I comuni attacchi ransomware che prevedono l’utilizzo di malware per criptare i dati e richiedere un riscatto, sono stati sostituiti negli ultimi due anni da attacchi più mirati contro aziende e settori specifici. Gli attaccanti non solo minacciano di criptare i dati ma pubblicano online le informazioni riservate.
I ricercatori di Kaspersky hanno osservato questo trend nella recente analisi su Ragnar Locker ed Egregor, due importanti famiglie di ransomware.
«In generale, gli attacchi ransomware sono considerati una delle minacce più gravi per le imprese. Non solo possono interrompere le operazioni aziendali critiche, ma possono anche causare ingenti perdite finanziarie. In alcuni casi, le multe e le cause legali sostenute in seguito alla violazione di leggi e regolamenti possono persino portare un’azienda al fallimento. Ad esempio, si stima che gli attacchi di WannaCry abbiano causato più di 4 miliardi di dollari di perdite finanziarie. Tuttavia, le nuove campagne ransomware stanno modificando il loro modus operandi, minacciando di rendere pubbliche le informazioni aziendali rubate.
Ragnar Locker e Egregor sono due note famiglie di ransomware che impiegano questo nuovo metodo di estorsione.
Ragnar Locker è stato scoperto per la prima volta nel 2019, ma è diventato noto solo nella prima metà del 2020, quando ha rivolto la propria attenzione a grandi organizzazioni. Gli attacchi sono estremamente mirati con ogni campione specificatamente adattato alla vittima designata. I dati riservati di chi si rifiuta di pagare il riscatto, così come le conversazioni intercorse con gli attaccanti, vengono pubblicati nella sezione “Wall of Shame” del loro sito dedicato informazioni rubate. I principali obiettivi di Ragnar Locker sono aziende situate negli Stati Uniti che operano in diversi settori industriali. Lo scorso luglio, Ragnar Locker ha dichiarato di aver aderito al cartello del ransomware Maze, una delle più note famiglie ransomware del 2020, e questo sta a indicare che i due collaboreranno e si scambieranno le informazioni rubate.
Egregor, osservato per la prima volta a settembre, è un ransomware più recente rispetto a Ragnar Locke. Utilizza però molte tattiche simili a quelle usate da Maze oltre a presentare delle somiglianze nel codice. Il malware viene in genere rilasciato violando la rete e, una volta che i dati dell’obiettivo sono stati esfiltrati, concede alla vittima 72 ore di tempo per pagare il riscatto prima che le informazioni rubate diventino di dominio pubblico. Nel caso in cui le vittime si rifiutassero di pagare il riscatto, i loro nomi e i collegamenti per scaricare i dati aziendali riservati verrebbero pubblicati sul sito preposto alla fuga di notizie creato dagli attaccanti.
La superficie d’attacco di Egregor è molto più estesa di quello di Ragnar Locker. Sono state registrate vittime in Nord America, Europa e in alcune zone della regione APAC (Asia Pacific)».