Gli attacchi ransomware sono un grande business. Entro la fine del 2021 si stima che sarà presa di mira da un attacco ransomware un'azienda ogni 11 secondi, per un danno totale di 20 miliardi di dollari. Gli attacchi ransomware non sono solo una preoccupazione per organizzazioni come aziende, governi e operatori sanitari, ma colpiscono anche clienti e dipendenti, il cui furto di dati rientra spesso tra i danni collaterali di questi attacchi.
Gli attacchi ransomware utilizzano malware per criptare i dati e i file delle loro vittime. Differiscono dalle campagne di estorsione, che utilizzano attacchi DDoS (Distributed Denial of Service) per sommergere di traffico le vittime con la promessa di fermare l'assalto in cambio di un pagamento.
Sebbene alcune organizzazioni scelgano di pagare le richieste di ransomware, in genere non è consigliabile farlo in quanto non vi è alcuna garanzia che l'accesso ai sistemi infetti verrà ripristinato. Pagando, le vittime incentivano ulteriormente queste forme di attacco informatico. Molte aziende non rivelano di avere subito attacchi ransomware o, se lo fanno, non rendono pubbliche le richieste degli aggressori.
Vediamo alcuni dei più recenti attacchi ransomware del 2020, da gennaio a dicembre.
Gli hacker hanno iniziato l'anno con un attacco alla società di cambio Travelex, costringendola a spegnere tutti i sistemi informatici e tornare a lavorare con carta e penna. Di conseguenza, l'azienda ha dovuto chiudere i suoi siti Web in 30 paesi.
L'autore dell'attacco, e della successiva richiesta di 6 milioni di dollari, è stato un gruppo ransomware chiamato Sodinokibi (noto anche come REvil). Il gruppo ha dichiarato di aver avuto accesso alla rete di computer dell'azienda sei mesi prima, riuscendo a scaricare 5 GB di dati sensibili dei clienti, comprese date di nascita e numeri di carte di credito. I criminali hanno specificato che, se Travelex avesse pagato il riscatto, avrebbero cancellato i dati trafugati, ma in caso contrario il riscatto sarebbe raddoppiato ogni due giorni. Dopo sette giorni, avrebbero venduto i dati ad altri criminali informatici.
Secondo quanto riferito, Travelex ha pagato ai criminali 2,3 milioni di dollari in Bitcoin e ha ripristinato i suoi sistemi dopo due settimane offline. Nell'agosto 2020, la società ha annunciato di voler presentare istanza fallimentare, adducendo l'impatto della pandemia Covid-19 in aggiunta all'attacco ransomware.
Il giorno di San Valentino, un attacco informatico ha paralizzato alcune operazioni commerciali di INA Group, la più grande compagnia petrolifera croata e la più grande catena di distributori di benzina del paese. L'attacco era un ransomware che ha infettato e quindi criptato alcuni dei server back-end dell'azienda.
Sebbene l'attacco non abbia influito sulla capacità dell'azienda di fornire carburante ai clienti, ha influito sulla sua capacità di emettere fatture, registrare l'utilizzo di carte fedeltà, emettere nuovi voucher e consentire ai clienti di pagare determinate bollette.
Secondo quanto riferito, l'attacco è stato causato da un'infezione della variante di ransomware Clop. Gli esperti di sicurezza classificano la banda Clop come "ransomware big game", ovvero un gruppo di criminali che prende di mira grandi aziende per infettare le loro reti, criptare i dati e richiedere riscatti estremamente elevati.
A marzo è stato rivelato che Communications & Power Industries (CPI), un importante produttore di elettronica con sede in California, è stato colpito da un attacco ransomware.
L'azienda produce componenti per dispositivi e attrezzature militari e annovera tra i propri clienti il Dipartimento della Difesa degli Stati Uniti. L'attacco ransomware ha avuto luogo quando un amministratore di dominio dell'azienda ha fatto clic su un collegamento dannoso, attivando il malware di criptaggio dei file. Poiché migliaia di computer sulla rete condividevano lo stesso dominio non segmentato, il ransomware si è rapidamente diffuso in tutti gli uffici di CPI, penetrando anche nei backup in locale.
Secondo quanto riferito, la società ha pagato 500.000 dollari di riscatto. Non è noto quale tipo di ransomware fosse coinvolto.
Ad aprile è stato segnalato che il gigante energetico portoghese Energias de Portugal (EDP) è rimasto vittima di un attacco. Criminali informatici che utilizzavano il ransomware Ragnar Locker hanno criptato i sistemi dell'azienda e chiesto un riscatto di quasi 10 milioni di dollari.
Gli autori dell'attacco hanno dichiarato di aver rubato oltre 10 TB di dati aziendali sensibili, minacciando di divulgarli a meno che non venisse pagato il riscatto. Gli hacker hanno pubblicato screenshot di alcuni dati sensibili su un sito per dimostrare di essere in possesso delle informazioni. I dati, apparentemente, includevano informazioni riservate su fatturazione, contratti, transazioni, clienti e partner.
EDP ha confermato che si era verificato un attacco, ma ha anche affermato di non avere prove di un'eventuale compromissione dei dati sensibili dei clienti. Tuttavia, poiché il furto dei dati dei clienti potrebbe venire alla luce in futuro, l'azienda ha offerto loro un anno gratuito di protezione dell'identità Experian.
A maggio, Grubman Shire Meiselas & Sacks, uno studio legale con sede a New York e una serie di clienti famosi tra cui Madonna, Elton John e Robert De Niro, è stato vittima del ransomware REvil.
Gli autori dell'attacco hanno affermato di aver utilizzato il ransomware REvil o Sodinokibi per rubare dati personali, inclusi contratti con i clienti, numeri di telefono, indirizzi e-mail, corrispondenza personale e accordi di non divulgazione. Gli aggressori hanno minacciato di rilasciare i dati in nove pubblicazioni scaglionate, a meno che non fossero stati pagati riscatti per un totale di 21 milioni di dollari. Questa richiesta è raddoppiata a 42 milioni quando lo studio legale si è rifiutato di pagare.
Secondo quanto riferito, le celebrità colpite dall'attacco includevano Bruce Springsteen, Lady Gaga, Nicki Minaj, Mariah Carey e Mary J. Blige. Lo studio legale ha dichiarato che non avrebbe negoziato con gli aggressori e ha chiesto l'intervento dell'FBI.
A giugno, il gigante automobilistico Honda ha subito un attacco ransomware Snake (noto anche come Ekans), che ha preso di mira i suoi uffici negli Stati Uniti, in Europa e in Giappone. Una volta scoperto l'attacco, Honda ha sospeso la produzione in determinate località per far fronte alle interruzioni nella rete di computer. Gli hacker hanno utilizzato il ransomware per accedere e criptare un server interno di Honda e richiedere un riscatto in cambio della chiave di criptaggio. Honda in seguito ha affermato che gli aggressori non avevano presentato alcuna prova di un furto di informazioni personali.
A luglio, Orange, la società di telecomunicazioni francese e il quarto operatore di telefonia mobile in Europa, è stata vittima del ransomware Nefilim. La divisione dei servizi aziendali della società è stata violata e il 15 luglio Orange è stata aggiunta al sito Dark Web di Nefilim, utilizzato per divulgare le informazioni ottenute tramite fughe di dati. Campioni di dati, che secondo il gruppo Nefilim sono stati esfiltrati dai clienti Orange, sono stati inclusi in un archivio di 339 MB.
Nefilim è un operatore ransomware relativamente nuovo, scoperto nel 2020. Orange ha affermato che sono stati interessati i dati di circa 20 aziende clienti di grandi dimensioni all'interno della sua divisione di servizi alle imprese.
Ad agosto è stato reso noto che l'Università dello Utah ha pagato un riscatto di 457.000 dollari a dei cybercriminali per impedire loro di pubblicare file riservati rubati durante un attacco ransomware. L'attacco ha criptato i server del dipartimento di Scienze sociali e comportamentali dell'università. Come parte dell'attacco, i criminali hanno rubato dati non criptati prima di criptare i computer.
Poiché i dati rubati contenevano informazioni su studenti e dipendenti, l'università ha deciso di pagare il riscatto per evitare che trapelassero. Ha inoltre consigliato a tutti gli studenti e ai dipendenti del dipartimento di monitorare le cronologie dei pagamenti per individuare eventuali attività fraudolente e di modificare le password dei servizi online.
A settembre, K-Electric, l'unico distributore di energia elettrica di Karachi, in Pakistan, sarebbe stato bersaglio di un attacco ransomware Netwalker. Ciò ha comportato un'interruzione della fatturazione e dei servizi online della compagnia elettrica.
I cybercriminali hanno chiesto a K-Electric un riscatto di 3,85 milioni di dollari, avvertendo che se non fosse stato pagato entro sette giorni, la richiesta sarebbe levitata a 7,7 milioni di dollari. Netwalker ha rilasciato un archivio di 8,5 GB di file presumibilmente rubati durante l'attacco, inclusi dati finanziari e dettagli dei clienti.
Netwalker aveva già preso di mira gli uffici dell'immigrazione dell'Argentina, varie agenzie governative degli Stati Uniti e la University of California di San Francisco (che ha pagato oltre 1 milione di dollari di riscatto).
K-Electric ha ammesso che si è verificato un incidente informatico, ma ha affermato che tutti i servizi critici per i clienti non hanno subito interruzioni.
A ottobre, alcuni hacker sono penetrati nei server dell'agenzia di stampa Press Trust of India (PTI), paralizzando i suoi servizi per ore. Un portavoce dell'azienda ha descritto il caso come un massiccio attacco ransomware che ha interrotto le operazioni e la fornitura di notizie agli abbonati in tutta l'India.
Il ransomware è stato identificato come LockBit, un software dannoso progettato per bloccare l'accesso degli utenti ai sistemi informatici in cambio di un riscatto.
A novembre, l'infrastruttura informatica della Corte superiore di giustizia brasiliana ha subito un massiccio attacco ransomware che ha portato offline il suo sito Web.
Gli autori del ransomware hanno affermato che l'intero database della Corte era stato criptato e che qualsiasi tentativo di ripristinarlo sarebbe stato vano. Gli hacker hanno lasciato una richiesta di riscatto, chiedendo alla Corte di contattarli tramite un indirizzo e-mail di Proton Mail. Gli hacker hanno anche tentato di attaccare vari altri siti Web correlati al governo brasiliano.
A dicembre, GenRx Pharmacy, un'organizzazione sanitaria con sede in Arizona, ha avvertito centinaia di migliaia di pazienti di una potenziale violazione dei dati a seguito di un attacco ransomware all'inizio dell'anno. La società ha affermato che alcuni hacker malintenzionati sono riusciti a prelevare una serie di file, comprese le informazioni sanitarie utilizzate dalla farmacia interna per elaborare e spedire i prodotti prescritti ai pazienti.
Gli ultimi attacchi ransomware stanno diventando più selettivi su chi prendere di mira e quanto denaro richiedere. Lo strumento Kaspersky Anti-Ransomware Tool assicura protezione sia a casa che per il lavoro. Come per qualsiasi minaccia per la cybersecurity, la chiave per la protezione è la vigilanza.
Articoli correlati: