La doppia estorsione è una forma di estorsione in cui la vittima è costretta a pagare due volte l'autore del reato.
Pertanto, il ransomware a doppia estorsione funziona chiedendo due volte il pagamento del riscatto alla vittima.
Migliaia Di Dipendenti Colpiti Dall'attacco Ransomware A Puma [CASE STUDY].pdf
Cos’è Il Ransomware A Doppia Estorsione, Come Evitarlo E Quali Sono I Rischi.pdf
1. Cos’è Il Ransomware A Doppia
Estorsione, Come Evitarlo E Quali Sono I
Rischi?
Scopri cos’è il ransomware a doppia estorsione, come evitarlo e quali
sono i rischi. Vedrai come funziona e quali sono le principali famiglie.
2. Cos’è la doppia estorsione?
La doppia estorsione è una forma di estorsione in cui la vittima è
costretta a pagare due volte l'autore del reato.
Pertanto, il ransomware a doppia estorsione funziona chiedendo due
volte il pagamento del riscatto alla vittima.
La prima volta il malware entra nel tuo dispositivo e cripta tutti i file e i
dati che trova e chiede un pagamento in cambio della chiave di
decrittazione.
Successivamente, gli hacker minacciano la vittima di pubblicare le
informazioni rubate sul web.
Per evitare che questo avvenga, ti chiedono un altro pagamento.
Secondo il sondaggio condotto da Sophos, il riscatto medio pagato è
quasi quintuplicato rispetto all’anno precedente, arrivando a 812.360
dollari.
3. Il ransomware a doppia estorsione può anche essere definito
ransomware “double-dip”.
Doppia estorsione significato
Nell’avviso promulgato a fine 2021 dalla FinCEN, l’organizzazione
statunitense contro i reati finanziari, si legge che stanno aumentando i
crimini informatici con doppia estorsione.
Qui si spiega come si svolgono questi attacchi:
“Implicano la rimozione di dati sensibili dalle reti prese di mira e la
crittografia dei file di sistema e la richiesta di riscatto. I criminali
informatici minacciano quindi di pubblicare o vendere i dati rubati se la
vittima non paga il riscatto.
Sono emersi anche altri schemi di estorsione in base ai quali i criminali
informatici utilizzano la violazione del sistema per prendere di mira
ulteriori parti correlate alla vittima iniziale, come i partner commerciali o i
clienti della vittima, nel tentativo di identificare obiettivi successivi.”
In entrambi i casi, la doppia estorsione prevede una doppia richiesta di
ricatto da parte dei criminali informatici.
Origini del ransomware a doppia estorsione
Si può dire che le origini del ransomware a doppia estorsione siano da
ricondurre alle origini degli attacchi ransomware.
Il motivo per cui gli esperti di HelpRansomware ripetono costantemente
di non pagare il riscatto è perché una volta inviato il denaro ai criminali
non si ha la certezza della restituzione dei dati.
4. In qualunque momento i criminali informatici possono tornare dalla
vittima e fare ulteriori minacce.
Tuttavia, negli ultimi anni si è rilevato un forte incremento in questo tipo
di estorsione.
Questo si deve a una serie di fattori, in primo luogo l’aumento del
telelavoro e la digitalizzazione di molte infrastrutture, come quella
sanitaria.
Secondo le stime di Cipher Trace, i ransomware a doppia estorsione
sono aumentati del +500% nel 2021.
Quando è iniziata la doppia estorsione?
La tecnica del ransomware a doppia estorsione è in circolazione dal
2013, ma è tornata con forza sulle scene nel 2019.
5. Quell’anno, infatti, un'organizzazione criminale chiamata TA2101 ha
utilizzato il ransomware Maze per realizzare un attacco a doppia
estorsione.
L’agenzia Bleeping Computer viene informata di un attacco tramite una
mail firmata “Maze Crew”.
La vittima di questo attacco fu Allied Universal, un grande fornitore
americano di sistemi e servizi di sicurezza.
Il gruppo TA2101, invece di procedere soltanto con la normale
crittografia dei dati tramite ransomware, li ha esportati e ha minacciato
l’azienda di pubblicarli online.
La condizione per non rendere pubblici i dati era il pagamento di un
riscatto di 2,3 milioni di dollari in bitcoin.
Come funziona il ransomware a doppia estorsione?
Un attacco ransomware a doppia estorsione è simile ai cosiddetti
Advanced Persistent Threat (APT).
Come riportato dal NIST (National Institute of Standards and Security),
questi attacchi sono:
“Consentono attraverso l'uso di molteplici vettori di attacco diversi (es.
cyber, fisico e inganno), di generare opportunità per raggiungere i suoi
obiettivi.
Questi, di solito, consistono nello stabilire ed estendere la sua presenza
all'interno delle infrastrutture informatiche delle organizzazioni allo
scopo di esfiltrare continuamente informazioni e/o minare o ostacolare
6. aspetti critici di una missione, programma o organizzazione, o mettersi
nella posizione di farlo in futuro.”
La stessa strategia è utilizzata dai ransomware a doppia estorsione,
in modo tale che gli hacker possano entrare e sfruttare i dati della
vittima in maniera ripetuta.
Rimuovere ransomware di questo tipo è più difficile.
Infatti, un attacco a doppia estorsione si compone di una serie di azioni
che sono in parte manuali (che dipendono dall’utente) e in parte
automatizzati.
Le fasi dell’estorsione del ransomware
Le fasi che compongono l'estorsione di un attacco ransomware sono le
seguenti:
● Il ransomware viene introdotto nel sistema tramite una
vulnerabilità di sicurezza, una mail di phishing o un download
drive-by;
● Una volta che il malware è installato sul sistema, esegue la
scansione e mappa tutti i file e le cartelle sul dispositivo;
● Crittografa questi file con un algoritmo di crittografia avanzato e
aggiunge l’estensione .encrypted a ciascun file;
● Nello stesso momento, tutti i file vengono esportati e l’hacker ne fa
una copia;
● La vittima riceve un avviso dal ransomware che i suoi file sono
stati crittografati e non sarà in grado di decrittografarli senza
pagare un riscatto;
7. ● Nel caso di mancato pagamento, gli hacker minacciano di
pubblicare i dati online.
Tuttavia, il pagamento del riscatto non assicura la restituzione dei dati.
Se sei vittima di un attacco ransomware, contatta immediatamente
un’azienda specializzata nella rimozione dei ransomware e nel recupero
dati come HelpRansomware.
Single extortion
Un attacco ransomware a singola estorsione prevede che i dati della
vittima vengano criptati.
Gli attacchi ransomware tradizionali si basano sul presupposto che una
volta che la vittima paga il riscatto, riacquisterà l'accesso ai propri dati e
ai sistemi che li ospitano.
Questi attacchi prendono di mira i dati critici necessari per le attività
quotidiane, nonché altri obiettivi digitali che possono distruggere la
funzionalità di interi server o reti.
Secondo il report pubblicato da Veeam, l’80% degli aggressori cerca
sistemi tradizionali con vulnerabilità note.
8. Tra questi si includono sistemi operativi e hypervisor comuni, nonché
piattaforme NAS e server di database.
Cos’è il ransomware a doppia estorsione?
Il ransomware a doppia estorsione costituisce una parte del più
complesso mondo dei Ransomware as a Service (RaaS).
Questa tipologia di ransomware prevede tecniche di intrusioni che
vanno dall’automatizzato al manuale, richiedendo l’azione della futura
vittima, come nel caso del doxing.
L’aumento esponenziale rappresenta un forte rischio per le aziende, che
si vedono messe a rischio sia sul fronte dei profitti sia su quello del furto
di informazioni.
Come dimostrano i trend elaborati da SonicWall, il 2021 ha registrato un
aumento del +105% di attacchi ransomware.
9. Si tratta di un totale di 623.3 milioni di attacchi.
La situazione di instabilità a livello europeo causata dal conflitto russo fa
prevedere crescite esponenziali anche per il 2022.
Triple extortion ransomware
Il ransomware a tripla estorsione rappresenta un’evoluzione rispetto al
ransomware a doppia estorsione.
Questo tipo di minaccia riprende le tecniche dell’attacco tradizionale, in
cui l’hacker chiede un riscatto all’azienda in cambio di decriptare file
ransomware con una chiave di decrittazione.
A ciò si somma la minaccia di diffondere i dati e le informazioni sensibili.
Nella tipologia della tripla estorsione, si aggiunge la possibilità di
sferrare un attacco DDoS (Distributed Denial of Service).
Il susseguirsi di queste pressioni fa in modo che la vittima si senta
sempre più costretta a pagare il riscatto.
10. L’esempio più eclatante di ransomware a tripla estorsione è quello
contro Vastaamo, la più grande rete di fornitori privati di salute mentale
in Finlandia.
Come riportato dall’Helsinki Times, l’attacco scosse tutta la nazione:
25.000 pazienti denunciarono di aver ricevuto mail di ricatto.
Estorsioni quadruple
Gli attacchi ransomware possono arrivare a sferrare fino a quattro
estorsioni.
In questi casi, l’attacco si compone di quattro ricatti:
● Crittografia di tutti i file sul dispositivo: gli hacker chiedono un
riscatto per la chiave di decrittazione che serve per aprire file
criptati;
● Minaccia di diffusione dei dati online in caso non venga pagato il
riscatto;
● Attacchi DoS o DDoS, per bloccare i siti web della vittima;
● Contatto con clienti, provider di servizi o media: gli hacker
contattano la stampa o direttamente i clienti dell’azienda,
minacciandoli di pubblicare i loro dati.
È sempre più frequente che i criminali informatici facciano leva su tutte
e quattro le tecniche per guadagnare di più.
Secondo quanto riportato da Acronis, i danni causati dai ransomware
nel 2023 possono arrivare a 30 miliardi di dollari.
11. Qual è la differenza tra ransomware ed estorsione?
L’estorsione si può considerare come un’evoluzione del ransomware.
Mentre il ransomware nasce come un malware per crittografare i file di
un dispositivo per poi chiedere un riscatto, l’estorsione aggiunge la
minaccia di diffusione dei dati online.
Gli hacker che attaccano con ransomware a doppia, tripla o quadrupla
estorsione, aumentano i livelli di minaccia della loro azione.
Questo rende più complicato rimuovere ransomware e decriptare file
senza l’aiuto di specialisti.
Sia il ransomware che l'estorsione, però, accedono al computer o
dispositivo della vittima per esfiltrare e bloccare tutti i file.
Mentre i ransomware attaccano molti PC personali, gli attacchi di
estorsione si dirigono principalmente alle reti aziendali.
La ragione è semplice: la quantità di dati, e quindi di profitto, è maggiore.
12. Inoltre, mentre il ransomware crittografa automaticamente tutti i file del
dispositivo, l’attacco di estorsione cifra in maniera selettiva le risorse.
Gli attacchi ransomware a doppia estorsione includono anche
tecniche più avanzate di anti-recupero dei file.
Attacchi ransomware a doppia estorsione
Gli attacchi ransomware a doppia estorsione sono una modalità di
attacco che tenta di estorcere denaro alla vittima due volte.
Di solito iniziano crittografando i dati della vittima e chiedendo un riscatto
per la chiave di decrittazione.
Se la vittima paga, spesso si ritroverà incapace di decrittare i propri dati
perché non c'è la chiave.
Nel caso in cui la vittima si rifiuta di pagare, l’hacker invierà un altro
messaggio con una nuova richiesta di riscatto e un limite di tempo per il
pagamento.
Il ransomware a doppia estorsione è un tipo di ransomware
relativamente nuovo di ransomware.
Questa tipologia di attacco ha molto successo anche perché agisce con
relativa calma e la vittima non si rende conto di essere stata attaccata
fino alla richiesta di riscatto.
L'evoluzione del ransomware a doppia estorsione
Negli ultimi dodici mesi si è assistito a un drammatico aumento degli
attacchi ransomware a doppia estorsione.
13. La ragione principale è che le aziende hanno dovuto far fronte ad un
indebolimento dei sistemi dovuto allo smart working.
Secondo i dati riportati dal Governo britannico, per esempio, il 39% delle
aziende del Paese ha dovuto far fronte ad un data breach.
Il 21% delle aziende, inoltre, riconosce che si sia trattato di un attacco
più sofisticato, come DoS.
L'evoluzione degli attacchi ransomware continua a muoversi in
direzione di un maggiore guadagno per gli hacker.
I criminali hanno trovato un'altra strada per l'estorsione e le
organizzazioni devono essere preparate a superare questa nuova
minaccia.
Con questa tattica, infatti, non è più sufficiente avere un backup dei dati
per il loro ripristino.
14. Tipi di ransomware
I ransomware sono in continua evoluzione e proprio per questo
rappresentano una minaccia costante.
Considera che non tutti hanno degli strumenti decrittazione ransomware
che si possono utilizzare per recuperare i file criptati.
Di seguito si riportano le famiglie di ransomware più comuni e redditizie
per i criminali informatici.
Revil
Revil è conosciuto anche come ransomware Sodinokibi, un tipo di
ransomware che crittografa i file sul computer della vittima e chiede un
riscatto per la chiave di decrittazione.
La richiesta di riscatto includerà istruzioni su come pagare il riscatto e
anche collegamenti a siti Tor in cui le vittime possono acquistare
Bitcoin.
Secondo il rapporto di IBM, il ransomware Revil è stato responsabile
del 37% degli attacchi ransomware del 2021.
15. Revil ransomware è degno di nota perché crittografa i file sul computer
della vittima anziché bloccarli semplicemente con una password.
Inoltre, per entrare nel dispositivo della vittima si avvale di sistemi
automatizzati che non hanno bisogno dell’interazione dell'utente.
Il ransomware prende spesso di mira i sistemi Microsoft Windows,
ma crittografa anche i file su macchine Apple OSX e Linux.
Utilizza la crittografia AES-256 per impostazione predefinita, ma la
vittima può scegliere di utilizzare invece lo scambio di chiavi RSA o
Diffie-Hellman.
Wannacry
WannaCry è un malware che blocca i dati memorizzati su un computer
e chiede un riscatto per decriptare file ransomware.
Si tratta di uno degli attacchi più imponenti della storia, sferrato a partire
dal maggio 2017.
16. Il ransomware Wannacry non si definisce come un virus perché non si
replica, ma è un cyberworm perché si propaga infettando i computer
presenti in rete.
Cryptolocker
Anche Cryptolocker crittografa i file dell'utente e quindi richiede il
pagamento per decrittografarli.
Il ransomware Cryptolocker è stato scoperto per la prima volta a
settembre 2013.
I creatori di questo malware hanno sviluppato diverse versioni del
software che sono state rilasciate al pubblico.
I creatori di questo malware in genere richiedono il pagamento in Bitcoin
difficile da rintracciare perché non richiede alcuna identificazione o
verifica per le transazioni.
Petya
Petya è un ransomware rilevato per la prima volta nel 2016 e si ritiene
che sia una variante del ransomware WannaCry.
17. La vulnerabilità è stata scoperta dal ricercatore britannico Marcus
Hutchins, a cui è stato attribuito il merito di aver fermato la diffusione
dell'exploit WannaCry.
Il ransomware si diffonde attraverso un worm che scansiona grandi reti
collegate a Internet alla ricerca di macchine vulnerabili.
Una volta trovate, sfrutta le vulnerabilità di Windows, inclusa una
vulnerabilità in SMB Server per la quale Microsoft ha rilasciato una
correzione all'inizio di quest'anno.
Ryuk
Ryuk ransomware crittografa i dati utilizzando l'algoritmo AES-256 con
una chiave generata da un generatore di numeri casuali (RNG).
Elimina anche le copie shadow dalla macchina, in modo che anche se
qualcuno ha un vecchio backup dei propri file, non sarà in grado di
recuperarli senza pagarlo.
18. Ryuk prende di mira tipi di file specifici come .docx, .pdf, .xlsx, .pptx,
ecc., il che rende più difficile il recupero dei dati senza pagare un
riscatto.
È stato visto per la prima volta nell’agosto 2018, ma è già stato
responsabile di attacchi a istituzioni pubbliche, università e agenzie
governative.
Locky
Locky esiste dal 2016 ed è ancora utilizzato per estorcere denaro a
persone di tutto il mondo.
Non interessa solo un'area in particolare, ma colpisce tutti coloro che
dispongono di una connessione Internet, il che significa che non ci sono
limiti per questo ransomware.
Secondo quanto riportato da Smart Data Collective, all’inizio questo
ransomware infettava 90.000 dispositivi al giorno.
19. Locky in genere si diffonde tramite allegati e-mail o collegamenti su
piattaforme di social media come Facebook, Twitter e LinkedIn.
Ransomware Conti doppia estorsione
Conti è un ransomware scoperto per la prima volta nel novembre 2017.
Molto probabilmente è stato sviluppato da un gruppo di hacker di lingua
russa.
Il malware crittografa i dati sul disco rigido della vittima e richiede un
riscatto per decrittografarli.
In alcuni casi, Conti ransomware blocca i file e li elimina anche senza
chiedere il pagamento.
Questo ransomware è stato responsabile dell’attacco al governo del
Costa Rica.
Principali famiglie di ransomware con doppia
estorsione
Il punto di svolta degli attacchi ransomware a doppia estorsione si ha nel
2019, ad opera del gruppo Maze.
Questo ransomware può essere eseguito su qualsiasi sistema operativo
Windows e crittografa tutti i tipi di file, inclusi immagini, video e
documenti.
Maze utilizza la crittografia AES per bloccare i file dell'utente e
richiede il pagamento in Bitcoin; successivamente minaccia con la
diffusione dei dati online.
20. A partire dall’esempio di Maze, le famiglie di ransomware a doppia
estorsione sono aumentate.
Ecco alcune:
● DarkSide: come riportato nell’analisi di BrandDefense, questo
ransomware ha raccolto 90 milioni di dollari tra ottobre 2020 e
maggio 2021;
● Egregor: a questo ransomware sono stati attribuiti oltre 150
attacchi;
● DoppelPaymer, della famiglia BitPaymer: responsabile
dell’attacco alla compagnia petrolifera statale messicana Pemex
che, come riportato da Reuters, è costato all'azienda 5 milioni di
dollari;
Ovviamente queste sono solo alcune delle famiglie più comune, ma
l’evoluzione è costante.
21. Esempi recenti di alto profilo
Uno dei casi più eclatanti di attacco ransomware a doppia estorsione
risale al maggio 2021.
Come si legge nel comunicato stampa dell’Ufficio per la sicurezza
informatica, la sicurezza energetica e la risposta alle emergenze degli
Stati Uniti:
“Il 7 maggio 2021, la Colonial Pipeline Company ha chiuso in modo
proattivo il suo sistema di gasdotti in risposta a un attacco ransomware.”
L’attacco ha interessato il maggior fornitore di benzina e carburante per
aerei della costa orientale statunitense.
Gli hacker erano del gruppo DarkSide e hanno rubato 100GB
chiedendo un riscatto di circa 5 milioni di dollari in Bitcoin per ripristinare
file criptati.
Come riportato dall’articolo di Reuters, infatti, l’amministratore delegato
di Colonial Pipeline Joseph Blount ha dichiarato che gli hacker sono
entrati nel sistema dell’azienda grazie a un VPN che prevedeva solo
l’autenticazione a fattore singolo.
Tra le aziende colpite da ransomware c’è anche JBS SA, la più grande
azienda di lavorazione di carne del mondo.
Secondo la BBC, l’impresa brasiliana ha pagato un riscatto di 11 milioni
di dollari per recuperare i dati rubati durante un attacco del ransomware
Conti.
L’azienda ha affermato di aver pagato il riscatto per proteggere i clienti
che erano stati minacciati.
22. Perché si verifica la doppia estorsione?
La doppia estorsione costituisce un’evoluzione rispetto al normale
ransomware.
Questa tattica permette ai criminali informatici di guadagnare il doppio
da ogni attacco informatico rendendo più difficile recuperare file
crittografati.
I bersagli preferiti dei ransomware a doppia estorsione sono le grandi
aziende o tutte le istituzioni che lavorano con informazioni sensibili,
come quelle sanitarie e legali.
Ci sono molte ragioni per cui ciò accade:
● La vittima paga il primo riscatto e non denuncia l’attacco;
● Dopo aver pagato il primo riscatto, la vittima contatta le forze
dell’ordine ma il processo di recupero dei file è lungo e difficile;
● Le minacce continuano e la vittima cede al pagamento del riscatto
perché, come nel caso degli ospedali, ha bisogno di accedere alle
informazioni.
Questo atteggiamento rende la vittima un bersaglio vulnerabile.
La cosa migliore in caso sei stato vittima di un attacco ransomware a
doppia estorsione, è rivolgerti ad un’azienda specializzata come
HelpRansomware.
I servizi offerti da HelpRansomware includono l'eliminazione del
ransomware, la decrittazione dei file e il ripristino del sistema.
23. Quali sono i rischi di un ransomware a doppia
estorsione?
Il primo rischio del ransomware a doppia estorsione è che blocca
l'accesso ai tuoi dati e file.
Questo è un problema soprattutto nel caso di quelle aziende che
lavorano attraverso la rete internet e maneggiando molti dati sensibili di
clienti o fornitori.
A ciò si collega il fatto che un’azienda potrebbe vedersi interrotto il flusso
di lavoro, registrando grandi perdite.
Il costo di un attacco informatico negli Stati Uniti, è passato da 8.64
milioni del 2020 a 9.44 milioni del 2022, secondo Statista.
Il secondo rischio è che dopo il ransomware attack gli hacker non ti
restituiscano i file decriptati ma, al contrario, li diffondano sul web.
Non pensare che per evitare questo sia sufficiente pagare il riscatto.
24. Anzi, se paghi il riscatto ti mostri come una potenziale vittima da
attaccare in futuro.
La diffusione online dei dati sensibili della tua organizzazione o dei tuoi
clienti o fornitori può comportare grandi problemi.
A parte la perdita di credibilità e il danno causato all’immagine online, il
costo per la tua azienda sarà molto alto anche per la gestione delle
relazioni con i clienti.
Come evitare il ransomware a doppia estorsione?
Per evitare di essere vittima di un attacco ransomware a doppia
estorsione puoi seguire questi suggerimenti:
● Assicurarti che sul tuo computer sia installato e aggiornato un
software anti-ransomware;
● Non visitare siti Web non protetti;
● Esegui regolarmente scansioni antivirus;
● Esegui il backup dei dati su un disco rigido esterno o su un
archivio cloud;
● Mantieni aggiornato il sistema operativo.
Inoltre, è fondamentale prestare molta attenzione anche alle mail,
perchè il phishing resta uno dei modi più comuni per infettare un
dispositivo.
Proteggersi dagli attacchi a doppia estorsione
Per proteggersi dal ransomware a doppia estorsione non è sufficiente
avere un backup dei dati.
25. Avere un backup, infatti, ti protegge solo dalla prima estorsione, ma
non dalla possibilità di diffusione dei tuoi dati nel web.
Sicuramente la cosa migliore da fare è avere il tuo software antivirus e
il sistema operativo sempre aggiornati.
Le aziende dovrebbero sempre utilizzare un approccio Zero Trust che,
come illustrato da Microsoft, permette di mitigare i rischi.
Inoltre, le aziende devono includere diverse linee di difesa che servano a
bloccare la crittografia illegittima, come l’autenticazione a più fattori.
Conclusioni
In questo testo ti abbiamo mostrato tutto quello che c’è da sapere sul
ransomware a doppia estorsione, come evitarlo e proteggere i tuoi
dati.
Di seguito puoi leggere le conclusioni che si possono trarre da questo
articolo:
● Il ransomware a doppia estorsione funziona chiedendo due
volte il pagamento del riscatto alla vittima;
● Il pericolo di questo tipo di attacco è che gli hackers diffondano in
rete i dati rubati dal tuo dispositivo anche dopo il pagamento del
riscatto;
● Nel 2022, il riscatto medio pagato è quasi quintuplicato rispetto
all’anno precedente, arrivando a 812.360 dollari;
● I ransomware a doppia estorsione sono aumentati del +500%
nel 2021;
● Il ransomware a doppia estorsione costituisce una parte del più
complesso mondo dei Ransomware as a Service (RaaS);
26. ● Nella tipologia della tripla estorsione, si aggiunge la possibilità di
sferrare un attacco DDoS; nella quadrupla estorsione si procede
a contattare i clienti o i provider di servizi per estendere la
minaccia;
● I danni causati dai ransomware nel 2023 possono arrivare a 30
miliardi di dollari;
● Il primo attacco ransomware a doppia estorsione risale al
2013, ad opera del gruppo Maze.
Un ransomware a doppia estorsione richiede l’intervento di un team di
specialisti come quelli di HelpRansomware.
HelpRansomware può aiutarti a bloccare il ransomware e a ripristinare i
tuoi dati.