo massivo<\/a>. Si sono offerti di affittare Netwalker a truffatori solitari in cambio di una fetta dei profitti dell\u2019attacco. Secondo Bleeping Computer, chi diffonde il malware potrebbe prendersi\u00a0 il 70%<\/a> del riscatto, anche se in questi casi in genere vengono pagati molto meno.<\/p>\n

Come prova del loro intento, i criminali informatici hanno pubblicato screenshot di grandi trasferimenti di denaro. Per rendere il processo di leasing il pi\u00f9 facile possibile, hanno creato un sito web per pubblicare automaticamente i dati rubati dopo la scadenza della richiesta di riscatto.<\/p>\n

A gennaio 2021, la polizia ha sequestrato<\/a> le risorse di Netwalker sul dark web e ha accusato il cittadino canadese Sebastien Vachon-Desjardins di aver ottenuto pi\u00f9 di 27,6 milioni di dollari dall\u2019attivit\u00e0 di estorsione. Vachon-Desjardins aveva il compito di trovare le vittime, infiltrarsi e distribuire Netwalker sui loro sistemi.\u00a0 L\u2019operazione di polizia ha effettivamente permesso di mettere fuori gioco Netwalker.<\/p>\n

5. Il ransomware DoppelPaymer<\/h2>\n

L\u2019ultimo cattivo della nostra classifica \u00e8 DoppelPaymer, un ransomware le cui vittime costituiscono circa il 9% delle statistiche totali. I suoi creatori hanno lasciato il segno anche con altri malware, tra cui il Trojan bancario Dridex e l\u2019ormai defunto ransomware BitPaymer (chiamato anche FriedEx), che \u00e8 considerato una versione precedente di DopplePaymer<\/a>. Quindi il numero totale di vittime di questo gruppo \u00e8 in realt\u00e0 molto pi\u00f9 alto.<\/p>\n

Le organizzazioni commerciali colpite<\/a> da DoppelPaymer includono aziende di prodotti di elettronica e case produttrici di automobili, cos\u00ec come una grande compagnia petrolifera latinoamericana. Di solito DoppelPaymer prende di mira organizzazioni governative in tutto il mondo<\/a>, compresi servizi sanitari, di emergenza e scolastici. Il gruppo ha anche fatto notizia dopo aver pubblicato informazioni sugli elettori<\/a> rubate da Hall County, Georgia, e aver ricevuto 500.000 dollari dalla contea di Delaware, Pennsylvania, entrambi negli Stati Uniti. Gli attacchi di DoppelPaymer continuano ancora oggi: a febbraio di quest\u2019anno, un ente di ricerca europeo ha annunciato<\/a> di essere stato vittima di hacking e DoppelPaymer era coinvolto.<\/p>\n

<\/strong><\/p>\n

Metodi di attacchi mirati<\/h2>\n

Ogni attacco mirato a una grande azienda \u00e8 il risultato di un lungo processo di ricerca di vulnerabilit\u00e0 nell\u2019infrastruttura, per poi elaborare un piano e scegliere gli strumenti giusti per portarlo a termine. Poi avviene la penetrazione dell\u2019infrastruttura aziendale per diffondere il malware al suo interno. I criminali informatici a volte rimangono all\u2019interno di una rete aziendale per diversi mesi prima di cifrare i file e inviare la richiesta di riscatto.<\/p>\n

I percorsi principali per accedere all\u2019infrastruttura sono:<\/p>\n