I criteri con cui le cyber gang ransomware prendono di mira le organizzazioni.

Le bande di ransomware acquistano sempre più spesso l’accesso alla rete di una vittima sui mercati del dark web o da altri attori di minacce. L’analisi dei loro annunci consente di dare un’occhiata sui tipi di aziende che le operazioni ransomware prendono di mira nei loro attacchi.

Quando conducono un attacco informatico, i gruppi di ransomware devono prima ottenere l’accesso a una rete aziendale per distribuire il loro ransomware.

Con gli enormi profitti generati dagli attacchi, invece di ricercare l’accesso alle reti, le bande di ransomware acquistano comunemente l’accesso iniziale a obiettivi di alto valore tramite i broker di accesso (IAB).

Il nuovo strumento Chainsaw aiuta i team IR ad analizzare i registri degli eventi di Windows. Gli IAB sono altri Threat Actors (di seguito TA) che violano una rete, tramite bruteforcing delle password, exploit o campagne di phishing e poi vendono tale accesso ai altri criminali informatici, come abbiamo anche visto nel video sul Ransomware sul canale Youtube dedicato alla piramide della RaaS.

La società KELA ha compilato un elenco di criteri che le più grandi operazioni ransomware cercano in un’azienda per i loro attacchi.

KELA ha analizzato 48 post nei forum creati a luglio, dove i TA stanno cercando di acquisire l’accesso alle reti di una organizzazione. I ricercatori affermano che il 40% di questi annunci sono creati da persone che lavorano direttamente con le cyber gang ransomware.

Questi annunci elencano i requisiti che gli attori del ransomware stanno cercando, come il paese in cui si trova un’azienda, in quale settore si trovano e quanto vogliono spendere.

Ad esempio, in un annuncio della banda di ransomware BlackMatter, i TA stavano cercando obiettivi in ​​particolare negli Stati Uniti, in Canada, in Australia e in Gran Bretagna con entrate pari o superiori a $ 100 milioni. Per questo accesso, sono disposti a pagare da $ 3.000 a $ 100.000, come mostrato nell’annuncio di richiesta di seguito.

Analizzando gli annunci di ricerca di accesso su una ventina di post creati dai TA di ransomware, i ricercatori di KELA sono stati in grado di individuare le seguenti caratteristiche dell’azienda presa di mira:

• Geografia: le bande di ransomware preferiscono le vittime che si trovano negli Stati Uniti, in Canada, in Australia e in Europa. “La maggior parte delle richieste ha menzionato la posizione desiderata delle vittime, con gli Stati Uniti come la scelta più popolare – il 47% degli attori l’ha menzionata. Altre località principali includevano il Canada (37%), l’Australia (37%) e i paesi europei (31 %). La maggior parte degli annunci includeva un invito a più paesi”, afferma il rapporto di KELA. “La ragione di questo focus geografico è che gli attori scelgono le aziende più ricche che dovrebbero essere localizzate nei paesi più grandi e più sviluppati”.
• Entrate: KELA afferma che le entrate minime medie desiderate dai gruppi di ransomware sono $ 100 milioni. Tuttavia, questo può essere diverso a seconda della posizione geografica della vittima. “Ad esempio, uno degli attori ha descritto la seguente formula: le entrate dovrebbero essere superiori a 5 milioni di dollari per le vittime degli Stati Uniti, più di 20 milioni di dollari per le vittime europee e oltre 40 milioni di dollari per i paesi del terzo mondo”, ha spiegato KELA.
• Lista nera dei settori: sebbene alcune bande abbiano affermato di evitare l’assistenza sanitaria, sono state meno esigenti riguardo ad altri settori delle aziende che attaccano. Tuttavia, dopo gli attacchi Colonial Pipeline , Metropolitan Police Department e JBS , molte bande di ransomware hanno iniziato a evitare settori specifici. KELA afferma che “Il 47% degli aggressori ransomware ha rifiutato di acquistare l’accesso alle aziende del settore sanitario e dell’istruzione. Il 37% ha proibito di compromettere il settore governativo, mentre il 26% ha affermato che non acquisterà l’accesso relativo alle organizzazioni senza scopo di lucro. Quando i TA vietano la violazione dell’sanitaria o le offerte delle industrie senza scopo di lucro, è più probabile che sia dovuto ad un codice morale. Quando il settore dell’istruzione è fuori discussione, il motivo è lo stesso o il fatto che le vittime dell’istruzione semplicemente non possono permettersi di pagare tanto. Infine, quando si rifiutano di prendere di mira le società governative, è una misura precauzionale e un tentativo di evitare l’attenzione indesiderata delle forze dell’ordine”.
• Lista nera dei paesi: la maggior parte delle grandi operazioni di ransomware evita specificamente di attaccare le società situate nel Commonwealth degli Stati indipendenti (CIS) poiché ritengono che se non prendono di mira quei paesi, le autorità locali non li prenderanno di mira. Questi paesi nella lista nera includono Russia, Ucraina, Moldavia, Bielorussia, Kirghizistan, Kazakistan, Armenia, Tagikistan, Turkmenistan e Uzbekistan.

Sfortunatamente, anche se un’azienda non soddisfa i criteri di cui sopra, ciò non significa che sia sicura. Molti gruppi di ransomware, come Dharma, STOP, Globe e altri, sono meno esigenti e potresti finire per essere preso di mira da un’operazione di ransomware lo stesso.

Inoltre, anche se queste bande preferiscono vittime con queste caratteristiche, ciò non significa necessariamente che non violeranno una rete in modo indipendente.

BleepingComputer ha visto comunemente gang di ransomware, come DarkSide, REvil, BlackMatter e LockBit, prendere di mira le aziende più piccole e richiedere riscatti molto più piccoli.

Fonte

https://www.bleepingcomputer.com/news/security/ransomware-gangs-target-companies-using-these-criteria/

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Pietro Melillo

Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"

Aree di competenza: Cyber Threat Intelligence, Ransomware, Sicurezza nazionale, Formazione