Il ransomware si è affermato come una delle minacce informatiche più pervasive e dannose per le organizzazioni di ogni dimensione e settore.
Nato alla fine degli anni ’80, questo tipo di malware si è evoluto costantemente, passando da semplici richieste di riscatto a sofisticate operazioni che sfruttano tecniche di estorsione a più livelli.
In questo articolo tracciamo l’evoluzione del ransomware, con un focus particolare sulla progressione dalle tattiche di doppia estorsione fino all’emergere degli attacchi di tripla estorsione, analizzando le implicazioni di queste tendenze per le strategie di difesa cibernetica.
I primi ransomware
Le prime manifestazioni di ransomware risalgono al 1989 con l’AIDS Trojan, noto anche come PC Cyborg. Distribuito tramite floppy disk ai partecipanti della conferenza internazionale sull’AIDS dell’Organizzazione Mondiale della Sanità, questo malware rappresentò il primo caso documentato di estorsione informatica.
Tuttavia, a differenza delle moderne forme di ransomware che criptano il contenuto dei file, l’AIDS Trojan si limitava a cifrare i nomi delle directory, rendendo il sistema inutilizzabile fino al pagamento di un riscatto di 189 dollari da inviare a una casella postale a Panama.
Questo attacco, sebbene rudimentale, gettò le basi per future evoluzioni del ransomware. Negli anni successivi, emersero varianti più sofisticate, come GpCode nel 2004, che utilizzava campagne di malspam e richiedeva pagamenti tramite carte regalo come Ukash.
Nonostante questi sviluppi, il ransomware rimase relativamente poco diffuso fino alla metà degli anni 2000, in parte a causa delle difficoltà nella riscossione dei pagamenti.
Ransomware: il punto di svolta
Un punto di svolta significativo si verificò nel 2013 con l’avvento di CryptoLocker. Questo nuovo tipo di ransomware sfruttava una crittografia robusta, basata su chiavi RSA a 2048 bit generate da un server di comando e controllo, rendendo quasi impossibile il recupero dei file senza il pagamento del riscatto, inizialmente fissato intorno ai 300 dollari da pagare in Bitcoin.
L’anonimato offerto dalle criptovalute, con Bitcoin pioniere nel 2009, fornì ai criminali informatici un metodo di pagamento tracciabile e facile da usare, catalizzando la crescita degli attacchi ransomware.
Il successo di CryptoLocker, nonostante la sua disattivazione da parte dell’FBI nel 2014, dimostrò l’enorme potenziale lucrativo del ransomware, innescando un’ondata di nuove famiglie di malware tra il 2014 e il 2017, come CryptoWall, TeslaCrypt e WannaCry.
Questo periodo vide anche l’emergere del modello Ransomware-as-a-Service (RaaS), che permise a individui con competenze tecniche limitate di lanciare attacchi ransomware, contribuendo ulteriormente alla proliferazione della minaccia.
Ransomware: doppia estorsione
Verso la fine del decennio 2010, si assistette a un’evoluzione cruciale nelle tattiche ransomware con l’introduzione della doppia estorsione. Questo approccio, reso popolare dal gruppo Maze alla fine del 2019, non si limitava più alla sola crittografia dei dati della vittima, ma prevedeva anche l’esfiltrazione di informazioni sensibili prima della cifratura.
La motivazione principale dietro questa tattica era di superare la crescente adozione di sistemi di backup da parte delle organizzazioni, che permettevano loro di ripristinare i dati senza dover pagare il riscatto. Con la doppia estorsione, anche le vittime in grado di recuperare i propri dati tramite backup si trovavano sotto pressione a causa della minaccia di divulgazione pubblica o vendita delle informazioni esfiltrate sul dark web.
Le operazioni di doppia estorsione tipicamente iniziano con l’accesso iniziale alla rete della vittima, spesso attraverso tecniche di phishing, sfruttamento di vulnerabilità software o furto di credenziali. Una volta all’interno, gli attaccanti si muovono lateralmente all’interno della rete per identificare e accedere a risorse di alto valore, che vengono poi esfiltrate verso i server controllati dagli aggressori.
Solo dopo aver sottratto i dati sensibili, viene implementato il ransomware per cifrare i file e rendere i sistemi inoperativi. La richiesta di riscatto include quindi una duplice minaccia: il pagamento per ottenere la chiave di decrittazione e la garanzia che i dati rubati non vengano divulgati.
Il successo della doppia estorsione risiede nella maggiore pressione esercitata sulle vittime, che devono ora considerare non solo l’interruzione delle operazioni ma anche i potenziali danni reputazionali, legali e finanziari derivanti dalla compromissione dei dati.
La tripla estorsione
Negli anni successivi, il panorama delle minacce ransomware ha assistito all’emergere di una tattica ancora più aggressiva: la tripla estorsione. Questa evoluzione aggiunge un terzo livello di pressione all’attacco, andando oltre la cifratura dei dati e la loro esfiltrazione.
La tripla estorsione, che ha iniziato a manifestarsi intorno al 2020, include spesso attacchi Distributed Denial-of-Service (DDoS) volti a interrompere ulteriormente le operazioni della vittima, rendendo i suoi servizi online inaccessibili.
Un’altra forma di tripla estorsione consiste nel prendere di mira terze parti collegate alla vittima principale, come clienti, partner o fornitori, con richieste di riscatto separate, sfruttando le interconnessioni degli ecosistemi aziendali moderni.
In alcuni casi, gli attaccanti possono anche contattare direttamente gli individui i cui dati sono stati esfiltrati, minacciandoli di divulgare le loro informazioni personali se l’organizzazione colpita non paga il riscatto. Gruppi ransomware come AvosLocker, BlackCat, Conti, HelloKitty e LockBit sono noti per aver impiegato tattiche di tripla estorsione.
Ransomware: come difendersi
La difesa contro le tattiche di doppia e tripla estorsione richiede un approccio alla sicurezza informatica stratificato e proattivo. Tra le misure preventive fondamentali vi sono:
- sistemi di monitoraggio e risposta H24
- piani di backup e ripristino robusti
- protezione avanzata degli endpoint
- formazione del personale contro il phishing
- aggiornamenti software costanti
- autenticazione MFA/passwordless
- segmentazione della rete
- architettura Zero Trust
- strumenti anti-data exfiltration (ADX).
- protezione DDoS per contrastare la tripla estorsione
In caso di attacco ransomware, è fondamentale disporre di una strategia di risposta agli incidenti ben definita, che includa l’isolamento immediato dei sistemi compromessi, la notifica agli stakeholder interni ed esterni e la considerazione delle implicazioni legali e normative.
Il team di SEDOC può aiutarti a definire insieme una strategia efficace di sicurezza aziendale, implementando soluzioni avanzate di protezione dei dati e prevenzione degli attacchi informatici, sviluppando piani di risposta rapida per minimizzare l’impatto di eventuali incidenti. Con un approccio proattivo e personalizzato, i nostri esperti ti supportano nel rafforzare le difese della tua infrastruttura IT, garantendo la continuità operativa e la salvaguardia delle informazioni sensibili.
Il futuro del ransomware potrebbe riservare ulteriori innovazioni nelle tattiche di attacco, sottolineando la necessità di un impegno continuo nell’aggiornamento e nel miglioramento delle difese cibernetiche.
