Header Navigation - IT
Background image for Che cos'è il ransomware a doppia estorsione?
Cybersecurity 101/Informazioni sulle minacce/Doppia estorsione

Che cos'è il ransomware a doppia estorsione?

Le tattiche di doppia estorsione aumentano la pressione sulle vittime. Scopri come funziona questo metodo e quali sono le strategie per mitigarne l'impatto.

Autore: SentinelOne

La doppia estorsione è una tattica utilizzata dagli autori degli attacchi ransomware che non solo crittografano i dati, ma minacciano anche di divulgarli. Questa guida illustra il funzionamento della doppia estorsione, le sue implicazioni per le vittime e le strategie di prevenzione.

Scopri l'importanza dei backup dei dati e della pianificazione della risposta agli incidenti. Comprendere la doppia estorsione è fondamentale per le organizzazioni che desiderano proteggere le proprie informazioni sensibili.

La doppia estorsione sottolinea la crescente sofisticazione delle minacce informatiche, evidenziando la necessità di un approccio olistico alla sicurezza informatica che comprenda difese robuste contro il ransomware, una vigilanza costante protezione dei dati, e strategie di risposta agli incidenti.

Breve panoramica sulla doppia estorsione

La doppia estorsione è una sofisticata tattica di minaccia informatica che negli ultimi anni ha ridefinito il panorama degli attacchi ransomware. Questa strategia dannosa prevede che i criminali informatici non solo crittografino i dati della vittima, ma rubino anche informazioni sensibili prima della crittografia, tenendole di fatto in ostaggio. Se la vittima si rifiuta di pagare il riscatto per decriptare i propri dati, gli aggressori minacciano di rendere pubbliche o vendere le informazioni rubate, amplificando la posta in gioco e le conseguenze dell'attacco.

La doppia estorsione è emersa per la prima volta come tendenza evidente nel panorama del ransomware intorno al 2019, con la comparsa di ceppi notevoli come Maze e REvil. Questi gruppi di criminali informatici hanno riconosciuto l'immenso valore dei dati che stavano compromettendo e hanno iniziato a richiedere riscatti aggiuntivi, solitamente in criptovaluta, minacciando di divulgare tali dati. Questo approccio innovativo ha aumentato in modo significativo la pressione finanziaria sulle vittime e ha reso più probabile che queste ultime accettassero le richieste di estorsione.

Oggi, gli attacchi di doppia estorsione sono diventati allarmanti. I criminali informatici li utilizzano per colpire un'ampia gamma di organizzazioni, dalle piccole imprese alle grandi aziende e persino alle istituzioni governative. I dati rubati includono spesso informazioni sensibili sui clienti, proprietà intellettuale esclusiva e documenti interni riservati, rendendo ancora più gravi le potenziali conseguenze della loro divulgazione.

Per difendersi dagli attacchi di doppia estorsione, le organizzazioni devono adottare una strategia di sicurezza informatica completa che includa un solido sistema di rilevamento e prevenzione delle minacce, backup regolari dei dati, formazione dei dipendenti sulla sul riconoscimento dei tentativi di phishing e un piano di risposta agli incidenti (IRP) ben definito.

Comprendere come funziona la doppia estorsione

La doppia estorsione è una tecnica di attacco informatico complessa e insidiosa che combina il furto di dati con le tradizionali tattiche di ransomware. Da un punto di vista tecnico, il processo prevede diverse fasi distinte:

Accesso iniziale e ricognizione

Gli aggressori utilizzano vari metodi come e-mail di phishing, sfruttamento delle vulnerabilità del software o furto di credenziali per ottenere l'accesso iniziale alla rete della vittima. Una volta entrati, conducono una ricognizione per identificare obiettivi di alto valore e individuare archivi di dati sensibili.

Tecniche di esfiltrazione dei dati

Gli aggressori utilizzano tecniche avanzate, come l'iniezione SQL, l'inclusione di file remoti o l'abuso di strumenti legittimi, per esfiltrare dati sensibili dalla rete della vittima. Possono ricorrere alla compressione, alla crittografia o all'offuscamento dei dati per eludere il rilevamento.

Classificazione ed estrazione dei dati

Utilizzando script automatizzati o processi manuali, gli aggressori classificano ed estraggono le informazioni sensibili. Questi dati possono includere informazioni di identificazione personale (PII), documenti finanziari, proprietà intellettuale o documenti riservati. Gli aggressori possono utilizzare tecniche di analisi e indicizzazione dei dati per individuare in modo efficiente i dati di valore.

Staging dei dati e occultamento

I dati sottratti vengono conservati in aree nascoste o meno monitorate della rete per evitare di essere individuati. Gli aggressori possono utilizzare la crittografia o la steganografia per nascondere la presenza dei dati rubati e mantenere un basso profilo.

Crittografia dei dati con algoritmi robusti

Dopo l'esfiltrazione, gli aggressori avviano la componente ransomware. Utilizzano algoritmi di crittografia robusti, come AES-256, per crittografare file e sistemi critici all'interno della rete della vittima. Questa crittografia è tipicamente asimmetrica, con una chiave pubblica per la crittografia e una chiave privata detenuta dall'aggressore per la decrittografia.

Richiesta di riscatto e criptovaluta

Gli aggressori inviano una richiesta di riscatto, spesso sotto forma di file di testo o immagine, ai sistemi della vittima. Questa richiesta contiene dettagli sulla richiesta di riscatto, le istruzioni di pagamento e una scadenza. Gli aggressori richiedono comunemente il pagamento in criptovalute come Bitcoin o Monero per mantenere l'anonimato.

Notifica di doppia estorsione

In un attacco di doppia estorsione, oltre alla tradizionale richiesta di riscatto, gli aggressori informano la vittima di aver sottratto dati sensibili. Questa notifica sottolinea le conseguenze della mancata ottemperanza. Gli aggressori possono fornire prove del furto di dati, come elenchi di file o frammenti, per convalidare le loro affermazioni.

Minacce di divulgazione dei dati

Gli aggressori minacciano di rendere pubblici i dati rubati su Internet o forum clandestini se il riscatto non viene pagato entro il termine specificato. Questa minaccia aggiunge una pressione significativa sulla vittima affinché soddisfi le richieste di riscatto, poiché l'esposizione dei dati può portare a conseguenze legali, sanzioni normative e danni alla reputazione.

Verifica del pagamento e comunicazione

Per facilitare il monitoraggio del pagamento e la decrittografia, gli aggressori forniscono alla vittima un indirizzo Bitcoin unico a cui inviare il riscatto. Dopo aver ricevuto il pagamento, lo verificano sulla blockchain e comunicano con la vittima attraverso canali crittografati.

Consegna della chiave di decrittazione

Una volta verificato il pagamento, gli aggressori consegnano alla vittima la chiave di decrittazione. Questa chiave è necessaria per decrittografare i file e i sistemi che sono stati crittografati durante la fase di ransomware. Gli aggressori possono fornire strumenti di decrittazione o istruzioni su come utilizzare la chiave.

Pulizia post-attacco

Dopo aver ricevuto il riscatto, gli aggressori potrebbero rimuovere la loro presenza dalla rete della vittima, eliminando eventuali strumenti, backdoor o tracce dell'attacco. Tuttavia, non vi è alcuna garanzia che non tornino per ulteriori estorsioni o attacchi.

Risposta e mitigazione

Le organizzazioni che subiscono un attacco di doppia estorsione devono prendere decisioni critiche riguardo alla scelta di pagare il riscatto o cercare alternative. Devono inoltre segnalare l'incidente alle forze dell'ordine e avviare procedure di risposta agli incidenti, tra cui il ripristino del sistema e il rafforzamento delle misure di sicurezza per prevenire attacchi futuri.

Migliorare l'intelligence sulle minacce

Scoprite come il servizio di caccia alle minacce WatchTower di SentinelOne può far emergere maggiori informazioni e aiutarvi a superare gli attacchi.

Per saperne di più

Esplorazione dei casi d'uso della doppia estorsione

Gli attacchi di doppia estorsione sono diventati una minaccia inquietante nel panorama della sicurezza informatica, spingendo le aziende a rafforzare le loro difese per mitigare i rischi associati a questa tattica insidiosa. Ecco alcuni casi d'uso reali di doppia estorsione, il loro significato e le misure che le aziende stanno adottando per proteggersi da questi rischi:

L'attacco ransomware Maze

Gli operatori del ransomware Maze sono stati i pionieri della tecnica della doppia estorsione. Hanno preso di mira le aziende, crittografato i loro dati e poi minacciato di pubblicare online informazioni sensibili se non fosse stato pagato un riscatto.

  • Significato — Questo attacco ha attirato molta attenzione e ha portato alla ribalta la doppia estorsione, evidenziando le potenziali conseguenze della mancata conformità.
  • Misure di sicurezza — Da allora le aziende hanno aumentato la loro attenzione alla sicurezza informatica, adottando strategie di backup complete, monitorando le fughe di dati e migliorando le capacità di risposta agli incidenti per contrastare minacce simili a Maze.

Il gruppo REvil Ransomware

REvil è noto per le sue aggressive tattiche di doppia estorsione. In un caso, ha attaccato un importante studio legale, rubando dati sensibili dei clienti e minacciando di renderli pubblici.

  • Significato — Questo attacco ha dimostrato che anche settori che non sono tipicamente associati ad alti rischi di sicurezza informatica, come i servizi legali, sono vulnerabili alla doppia estorsione. Ha sottolineato la necessità di misure di sicurezza informatica complete in tutti i settori.
  • Misure di sicurezza — Gli studi legali e le aziende simili stanno investendo sempre più nella formazione dei dipendenti in materia di sicurezza informatica, adottando l'autenticazione a più fattori (MFA) e migliorando sicurezza degli endpoint per proteggersi dagli attacchi in stile REvil.

La campagna ransomware Ragnar Locker

Ragnar Locker ha preso di mira grandi organizzazioni, in particolare nel settore sanitario. Ha crittografato i file e rubato i dati dei pazienti, chiedendo un riscatto ingente.

  • Significato — Il settore sanitario era già sotto pressione a causa della pandemia di COVID-19 e questi attacchi hanno ulteriormente messo a dura prova le risorse, sollevando preoccupazioni sulla privacy dei pazienti e sulla sicurezza delle infrastrutture sanitarie critiche.
  • Misure di sicurezza — Le organizzazioni sanitarie hanno rafforzato la loro posizione in materia di sicurezza informatica migliorando la segmentazione della rete, implementando robusti controlli di accesso e conducendo regolari valutazioni della sicurezza informatica per contrastare i tentativi di doppia estorsione.

L'attacco DarkTequila

DarkTequila era un trojan bancario che si è evoluto fino a includere componenti di ransomware e furto di dati. Gli aggressori hanno preso di mira istituzioni finanziarie e reti aziendali, crittografando i file ed esfiltrando dati sensibili.

  • Significato — Questo attacco ha dimostrato l'adattabilità dei criminali informatici che evolvono le loro tattiche nel tempo. Gli istituti finanziari, in particolare, hanno dovuto affrontare la crescente minaccia della doppia estorsione.
  • Misure di sicurezza — Gli istituti finanziari stanno implementando piattaforme di condivisione delle informazioni sulle minacce (threat intelligence), migliorando i programmi di formazione dei dipendenti e conducendo esercitazioni teoriche per prepararsi a potenziali attacchi di doppia estorsione.

Gruppo Cl0p Ransomware

Il gruppo Cl0p ha preso di mira varie organizzazioni, tra cui alcune università. Ha crittografato i file e minacciato di divulgare online dati sensibili relativi alla ricerca accademica.

  • Significato — Gli attacchi alle istituzioni educative evidenziano l'ampia portata degli obiettivi della doppia estorsione. In questo caso, la potenziale perdita di preziosi dati di ricerca era una preoccupazione significativa.
  • Misure di sicurezza — Le università e gli istituti di ricerca stanno rafforzando le loro difese di sicurezza informatica con un filtraggio avanzato delle e-mail, la crittografia dei dati e la pianificazione della risposta agli incidenti per salvaguardare la loro proprietà intellettuale da attacchi simili a quelli di Cl0p.

Per proteggersi dai rischi di doppia estorsione, le aziende stanno adottando diverse misure proattive:

  • Strategie di backup complete — È fondamentale eseguire backup regolari dei dati isolati dalla rete. Garantiscono alle organizzazioni la possibilità di recuperare i propri dati senza pagare un riscatto.
  • Formazione dei dipendenti — La formazione sulla consapevolezza della sicurezza informatica aiuta i dipendenti a riconoscere i tentativi di phishing e altre tattiche di ingegneria sociale utilizzate negli attacchi di doppia estorsione.
  • Sicurezza degli endpoint — Robuste soluzioni di sicurezza degli endpoint sono essenziali per rilevare e prevenire le infezioni da malware.
  • Controlli di accesso — L'implementazione del principio del privilegio minimo (PoLP) garantisce che gli utenti dispongano del livello minimo di accesso richiesto per i loro ruoli.
  • Piani di risposta agli incidenti — Disporre di piani di risposta agli incidenti ben definiti consente alle aziende di rispondere in modo efficace agli attacchi di doppia estorsione, riducendone al minimo l'impatto.
  • Condivisione delle informazioni sulle minacce — La collaborazione con i colleghi del settore e la condivisione delle informazioni sulle minacce possono aiutare le aziende a rimanere informate sulle minacce emergenti e sulle tecniche di attacco.

Conclusione

Gli attacchi di doppia estorsione, in cui i criminali informatici non solo crittografano i dati, ma minacciano anche di divulgare informazioni sensibili a meno che non venga pagato un riscatto, hanno aumentato la posta in gioco nell'attuale panorama delle minacce. Questi attacchi sfruttano i timori delle organizzazioni riguardo alle violazioni dei dati e al danno alla reputazione, costringendo molte di esse a pagare il riscatto anche quando dispongono di backup.

I casi reali di doppia estorsione sottolineano l'importanza fondamentale della sicurezza informatica per le aziende di tutti i settori. Poiché gli aggressori affinano continuamente le loro tattiche, le organizzazioni devono rimanere vigili, adattare le loro misure di sicurezza e adottare un approccio proattivo per proteggere i propri dati, la propria reputazione e i propri profitti.

Domande frequenti sulla doppia estorsione

Il ransomware a doppia estorsione è quando gli aggressori crittografano i tuoi dati e ne rubano delle copie prima della crittografia. Minacceranno di rendere pubbliche le tue informazioni sensibili se non paghi il riscatto. Questo dà loro un ulteriore vantaggio perché, anche se disponi di backup per ripristinare i file crittografati, possono comunque divulgare i tuoi dati rubati. È molto più pericoloso dei tradizionali attacchi ransomware.

In primo luogo, gli aggressori ottengono l'accesso alla tua rete tramite e-mail di phishing o vulnerabilità. Trascorreranno del tempo navigando nei tuoi sistemi alla ricerca di dati preziosi. Prima di crittografare qualsiasi cosa, esfiltrano i file sensibili sui propri server.

Quindi distribuiscono il ransomware per crittografare i file e lasciano una richiesta di riscatto. Se non si paga, pubblicano i dati rubati sul dark web.

L'attacco segue sette fasi principali. La prima fase consiste nell'identificazione della vittima e nella ricognizione. La seconda fase consiste nell'ottenere l'accesso alla tua infrastruttura tramite RDP o phishing. La fase tre prevede l'installazione di strumenti di accesso remoto come CobaltStrike.

La fase quattro consiste nella scansione della rete per mappare i sistemi. La fase cinque è il movimento laterale attraverso la rete. La fase sei è l'esfiltrazione dei dati e la fase sette è la crittografia e la richiesta di riscatto.

No, i backup da soli non possono difendere dagli attacchi di doppia estorsione. Sebbene i backup aiutino a ripristinare i file crittografati, non proteggono dal furto di dati. Gli aggressori si sono adattati per contrastare le strategie di backup rubando prima i dati.

anche se si ripristinano i backup, possono comunque divulgare pubblicamente le informazioni sensibili. per prevenire questi attacchi è necessario disporre di più livelli protezione oltre ai semplici backup.

È necessario un approccio di sicurezza multilivello. Utilizzare firewall, sicurezza e-mail e strumenti di rilevamento degli endpoint per bloccare l'accesso iniziale. Implementare la segmentazione della rete per limitare i movimenti degli aggressori. Implementare strumenti anti-esfiltrazione dei dati che monitorano il traffico in uscita. Formate i dipendenti per identificare i tentativi di phishing.

Utilizzate l'autenticazione a più fattori e i controlli di accesso. Anche regolari audit di sicurezza e valutazioni delle vulnerabilità sono fondamentali. Monitorate continuamente il traffico di rete per individuare attività sospette.

I settori sanitario, manifatturiero e dei servizi finanziari sono gli obiettivi principali. Gli aggressori prendono di mira organizzazioni che dispongono di dati preziosi, come gli ospedali, perché hanno una bassa tolleranza ai tempi di inattività. Rubano informazioni di identificazione personale, cartelle cliniche, numeri di previdenza sociale e dati finanziari.

Anche i database dei clienti, il codice sorgente proprietario e le comunicazioni interne sono presi di mira. Gli aggressori preferiscono le organizzazioni che possono permettersi di pagare ingenti riscatti.

Utilizzate la crittografia dei dati per proteggere le informazioni sensibili anche in caso di furto. Implementate strumenti di prevenzione della perdita di dati per rilevare trasferimenti non autorizzati. Implementate soluzioni di rilevamento e risposta degli endpoint. Create piani di risposta agli incidenti per un rapido contenimento. Utilizzate la segmentazione della rete per limitare i danni.

È essenziale eseguire regolarmente test di backup e archiviare i dati in modo sicuro fuori sede. Monitorare continuamente gli indicatori di compromissione. Non pagare i riscatti: non c'è alcuna garanzia che gli aggressori manterranno la parola data

Scopri di più su Informazioni sulle minacce

Che cos'è l'ingegneria del rilevamento?Informazioni sulle minacce

Che cos'è l'ingegneria del rilevamento?

Questa guida spiega l'ingegneria di rilevamento, coprendone la definizione, lo scopo, i componenti chiave, le best practice, la rilevanza del cloud e il ruolo nel migliorare la visibilità e la protezione delle minacce in tempo reale.

Per saperne di più
Che cos'è un honeypot? Definizione, tipi e utilizziInformazioni sulle minacce

Che cos'è un honeypot? Definizione, tipi e utilizzi

Scopri cos'è un honeypot in questa guida completa. Impara a conoscerne i tipi, i vantaggi e le tecniche di implementazione. Esplora esempi reali, sfide e suggerimenti per la sicurezza degli honeypot per le aziende.

Per saperne di più
Analisi del modello Cyber Kill Chain e come funziona?Informazioni sulle minacce

Analisi del modello Cyber Kill Chain e come funziona?

Comprendere i diversi processi della catena di uccisione informatica. Scoprire cos'è una catena di uccisione informatica, come funziona e come si confronta con il framework MITRE ATT&CK.

Per saperne di più
Cosa sono gli attacchi zero-day?Informazioni sulle minacce

Cosa sono gli attacchi zero-day?

Gli attacchi zero-day sfruttano vulnerabilità sconosciute del software prima del rilascio delle patch. Scopri i vettori di attacco, le tecniche di risposta e le tecniche di difesa per proteggere la tua organizzazione da questi attacchi informatici silenziosi ma distruttivi.

Per saperne di più
Siete pronti a rivoluzionare le vostre operazioni di sicurezza?

Siete pronti a rivoluzionare le vostre operazioni di sicurezza?

Scoprite come SentinelOne AI SIEM può trasformare il vostro SOC in una centrale elettrica autonoma. Contattateci oggi stesso per una demo personalizzata e per vedere il futuro della sicurezza in azione.

Richiedi una demo