L’FBI ha messo in guardia contro una nuova tendenza negli attacchi ransomware.
Secondo la nota agenzia americana, infatti, i tempi operativi dei cybercriminali stanno attuando strategie inedite, con un rapido doppio attacco che colpisce la stessa vittima. La tendenza, notata a partire dallo scorso mese di luglio, preoccupa anche per le tempistiche: il doppio ransomware, infatti, andrebbe a colpire la stessa vittima con tempistiche inferiori alle 48 ore tra un attacco e l’altro.
I federali hanno spiegato che gli affiliati RaaS e gli operatori di ransomware sono stati osservati utilizzando due varianti distinte quando prendono di mira le delle vittime. I ransomware coinvolti in questo attacco combinato includono AvosLocker, Diamond, Hive, Karakurt, LockBit, Quantum e Royal. La combinazione di più agenti malevoli consente di effettuare una doppia crittografia, che rende ancora più difficile uscire dalla morsa del ransomware.
Per l’FBI “L’uso di due varianti di ransomware ha comportato una combinazione di crittografia dei dati, esfiltrazione e perdite finanziarie derivanti dal pagamento del riscatto“. Gli esperti hanno poi specificato come “Il secondo attacco ransomware contro un sistema già compromesso potrebbe danneggiare in modo significativo le vittime“.
Doppio attacco e tempi sempre più ristretti: l’evoluzione dei ransomware
Se si paragona il modus operandi attuale dei gruppi ransomware con il passato, si nota una rapidità estrema nelle azioni criminose. Solo fino a poco tempo fa, infatti, l’attacco prevedeva di solito 10 giorni tra infezione e richiesta del riscatto. Al giorno d’oggi, invece i tempi si sono ridotti in modo impressionante.
Il CEO e co-fondatore di Coveware, Bill Siegel, ha anche dichiarato a BleepingComputer che la doppia crittografia esiste da anni, con alcune aziende che si trovano ad affrontare una doppia estorsione poiché l’autore della minaccia non fornisce decrittatori per entrambi gli attacchi ransomware.
“Esistono alcuni gruppi di autori di minacce che utilizzano intenzionalmente due diverse varianti per ogni attacco. Ad esempio, vediamo regolarmente MedusaLocker e Globemposter utilizzati contemporaneamente dallo stesso attore di minacce su una singola vittima” ha affermato Siegel.
Lo stesso ha poi aggiunto come “Situazioni in cui il broker di accesso iniziale vende l’accesso alla rete a due diversi affiliati di ransomware che utilizzano diversi ceppi. Entrambi gli affiliati si trovano quindi nella rete, colpendo macchine vicine l’una all’altra“.