Mentre l’interconnettività trasforma il mondo in un villaggio globale, gli attacchi informatici sono prevedibilmente in aumento. Secondo i dati riportati, gli ultimi mesi dell’anno scorso hanno visto un picco dell’importo medio dei pagamenti effettuati ad hacker responsabili di attacchi ransomware. Diverse organizzazioni si sono viste costrette a pagare milioni di dollari per poter recuperare i propri file, presi in ostaggio dagli aggressori.

Oltre al fatto che l’attuale pandemia ha lasciato molti individui e aziende vulnerabili ad attacchi, la nozione secondo cui le criptovalute sono un metodo di pagamento anonimo e non tracciabile ha portato molti hacker a richiedere riscatti in Bitcoin (BTC) e altre altcoin.

Un report pubblicato il 23 giugno dall’agenzia di sicurezza informatica Fox-IT ha svelato un gruppo di hacker chiamato Evil Corp, autore di una serie di nuovi ransomware che costringe le vittime a pagare un milione di dollari in Bitcoin.

Il report rivela inoltre che i gruppi come Evil Corp creano ransomware che prende di mira servizi di database, ambienti cloud e file server con l’obiettivo di disattivare o compromettere le applicazioni di backup dell’infrastruttura di una compagnia. Il 28 giugno, l’agenzia di sicurezza informatica Symantec ha dichiarato di aver bloccato un attacco ransomware realizzato da Evil Corp che aveva colpito circa 30 aziende statunitensi richiedendo un pagamento in Bitcoin.

Queste tentate aggressioni sono solo gli esempi più recenti della crescente minaccia rappresentata dagli attacchi ransomware. Di seguito sono elencati alcuni dei programmi più dannosi che richiedono pagamenti in crypto.

WastedLocker 

WastedLocker è l’ultimo ransomware creato da Evil Corp, gruppo attivo dal 2007 e considerato uno dei più pericolosi collettivi di criminalità informatica. Dopo l’incriminazione di due presunti membri del gruppo, Igor Turashev e Maksim Yakubets, in relazione ai trojan bancari Bugat/Dridex e Zeus, Evil Corp sembra avere ridotto le attività.

Tuttavia, ora i ricercatori credono che a maggio 2020 il gruppo abbia ripreso gli attacchi con la sua creazione più recente, il malware WastedLocker. Il nome è dovuto al filename creato dal programma, che aggiunge un’abbreviazione del nome della vittima alla parola “wasted.”

Disattivando e compromettendo le applicazioni di backup, i servizi di database e gli ambienti cloud, WastedLocker impedisce alle sue vittime di recuperare i propri file per un periodo di tempo più lungo, anche se queste hanno una configurazione di backup offline. Nei casi in cui una compagnia non dispone di sistemi di backup offline, il recupero può essere impedito in modo indefinito.

Comunque i ricercatori precisano che, a differenza di altri hacker che utilizzano ransomware per diffondere le informazioni della vittima, Evil Corp non ha mai minacciato di pubblicare tali informazioni per non attirare su di sé l’attenzione pubblica.

DoppelPaymer 

DoppelPaymer è un ransomware progettato per criptare i file delle sue vittime, impedendo di accedervi e incoraggiando in seguito a pagare un riscatto per decriptarli. Utilizzato da un gruppo di criminali informatici chiamato INDRIK SPIDER, il malware DoppelPaymer è una forma di ransomware BitPaymer scoperto per la prima volta nel 2019 da CrowdStrike, una società di sicurezza degli endpoint software.

Di recente, il ransomware è stato usato in un attacco contro la città di Torrance, in California. Gli aggressori hanno rubato 200 GB di dati, richiedendo un riscatto da 100 Bitcoin.

Altre ricerche rivelano che lo stesso malware è stato usato per attaccare il sistema informatico della città di Florence, Alabama. I criminali hanno minacciato di pubblicare i dati personali dei cittadini al mancato pagamento di 300.000$ in Bitcoin. L’attacco è avvenuto dopo gli avvertimenti di un’agenzia di cybersecurity del Wisconsin. Dopo aver analizzato il caso, uno specialista di sicurezza informatica ha spiegato che l’attacco, responsabile per l’interruzione del sistema email della città, è stato possibile grazie all’username di un computer appartenente al manager dei sistemi informatici.

I dati di Chainalysis mostrano che il malware DoppelPaymer ha visto uno dei pagamenti più grandi in questo ambito, uno degli unici due a superare il traguardo dei 100.000$.

Dridex

Secondo un report pubblicato dal fornitore di sicurezza informatica Check Point, il malware Dridex è entrato nella classifica dei dieci malware più pericolosi per la prima volta a marzo 2020, dopo la comparsa iniziale nel 2011. Il malware, conosciuto anche con i nomi di Bugat e Cridex, è specializzato nel rubare credenziali bancarie usando un sistema di macro su Microsoft Word.

Tuttavia, nuove varianti del programma si spingono oltre a Microsoft Word e prendono di mira l’intera piattaforma Windows. I ricercatori fanno notare che il malware può essere redditizio per i criminali grazie alla sua complessità, e attualmente viene utilizzato come un downloader di ransomware.

Nonostante la rimozione di una botnet legata a Dridex avvenuta l’anno scorso, gli esperti credono che questi successi siano spesso di breve durata, in quanto altri gruppi criminali possono riprendere il malware e usarlo per altri attacchi. Inoltre, l’attuale pandemia globale ha intensificato ulteriormente l’uso di malware come Dridex, eseguiti facilmente attraverso attacchi con email di phishing, in quanto un maggior numero di persone è costretto a lavorare da casa.

Ryuk 

Un altro malware riemerso durante la pandemia di coronavirus è Ryuk, noto per aver preso di mira diversi ospedali in passato. Il 27 marzo, il portavoce di una società di sicurezza informatica inglese ha confermato che, nonostante la pandemia globale, Ryuk viene ancora usato per attaccare diversi ospedali. Come accade in gran parte degli attacchi informatici, il malware Ryuk viene distribuito attraverso email di spam o funzioni di download basate sulla posizione.

Ryuk è una variante di Hermes, il malware collegato all’attacco di ottobre 2017 ai danni di SWIFT. Secondo varie analisi, i criminali che da agosto stanno utilizzando Ryuk hanno accumulato più di 700 Bitcoin nell’arco di 52 transazioni.

REvil

Mentre il panorama dei ransomware continua a riempirsi di nuove soluzioni dannose, i gruppi di cyber-criminali come REvil (Sodinokibi) sembrano essersi evoluti per tenere il passo, strutturando operazioni sempre più sofisticate. REvil funziona come un sistema RaaS (Ransomware-as-a-service) e crea ceppi di malware da vendere ad altri gruppi criminali.

Un report del team di sicurezza KPN rivela che il malware REvil ha infettato più di 150.000 dispositivi individuali in tutto il mondo. Tuttavia, queste infezioni sono emerse solo da un campione di 148 ceppi del ransomware REvil. Ogni ceppo di REvil viene implementato in base all’infrastruttura di rete specifica della compagnia, per aumentare le probabilità di infezione.

Recentemente, il noto gruppo REvil ha organizzato un’asta per vendere i dati rubati alle compagnie che non hanno pagato il riscatto, con prezzi a partire da 50.000$ da inviare in Monero (XMR). Per motivi di privacy, il gruppo è passato dal richiedere pagamenti in Bitcoin a Monero, una criptovaluta focalizzata sulla privacy.

Uno degli operatori di ransomware più attivi e aggressivi, il gruppo REvil prende di mira principalmente aziende, criptando file e richiedendo riscatti astronomici, in media di circa 260.000$.

PonyFinal

Il 27 maggio, il team di sicurezza di Microsoft ha rivelato in una serie di tweet informazioni relative a un nuovo ransomware chiamato “PonyFinal,” che utilizza attacchi di brute force per accedere all’infrastruttura di rete della vittima al fine di installare ransomware.

A differenza di gran parte dei malware, che usano link e email di phishing per ingannare gli utenti a eseguire il payload, PonyFinal viene distribuito usando una combinazione tra Java Runtime Environment e file MSI che trasferiscono il malware con un payloader attivato manualmente dall’aggressore. Come Ryuk, PonyFinal viene usato principalmente per attaccare istituzioni sanitarie durante la crisi causata dalla pandemia di COVID-19.

Cosa succede quando il riscatto non viene pagato?

Nonostante l’aumento complessivo del numero di attacchi informatici, gli esperti credono che gli attacchi a buon fine stiano diminuendo, dato che per molte compagnie gli attacchi ransomware durante una pandemia globale si stanno rivelando un colpo finale, lasciandole nell’incapacità di pagare il riscatto.

Questa tendenza risulta evidente in un report pubblicato il 21 aprile dal laboratorio malware Emsisoft, in cui viene segnalato un calo significativo del numero di attacchi ransomware di successo negli Stati Uniti. In modo simile, un report di Chainalysis pubblicato ad aprile ha rivelato una notevole riduzione dei pagamenti di riscatti dopo che la pandemia di coronavirus si è intensificata negli Stati Uniti e in Europa.

Sembra quindi che, nonostante il maggior numero di attacchi, le vittime non stiano pagando i riscatti, lasciando i gruppi criminali come REvil con l’unica opzione di mettere all’asta i dati rubati. Inoltre, è probabile che il lavoro da casa da parte degli impiegati costituisca una nuova sfida per gli hacker. In un commento a Cointelegraph, Brett Callow, analista delle minacce di Emsisoft, ha dichiarato:

“Per gli operatori di ransomware, è ovvio che si trovano davanti a una vittima potenzialmente preziosa quando colpiscono un endpoint aziendale. Tuttavia, questo potrebbe essere meno evidente quando colpiscono un dispositivo personale che un impiegato sta usando per lavorare da remoto, connesso a risorse aziendali solo a intermittenza.”