Secondo Check Point Software il ransomware è destinato a crescere nei prossimi mesi
di Alberto Falchi pubblicata il 02 Agosto 2021, alle 09:31 nel canale SecurityLe tecniche di attacco si fanno sempre più raffinate e dopo il doppio ricatto, i criminali informatici hanno evoluto le loro strategie arrivando a minacciare non solo le vittime, ma anche i loro clienti e partner
Check Point Software ha pubblicato il suo rapporto semestrale sullo stato della cybersecurity, confermando quello che già era nell'aria: il numero di attacchi informatici continua ad aumentare. Negli USA parliamo di una media di 443 attacchi settimanali (+17% rispetto allo scorso anno), ma l'area che ha visto il maggior aumento delle attività criminali è l'EMEA, con una media di 777 attacchi ogni settimana, cresciuti del 36% rispetto al 2020. Più contenuta la crescita delle attività dei criminali informatici nell'area APAC, 13%, mentre nella sola Europa è del 27%.
Ransomware: oltre la doppia estorsione
Su Edge9 abbiamo sottolineato come le tecniche di ransomware si siano evolute nell'ultimo anno: i criminali informatici non si limitano a cifrare i dati delle vittime, ma prima li sottraggono, minacciando di renderli pubblici nel caso non si paghi il riscatto. Check Point segnala come le strategie sono state ulteriormente raffinate, aggiungendo un ulteriore "ricatto": a partire dalla fine del 2020 infatti si è iniziato ad assistere a un processo che l'azienda di cybersecurity chiama Triple Extorsion, dove vengono presi di mira anche clienti e partner. Il primo caso registrato di estorsione tripla ha colpito Vastaamo, una clinica psichiatrica finlandese. Gli attaccanti hanno sottratto i dati di 40.000 pazienti e oltre a chiedere un ingente somma all'azienda, hanno contattato i singoli pazienti minacciandoli di rendere pubblici dati relativi alle loro sessioni di terapia se non avessero a loro volta pagato un riscatto (di minore entità).
In Aprile, invece, è stata la volta di Quanta Computer, produttore di notebook taiwanese e partner di Apple: Quanta è coinvolta nella produzione di MacBook, Apple Watch e altri dispositivi della Mela. Dopo un attacco ransomware, con tanto di sottrazione di dati, all'azienda è stato chiesto un riscatto di 50 milioni di dollari (cifra che sarebbe raddoppiata se non fossero stati rispettati i tempi di pagamento dettati dai REVil, responsabile dell'attacco). Quanta Computer non è voluta scendere a compromessi, fatto che ha spinto i criminali a contattare direttamente Apple, minacciandola di pubblicare i blueprint dei suoi prodotti se a sua volta non avesse ceduto al ricatto. Il fatto che gli schemi di Apple non siano più presenti nel set di dati pubblicato da REvil secondo Check Point fa supporre che l'azienda guidata da Tim Cook abbia ceduto alle pressioni.
La tecnica della tripla estorsione, in generale, sembra molto efficace, tanto che secondo Check Point negli ultimi sei mesi gli attacchi ransomware sono quasi raddoppiati, facendo registrare un incremento del 93%.
Attacchi alla supply chain: non c'è solo SolarWinds
L'attacco a SolarWinds si è rivelato fra le più gravi violazioni mai avvenute, dato che ha coinvolto qualcosa come 18.000 aziende, fra cui 425 realtà della Fortune 500. Non si è trattato dell'unico esempio di hack contro la supply chain, però. Anche Codecov, fra i principali servizi di code coverage (il cloud coverage è una metrica che indica quanta percentuale di linee di codice sono state sottoposte a test), è stato violato. Andando nello specifico, un gruppo di attaccanti è riuscito a modificare lo script Bash Uploader dell'azienda: i clienti di Codecov che lo hanno utilizzato si sono trovati a loro insaputa a inviare i dati del loro ambiente di sviluppo a un server controllato da attori malevoli, che sono quindi riusciti ad accedere a informazioni estremamente sensibili, inclusi token e chiavi crittografiche.
Attenzione al BYOD
Con la pandemia, è cresciuto enormemente il ricorso al BYOD, Bring Your Own Devices, così da garantire più flessibilità ai lavoratori remoti, che hanno potuto usare anche i loro dispositivi personali per svolgere le loro mansioni. Gli attaccanti non sono rimasti a guardare e hanno sfruttato FluBot per colpire i lavoratori remoti. FluBot è un malware per Android diffuso tramite SMS - prevalentemete in UK ed Europa - sotto forma di un avviso di consegna da aziende come DHL o FedEx. Le vittime venivano ingannate e convinte a scaricare un client per avere informazioni sulla loro spedizione, client contenete questo malware, capace di intercettare credenziali di accesso, anche bancarie.
“Nella prima metà del 2021, i cyber criminali hanno continuato ad adattare le loro pratiche per sfruttare il passaggio al lavoro ibrido, prendendo di mira le supply chain delle organizzazioni e la rete di partner per causare grandi disagi” - ha dichiarato Maya Horowitz, VP Research di Check Point Software - “Quest'anno i cyber-attacchi stanno battendo ogni record e abbiamo anche visto un enorme aumento del numero di attacchi ransomware, con incidenti di alto profilo come Solarwinds, Colonial Pipeline, JBS o Kayesa. Guardando al futuro, le organizzazioni dovrebbero essere consapevoli dei rischi e assicurarsi di avere le soluzioni appropriate per prevenire, senza interrompere il normale flusso di lavoro, la maggior parte degli attacchi, compresi quelli più avanzati".
4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info..... THE TIME BOMB IS SET !
Le tecniche di attacco si fanno sempre più raffinate e dopo il doppio ricatto, i criminali informatici hanno evoluto le loro strategie arrivando a minacciare non solo le vittime, ma anche i loro clienti e partner
Ma se hanno cosi tanti attacchi, mettersi al riparo ? No ehhh.........
Complicato quando sono compromesse le supply chain, vedi Solarwinds. Puoi mettere la serratura più robusta al mondo alla tua cassaforte, ma se anche quella è violabile dai criminale, non puoi fare un granché ;-)
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".