Una società di sicurezza informatica ha passato al setaccio gli annunci pubblicati nel dark web e ha individuato i parametri che i gruppi di cyber-criminali di ransomware adottano per selezionare le aziende da ricattare in cambio dei loro dati malevolmente criptati.
La società di security intelligence Kela ha esaminato in totale 48 post di forum da luglio 2021. Gli annunci di ricerca, pubblicati da vari attori di ransomware, erano rivolti ai cosiddetti “initial access broker” (IAB), ossia hacker che si dedicano esclusivamente alla compromissione iniziale delle reti aziendali attraverso metodi come attacchi di brute-force incentrati sulle password, exploit o phishing. Questi IAB vendono i dati di accesso ai criminali informatici che offrono di più e che, a loro volta, li sfruttano per introdurre il loro codice maligno.
Il 40% degli “annunci di ricerca” nei forum del dark web esaminati da Kela proveniva dall’ambiente di gruppi ransomware noti. In un caso, il gruppo ransomware conosciuto come “BlackMatter” era alla ricerca di obiettivi specifici negli Stati Uniti, in Canada, Australia e nel Regno Unito con un fatturato annuo minimo di 100 milioni di dollari e un numero di dipendenti compreso tra 500 e 15.000 unità. Per i dati di accesso, i criminali erano disposti a pagare ogni volta da 3.000 a 100.000 USD.
Anche l’Europa è un obiettivo appetibile
Dall’analisi di circa 20 annunci, Kela ha identificato diversi criteri con cui gli estorsori di ransomware selezionano le loro vittime. Eccoli qui riportati:
- Area geografica: i gruppi ransomware preferiscono vittime che si trovano negli Stati Uniti, in Canada, Australia ed Europa. Nella maggior parte delle richieste, la regione desiderata era indicata in modo esplicito. L’area più richiesta è stata gli Stati Uniti (47%), seguita da Canada e Australia (entrambi al 37%) e dai paesi europei (31%). In quasi tutti i casi, la “lista dei desideri” includeva più di un paese. Secondo Kela, l’attenzione verso determinate aree geografiche deriva dal fatto che le aziende con maggiore solvibilità si trovano nei paesi più grandi e sviluppati.
- Fatturato: in generale, gli estorsori erano alla ricerca di aziende con un fatturato annuo di almeno 100 milioni di USD. In alcuni casi, tuttavia, è stata fatta una distinzione a seconda del paese bersaglio. In un caso specifico, ad esempio, l’annuncio cercava esclusivamente aziende statunitensi con un fatturato minimo di 5 milioni di USD, aziende europee con un fatturato di almeno 20 milioni di USD o aziende dei “paesi del terzo mondo” con un fatturato annuo minimo pari a 40 milioni di USD.
- Liste di blocco per settori: già prima degli attacchi a Colonial Pipeline e alla multinazionale della carne JBS, la maggior parte dei criminali informatici non toccava le aziende del settore sanitario. Dopo questi eventi, sono diventati più cauti e selettivi anche in altri settori. Negli annunci che Kela ha esaminato, il 47% escludeva in modo chiaro sanità e istruzione (47% per ciascun settore), il 37% ha deliberatamente risparmiato il settore pubblico e il 26% le organizzazioni senza scopo di lucro. Kela ha cercato di trovare delle motivazioni dietro queste esclusioni: probabilmente per il settore sanitario e le organizzazioni senza scopo di lucro gioca un ruolo importante l’aspetto morale, mentre nel caso dell’istruzione, è più probabile che abbia prevalso la consapevolezza che le vittime non sono nella condizione di pagare un riscatto esoso.
- Liste nere dei paesi: la maggior parte dei criminali di ransomware evita molti paesi della Comunità degli Stati Indipendenti (CSI), presumibilmente sul presupposto che le loro autorità in cambio non li “disturberanno”. Oltre alla Russia, queste liste includono Ucraina, Moldavia, Bielorussia, Kirghizistan, Kazakistan, Armenia, Tagikistan, Turkmenistan e Uzbekistan.
Inutile dire che, anche se un’azienda non rientra nel modello standard di preda, non può assolutamente sentirsi al sicuro. Secondo Kela, molti gruppi ransomware (come Dharma, STOP e Globe) sono molto meno selettivi. Un’azienda non può permettersi di accontentarsi di una sicurezza ingannevole, ma deve piuttosto proteggersi nel modo più efficace possibile contro ogni tipo di minaccia informatica.
Per quanto riguarda il ransomware, questo include sicuramente la protezione anti-phishing per le caselle di posta elettronica, come quella offerta dalla soluzione modulare Secure Email Platform di Retarus, che può essere adottata anche come complemento al software di cloud office come Microsoft 365 o Google Workspace. È possibile utilizzare la nostra guida anti-phishing gratuita in cinque lingue per sensibilizzare i proprio utenti su questo delicato tema. Per maggiori informazioni, potete consultare il nostro sito web o direttamente il vostro referente Retarus di zona.