Attacchi di phishing con richiesta di riscatto

Il ransomware non è l’unica minaccia informatica di cui le aziende dovrebbero preoccuparsi. Gli attacchi con annessa richiesta di riscatto sono stati gli indiscussi protagonisti delle cronache informatiche almeno negli ultimi due anni e mezzo, e secondo diversi report di società di cybersicurezza questa minaccia sta ancora crescendo in volumi e pericolosità. Un punto di vista diverso è quello di Kroll, che nel proprio “Threat Lansdcape Report” evidenzia invece un calo.

I ransomware rappresentavano nel trimestre di luglio-settembre 2021 il 46% degli incidenti informatici osservati nelle aziende. Nel trimestre finale dell’anno erano scesi al 40%, per poi diventare il 32% degli attacchi osservati nel periodo di gennaio-marzo 2022. Il calo è dovuto almeno in parte all’opera delle forze dell’ordine, che hanno smantellato di alcuni gruppi cybercriminali autori di ransomware di alto profilo come REvil, mentre il collettivo di BlackMatter ha scelto volontariamente di sciogliersi per evitare problemi con la giustizia.

Se il calo dei ransomware sembrerebbe una buona notizia, a fine marzo si è però visto un nuovo picco di attacchi ransomware, segno probabilmente del fatto che dalle ceneri dei gruppi cybercriminali smantellati ne sono nati rapidamente di nuovi (peraltro dobbiamo notare che diversi report recenti di altre società di cybersicurezza segnalano, invece, un chiaro aumento di queste minacce su base annua). Inoltre la curva discendente dei ransomware è bilanciata dalla parallela crescita degli attacchi di email compromise a fini di estorsione, che sono passati dal 27% del quarto trimestre 2021 al 32% dei tre mesi successivi.

Guardando alle modalità di accesso iniziale alle reti delle aziende target, a gennaio-marzo 2022 si nota l’ascesa del phishing (+54% rispetto al trimestre precedente), che ha superato altri metodi popolari come l’exploit di applicazioni Web contenenti vulnerabilità (Log4J e SpringShell gli esempi recenti più noti), che nel trimestre è solo il 9%. In questo periodo è stato comunque notato un utilizzo continuativo di vulnerabilità individuate relativamente di recente.

(Infografica: "Kroll Threat Landscape Report – Q1 2022")

“Mentre il 2021 sarà ricordato come l'anno in cui sono state individuate alcune vulnerabilità, il 2022, in particolare il primo trimestre, sarà l'anno in cui i gruppi criminali, come le bande dedicate ad attacchi ransomware, hanno sfruttato tali vulnerabilità per lanciare attacchi più distruttivi”, ha commentato Laurie Iacono, associate managing director cyber risk di Kroll. “Ad esempio, mentre nel quarto trimestre del 2021 la maggior parte delle attività legate allo sfruttamento delle vulnerabilità di Log4j ruotava attorno ai cryptominer, i membri di diversi gruppi di ransomware hanno sfruttato queste vulnerabilità per preparare le basi per le attività di network encryption avvenute nel primo trimestre del 2022".

A inizio 2022, come già nel trimestre finale del 2021, il settore dei servizi professionali è quello più colpito, attraendo il 16% del numero totale degli attacchi. Seguono la manifattura (12%, in crescita), l’ambito dell’informatica e telecomunicazioni (11%) e i servizi finanziari si (9%).

“Il Consiglio d’Europa ha dichiarato che la stima delle perdite economiche derivate da episodi di criminalità informatica ha superato i 5,2 trilioni di euro nel 2021, più della somma del valore dei PIL di Francia, Italia e Spagna nel 2020”, ha ricordato Mario Ciccarelli, vice presidente cyber risk di Kroll. “Non sorprende quindi che la cybersecurity sia una priorità per l’Unione Europea. Uno strumento fondamentale per aumentare la resilienza agli attacchi informatici sono gli utenti a cui si rivolgono i cyber criminali. Se riuscissimo a formare i cittadini in modo da renderli meno esposti agli attacchi, ridurremmo l’ammontare di potenziali danni e perdite. Data la crescita sostenuta degli episodi di phishing e di compromissione via e-mail, questo impegno diventa adesso più importante che mai".

Un caso reale di phishing
Il report di Kroll contiene anche la descrizione di alcuni casi reali di attacco informatico. Per esempio quella di un’azienda per cui tutto è partito da un messaggio di phishing inviato sulla casella di posta un dipendenti del reparto IT. Costui ha abboccato all’inganno e ha inserito le proprie credenziali di accesso da amministratore. Una volta ottenute queste informazioni, gli autori dell’attacco hanno potuto accedere al sistema IT dell’azienda, acquisire il controllo di diversi account di posta (sia del personale IT, sia di manager C-level) e ottenere dati sensibili.

Dunque è stata inviata una richiesta di riscatto, in cui si chiedeva imponeva un pagamento per porre fine all'attacco, e contemporaneamente i dipendenti dell’azienda sono stati bersagliati con Sms, email e persino messaggi ai loro profili social, in cui veniva ulteriormente chiesto di pagare. Il caso dimostra come le tecniche di estorsione vengano utilizzate anche negli attacchi che non coinvolgono ransomware né la crittografia dei dati.