.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
I ricercatori della Counter Threat Unit™ (CTU) ricevono frequentemente domande sui gruppi ransomware che rappresentano una minaccia per le organizzazioni in specifici settori o aree geografiche. Queste domande solitamente seguono la pubblicazione di report di terze parti che evidenziano come un determinato gruppo ransomware stia “prendendo di mira” un settore specifico. I ricercatori CTU™ comprendono queste preoccupazioni, ma ritengono che concentrarsi sulla difesa da gruppi specifici non sia il modo migliore per evitare di diventare vittime di ransomware. Poiché la maggior parte degli attacchi ransomware è di natura opportunistica, le organizzazioni dovrebbero invece valutare come prepararsi al meglio a qualsiasi attacco ransomware o di furto di dati, indipendentemente dagli autori.
Il modo in cui gli aggressori scelgono le vittime e distribuiscono il ransomware dipende dalle loro motivazioni. I cybercriminali vogliono fare soldi, quindi tutte le organizzazioni sono potenziali vittime di questi gruppi. Al contrario, gli aggressori sponsorizzati dagli Stati utilizzano il ransomware per scopi distruttivi, per mascherare attività di spionaggio, per generare entrate o per ottenere una combinazione di questi risultati. Ciascuno di questi gruppi presenta quindi un profilo di minaccia distinto e le organizzazioni a rischio possono variare in modo significativo.
Cybercrime
Gli attacchi a scopo finanziario sono di gran lunga le operazioni ransomware più diffuse. Poiché i cybercriminali colpiscono qualsiasi organizzazione a cui riescano ad accedere, realtà di tutti i settori e di tutte le aree geografiche sono a rischio.
Sebbene alcuni gruppi possano scegliere di sfruttare accessi disponibili presso aziende con ricavi più elevati, nella convinzione di ottenere riscatti maggiori, i dati di telemetria dei clienti Sophos mostrano che la maggior parte dei tentativi di distribuzione di ransomware avviene presso piccole organizzazioni. Queste realtà sono probabilmente più vulnerabili alle compromissioni a causa di budget limitati per la cybersecurity e della mancanza di risorse dedicate interne.
Accesso opportunistico a fini di profitto
Le operazioni ransomware a scopo finanziario sono quasi interamente opportunistiche e basate sugli accessi disponibili. Tali accessi possono essere ottenuti tramite malware diffuso con campagne di phishing, credenziali sottratte da infostealer o lo sfruttamento di vulnerabilità nei servizi esposti su Internet. Qualunque sia il metodo, l’approccio è casuale e non mirato. Per questo motivo, i ricercatori CTU evitano di usare il termine “targeting” (presa di mira) quando parlano di attacchi, preferendo il termine “vittimizzazione” per descrivere il processo di selezione delle vittime.
Qualsiasi attività di triage probabilmente comporta una valutazione di quali potenziali vittime non colpire, piuttosto che di quali attaccare. Ad esempio, la maggior parte dei gruppi ransomware russi ed est-europei evita deliberatamente di compromettere organizzazioni in Russia o in altri Paesi membri della Comunità degli Stati Indipendenti (CIS), e sempre più spesso anche nei Paesi del blocco economico BRICS, per evitare l’attenzione delle forze dell’ordine russe o allineate alla Russia. Alcuni gruppi cercano inoltre di evitare attacchi contro organizzazioni del settore sanitario o delle infrastrutture critiche, probabilmente per scongiurare pressioni internazionali sulle autorità locali affinché intervengano, anche se spesso giustificano queste scelte con presunte motivazioni etiche o morali, esagerate e infondate.
Il settore bancario è un buon esempio della natura opportunistica degli attacchi ransomware cybercriminali. Le banche sono organizzazioni ad alto fatturato e un’interruzione delle loro attività causata da ransomware costituirebbe un forte incentivo al pagamento di un riscatto. In teoria, questi fattori le renderebbero obiettivi ideali. Tuttavia, i ricercatori CTU osservano pochissimi attacchi ransomware contro le banche. Ciò è probabilmente dovuto al fatto che si tratta di un settore fortemente regolamentato, con standard di cybersecurity obbligatori che eliminano svantaggi competitivi. Di conseguenza, vengono effettuati investimenti, vengono definiti framework di controllo, i perimetri sono ben protetti e le reti sono progettate per limitare le possibilità di compromissione. Le organizzazioni che operano in settori non regolamentati sono più esposte agli attacchi opportunistici, poiché l’adozione di solide pratiche di cybersecurity non è incentivata allo stesso modo. Ad esempio, il rafforzamento delle misure di sicurezza nel settore manifatturiero aumenta i costi aziendali e rende i prodotti dei concorrenti relativamente più economici.
Leggi tutto l’articolo: https://www.sophos.com/en-us/blog/eeny-meeny-miny-moe-how-ransomware-operators-choose-victims