Immagine

Ryuk ha dominato il panorama degli attacchi Ransomware per il quarto trimestre consecutivo, secondo uno studio effettuato dai ricercatori di Cisco Talos che ha preso in considerazione e analizzato un vasto campione di Incident Response.

I suoi operatori stanno cambiando strategia, aumentando notevolmente il rischio per le organizzazioni, i cui sforzi di risposta sono anche ostacolati dal COVID-19.

Lo studio, infatti, ha rivelato come gli operatori di Ryuk stiano cambiando le loro tecniche e utilizzando nuovi mezzi per fare colpire i loro bersagli.

Come Ryuk ha manenuto il “primato”
Negli ultimi trimestri, Ryuk si è evoluto in modo tale da far inequivocabilmente pensare che i Criminal Hacker stiano modificando la loro tattica.

È stata infatti osservata una tendenza emergente in Ryuk, dove l’infezione non è necessariamente preceduta dal classico Trojan, permettendo così al Ransomware di passare inosservato per un certo tempo.

Fino a poco tempo fa, Emotet e TrickBot venivano utilizzato come dropper iniziali per Ryuk, ma ora sembra proprio che questa tattica sia stata abbandonata. Gli operatori di questo Ransomware sono passati a strumenti più raffinati, che possono aiutarli a bypassare gli strumenti di sicurezza, a rimanere silenziosi e a concedere loro un lasso di tempo più lungo per raggiungere i loro obiettivi.

Ma il Ransomware si è evoluto anche in altri modi: Ryuk ha cominciato ad appoggiarsi e a utilizzare dei comandi codificati di PowerShell per scaricare il suo payload, disattivare gli antivirus e gli strumenti di sicurezza, interrompere i backup e scansionare la rete per fornire un elenco di host online e offline.

Come se non bastasse, i Criminal Hacker dietro questi attacchi hanno iniziato a estrarre dati sensibili da utilizzare come leva per costringere le vittime a pagare il riscatto, continuando una tendenza iniziata nel 2019.

Come Ryuk colpisce
Il phishing è rimasto il principale vettore di attacco, laddove è stato possibile identificare il punto di ingresso iniziale, spiegano i ricercatori, notando che ciò è stato difficile a causa delle carenze di record affidabili.

Ciononostante, sono stati anche registrati diversi casi in cui gli aggressori hanno forzato i servizi di RDP di un bersaglio.

È difficile dire cosa abbia contribuito a questo cambiamento; tuttavia, è facile ipotizzare come, in parte, sia dovuto all’aumento dei lavoratori a distanza causati dal COVID-19, che ha ampliato la superficie d’attacco.

C’è stato anche un aumento degli attacchi ransomware di Phobos, che tipicamente fanno leva su connessioni RDS compromesse come vettore iniziale, ma nonostante questi indicatori, il phishing rimane ancora il principale vettore di infezione.

Uno degli impatti principali del periodo Pandemia per le organizzazioni, soprattutto quelle del settore sanitario, rimane quello legato alla loro capacità di rispondere agli attacchi.

Le politiche di Incident Response Pre-COVID-19 non hanno certo tenuto conto di una pandemia contemporaneamente a un Cyber attack!

Fattori come le limitazioni della larghezza di banda e le persone incaricate di rispondere sono rari, ma hanno influenzato la capacità delle organizzazioni di gestire questo tipo di attacchi, motivo per cui hanno continuato a fiorire.

Statistiche: Inviato da openresource — gio giu 18, 2020 6:08 am


Categories:

Tags:

Comments are closed

Show Buttons
Hide Buttons
%d blogger hanno fatto clic su Mi Piace per questo: