Perché gli hacker ransomware amano un fine settimana festivo

il venerdì dirigendosi verso il weekend del Memorial Day quest’anno, è stato il gigante della lavorazione della carne JBS. Il venerdì prima del quattro luglio, era la società di software di gestione IT Kaseya e, per estensione, oltre un migliaio di aziende di varie dimensioni. Resta da vedere se anche il Labor Day vedrà un crollo di ransomware di alto profilo, ma una cosa è chiara: gli hacker amano le vacanze.

In realtà, anche gli hacker di ransomware adorano i fine settimana regolari. Ma lungo? Quando tutti sono fuori a far baldoria con la famiglia e gli amici e ad evitare diligentemente qualsiasi cosa relativa all’ufficio a distanza? Questa è la roba buona. E sebbene la tendenza non sia nuova, un avvertimento congiunto emesso questa settimana dall’FBI e dalla Cybersecurity and Infrastructure Security Agency sottolinea quanto sia diventata seria la minaccia.

L’appello agli aggressori è piuttosto semplice. Il ransomware può richiedere tempo per propagarsi in una rete, poiché gli hacker lavorano per aumentare i privilegi per il massimo controllo sulla maggior parte dei sistemi. Più tempo impiegano per accorgersene, più danni possono fare. “In generale, gli attori delle minacce distribuiscono il loro ransomware quando c’è meno probabilità che le persone siano in giro per iniziare a staccare le spine”, afferma Brett Callow, analista delle minacce presso la società di antivirus Emsisoft. “Meno possibilità che l’attacco venga rilevato e interrotto.”

Anche se viene catturato relativamente presto, molte delle persone incaricate di gestirlo sono potenzialmente a bordo piscina, o per lo meno più difficili da raggiungere rispetto a un normale martedì pomeriggio. “Intuitivamente, ha senso che i difensori possano essere meno attenti durante le vacanze, in gran parte a causa della diminuzione del personale”, afferma Katie Nickels, direttore dell’intelligence presso la società di sicurezza Red Canary. “Se si verifica un incidente grave durante una vacanza, potrebbe essere più difficile per i difensori portare il personale necessario per rispondere rapidamente”.

Sono quegli incidenti importanti che probabilmente hanno catturato l’attenzione dell’FBI e della CISA; oltre agli incidenti JBS e Kaseya, il devastante attacco alla Colonial Pipeline ha avuto luogo durante il fine settimana della festa della mamma. (Non un fine settimana di tre giorni, ma comunque programmato per il massimo inconveniente.) Le agenzie hanno affermato di non avere alcuna “segnalazione specifica di minacce” che un attacco simile avrà luogo durante il fine settimana del Labor Day, ma non dovrebbe verificarsi come nessun una sorta di sorpresa se uno lo fa.

È importante ricordare anche che il ransomware è una minaccia costante e per ogni carenza di benzina che fa notizia ci sono dozzine di piccole imprese in un dato momento che si affannano a inviare bitcoin ai criminali informatici. Le vittime hanno segnalato 2.474 incidenti di ransomware all’Internet Crime Complaint Center dell’FBI nel 2020, con un aumento del 20% rispetto all’anno precedente. Secondo i dati IC3, le richieste degli hacker sono triplicate nello stesso lasso di tempo. Questi attacchi non erano tutti concentrati intorno ai fine settimana di tre giorni e alle festività di Hallmark.

In effetti, come riconoscono la CISA e l’FBI, i fine settimana in generale tendono ad essere popolari tra i truffatori. Callow osserva che gli invii a ID Ransomware, un servizio creato dal ricercatore di sicurezza Michael Gillespie che ti consente di caricare note di riscatto o file crittografati per capire cosa ti ha colpito esattamente, tendono ad aumentare il lunedì, quando le vittime sono tornate nei loro uffici per trovare i loro dati crittografato.

Il tempismo strategico da parte degli hacker assume anche altre forme. Gli attacchi contro le scuole diminuiscono precipitosamente nella tarda primavera e in estate, dice Callow, perché allora c’è molta meno urgenza associata al recupero. Quando hanno rubato 81 milioni di dollari dalla Bangladesh Bank, il gruppo Lazarus della Corea del Nord cronometrato il colpo per trarre vantaggio non solo dalle differenze tra i fine settimana del Bangladesh e degli Stati Uniti – nel primo è venerdì e sabato – ma anche il capodanno lunare, una festa in gran parte dell’Asia.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *