Il ransomware non accenna ad arrestarsi; anzi, la frequenza e pervasività degli attacchi sono in continua crescita ed evoluzione. L’uso dell’intelligenza artificiale e dell’automazione ha reso queste minacce più sofisticate, mentre le superfici di attacco si ampliano rendendo ancora più urgente l’adozione di strategie di difesa efficaci.
Indice dei contenuti:
Che cosa è il ransomware?
Il ransomware è un tipo di attacco cyber che punta a rendere vulnerabile la sicurezza informatica. Qual è l’obiettivo di un ransomware? Estorcere informazioni sensibili in cambio di denaro. Se inizialmente i criminali del web si limitavano a bloccare l’accesso alle informazioni, negli ultimi anni le minacce sono diventate così sofisticate da includere anche la vendita di dati a terzi.
Le ultime tendenze del cybercrime dicono che l’ecosistema del ransomware-as-a-service ha subito una significativa evoluzione, diventando un vero e proprio modello di business criminale. I gruppi di hacker che gestiscono queste piattaforme hanno adottato strategie avanzate, offrendo pacchetti di servizi completi che includono supporto tecnico, dashboard personalizzate per monitorare le campagne di attacco e programmi di affiliazione con percentuali variabili sui riscatti ottenuti.
L’orizzonte che desta più preoccupazione riguarda l’implementazione di avanzate tecniche di evasione della detection che sfruttano l’intelligenza artificiale per adattare dinamicamente il ransomware alle misure di difesa, rendendo gli attacchi significativamente più difficili da individuare e neutralizzare prima che raggiungano il loro scopo.
Gli attacchi ransomware più diffusi negli ultimi anni
Medusa (2024)
Il ransomware Medusa è un ransomware che ha preso di mira aziende e istituzioni, crittografando i dati sensibili per estorcere un riscatto. Identificato per la prima volta nel 2023, Medusa ha intensificato le sue operazioni nel 2024, colpendo principalmente settori come sanità, istruzione e pubblica amministrazione.
L’attacco inizia con l’infiltrazione della rete aziendale, spesso attraverso phishing, exploit di vulnerabilità o credenziali compromesse. Una volta ottenuto l’accesso, Medusa si espande lateralmente, acquisendo privilegi elevati per prendere il controllo dei sistemi critici. Dopo aver eseguito una scansione della rete per individuare i file più importanti, il ransomware avvia la crittografia, rendendo inaccessibili documenti, database e backup.
Alle vittime veniva inviata una richiesta con istruzioni per il pagamento in criptovaluta, con tempi limitati per evitare la diffusione delle informazioni.
Cactus (2023)
Cactus è un ransomware che ha viaggiato nel corso del 2023. L’attacco ha sfruttato le vulnerabilità nelle VPN Fortinet per infiltrarsi nelle reti aziendali. Una volta ottenuto l’accesso, utilizzava una backdoor SSH e strumenti come SoftPerfect Network Scanner per identificare bersagli.
Ciò che lo ha reso unico è stato l’uso avanzato della crittografia per proteggere il proprio codice, rendendone il rilevamento più difficile. La diffusione di Cactus avveniva attraverso la compromissione degli account e degli endpoint più deboli, con scansioni di rete via PowerShell e ping. Dopo aver ottenuto privilegi elevati, generava nuovi account e usava script per propagarsi in modo persistente, criptando i file della vittima e richiedendo un riscatto.
Per il controllo remoto l’hacker impiegava strumenti come Cobalt Strike, Chisel e AnyDesk, e riusciva a bypassare i sistemi di sicurezza muovendosi lateralmente nella rete e copiando i dati prima della crittografia.
Cactus si è distinto perché aveva la capacità di auto-crittografarsi, eludendo gli antivirus e rendendo questo ransomware più difficile da individuare e contrastare.
ESXiArgs (2023)
Questa ondata ha sfruttato una vecchia vulnerabilità, la CVE-2021–21974, che prendeva di mira gli hypervisor VMware ESXi, un software per la virtualizzazione installato direttamente sul server fisico, in relazione al servizio OpenSLP (Service Location Protocol) in ascolto sulla porta 427.
I sistemi colpiti sono stati i seguenti:
- Versioni di ESXi 7.x precedenti a ESXi70U1c-17325551
- Versioni di ESXi 6.7.x precedenti a ESXi670-202102401-SG
- Versioni di ESXi 6.5.x precedenti a ESXi650-202102101-SG
- VMware Cloud Foundation (ESXi) 3.x
- VMware Cloud Foundation (ESXi) 4.x
Il ransomware in questione, chiamato ESXiArgs, sfruttava un problema di “heap buffer overflow” nel servizio SLP, permettendo l’esecuzione di codice in modalità remota sui server e prendendo di mira file come .vmxf, .vmx, .vmdk, .vmsd e .nvram.
Sebbene si trattasse di una vulnerabilità nota, per la quale il vendor aveva già rilasciato una patch nel 2021, i server che non avevano implementato l’aggiornamento di sicurezza sono rimasti esposti a nuove intrusioni per tutto questo tempo.
Secondo quanto riportato da la Repubblica, 19 server distribuiti sul territorio italiano sono stati colpiti (su un totale di 300 in tutta Europa). La maggior parte di essi era gestita da piccole e medie imprese operanti in settori non critici.
Cheerscrypt (2022)
Trend Micro, multinazionale che opera nel campo della sicurezza informatica, nel corso del 2022 ha rilevato diversi attacchi ransomware su Linux che hanno interessato i server VMware ESXi, impiegati in ambito aziendale per la creazione e l’esecuzione di macchine virtuali ad elevate prestazioni. I cybercriminali procedevano con la cifratura dei file, chiedendo di essere contattati entro tre giorni, limite massimo per evitare la divulgazione dei dati crittografati.
Questo ransomware interrompeva l’esecuzione delle virtual machine per individuare file con estensioni .log, .vmdk, .vmem, .vswp e .vmsn. Prima della cifratura, rinominava i file con l’estensione .cheers e aggiungeva una nota di riscatto in ogni cartella. Per compiere l’azione, Cheerscrypt utilizzava l’algoritmo di crittografia SOSEMANUK. Per ogni file venivano generate una chiave pubblica e una privata, poi combinate con una seconda chiave pubblica incorporata nel ransomware per creare una chiave segreta. La chiave privata generata non veniva salvata, rendendo impossibile la decifratura senza quella in possesso degli attaccanti.
Di conseguenza, la decrittazione dei dati era fattibile solo se la chiave privata dei cybercriminali diventava nota, rendendo il recupero dei file estremamente difficile per le vittime.
Come difendersi da un attacco ransomware?
Pagare il riscatto è la soluzione più inefficace perché non è escluso che i criminali non rispettino la loro parte dell’accordo. Per la maggioranza delle aziende che hanno ceduto al ransomware, il risultato è stato quello di incappare in una doppia estorsione, con la minaccia di far trapelare nuovi dati sensibili in cambio di ulteriori riscatti.
Uno dei consigli più utili per proteggersi dagli attacchi informatici è quello di attenersi alle semplici regole della prevenzione, come:
- Non aprire allegati sospetti.
- Prestare attenzione alle email, anche se di mittenti conosciuti.
- Proteggere la rete con servizi antispam avanzati.
- Tenere aggiornati sistemi operativi e browser.
Ma questo è solo un primo passo. Come tutte le soluzioni reali, proteggersi dagli attacchi di ransomware necessita di tempo e cura. Al fine di costruire resilienza in ambito IT, è, infatti, importante:
- Effettuare backup regolari e conservarli off-line.
- Evitare di esporre i servizi di remote desktop alle reti pubbliche.
- Utilizzare password forti quando l’accesso alle reti pubbliche sia necessario.
- Installare le patch per le reti VPN commerciali in caso di remote working.
- Prestare attenzione al traffico in uscita.
- Concentrare la propria strategia di difesa sulla protezione dei dati verso internet.
- Utilizzare soluzioni di individuazione tempestiva degli attacchi.
- Far riferimento alle informazioni più avanzate in tema di sicurezza informatica.
In generale, è bene adottare un approccio proattivo rispetto alle minacce informatiche e concentrarsi sulla rapida capacità di ripristino dell’operatività in modo da essere più resilienti implementando solide misure di sicurezza, test di verifica sulla recuperabilità dei dati originali e dei backup.
Sebbene backup e ripristino siano fondamentali, questi elementi da soli non bastano: è qui che si incastrano i concetti di air-gapping e immutabilità, affinché anche le aziende inserite in ambiti più critici (finanziario, salute) possano garantire una pronta risposta in caso di attacchi ransomware.
Cosa si intende per immutabilità e air-gapping?
L’air-gapping impedisce l’accesso agli hacker ai dati sul tuo server da remoto. I backup con air-gap isolano fisicamente i tuoi dati tanto da renderne impossibile la contaminazione. Infatti, il sistema air-gapping archivia offline i dati per impostazione predefinita, creando una separazione che rende i backup inaccessibili da reti esterne.
Dall’altro lato, l’immutabilità è una caratteristica che nega l’alterazione e la rimozione dei backup in cloud, garantendone dunque l’integrità in genere per un periodo predefinito. Questo approccio è adottato da Veeam, leader nel campo delle soluzioni di backup e ripristino, che sfrutta storage immutabili integrati nel Cloud Connect.