I gruppi ransomware stanno sempre più adottando la crittografia remota nei loro attacchi, segnando una nuova escalation nelle tattiche adottate dagli attori finanziariamente motivati per garantire il successo delle loro campagne secondo un rapporto di Sophos.
Come Funziona la Crittografia Remota
La crittografia remota, o ransomware remoto, si verifica quando un endpoint compromesso viene utilizzato per crittografare i dati su altri dispositivi nella stessa rete. Questo approccio presenta un vantaggio significativo: rende inefficaci le misure di rimedio basate sui processi, poiché le macchine gestite non possono rilevare l’attività malevola, essendo presente solo su un dispositivo non gestito.
Statistiche e Esempi
Nell’ottobre 2023, Microsoft ha rivelato che circa il 60% degli attacchi ransomware ora coinvolge la crittografia remota malevola, in un tentativo di minimizzare la propria impronta digitale, con oltre l’80% di tutti i compromessi che provengono da dispositivi non gestiti. Famiglie di ransomware note per supportare la crittografia remota includono Akira, ALPHV/BlackCat, BlackMatter, LockBit e Royal. Questa tecnica è stata utilizzata per la prima volta nel 2013 da CryptoLocker, che prendeva di mira le condivisioni di rete.
Cambiamenti nel Panorama Ransomware
Questo sviluppo avviene in mezzo a cambiamenti più ampi nel panorama ransomware, con gli attori della minaccia che adottano linguaggi di programmazione atipici, prendono di mira sistemi oltre Windows, mettono all’asta dati rubati e lanciano attacchi al di fuori degli orari lavorativi e nei fine settimana per eludere il rilevamento e gli sforzi di risposta agli incidenti.
Relazione tra Ransomware e Media
Sophos, in un rapporto pubblicato la scorsa settimana, ha evidenziato la “relazione simbiotica, ma spesso instabile” tra i gruppi ransomware e i media, come un modo non solo per attirare l’attenzione, ma anche per controllare la narrazione e contestare ciò che considerano una copertura inesatta. Questo include anche la pubblicazione di FAQ e comunicati stampa sui loro siti di divulgazione dei dati, persino includendo citazioni dirette dagli operatori e correggendo errori fatti dai giornalisti.
Evoluzione della Professionalizzazione del Cybercrime
Un’altra tattica è l’uso di nomi accattivanti e grafiche raffinate, indicando un’evoluzione della professionalizzazione del cybercrime. Ad esempio, il gruppo RansomHouse ha un messaggio sul suo sito di divulgazione specificamente rivolto ai giornalisti, in cui offre di condividere informazioni su un “canale Telegram PR” prima che vengano pubblicate ufficialmente.
L’adozione della crittografia remota da parte dei gruppi ransomware rappresenta una sfida crescente per la sicurezza informatica. Questa tattica, unita all’interazione strategica con i media, dimostra come i gruppi ransomware stiano diventando sempre più sofisticati e influenti nel panorama delle minacce informatiche.