Negli ultimi mesi, le attività di ransomware hanno registrato un incremento significativo. Le gang informatiche adottano approcci sempre più sofisticati, con il reclutamento di dipendenti, collaboratori e partner fidati che è diventato una strategia chiave per ottenere accesso a informazioni sensibili delle aziende.
Il cambiamento delle tattiche delle gang di ransomware
Secondo un report di NCC Group, le gang di ransomware stanno passando da metodi di hacking tradizionali a strategie di reclutamento mirato. Con un aumento del 13% negli attacchi registrati a, gang come Qilin e Medusa cercano di stabilire connessioni con persone all’interno delle organizzazioni bersaglio.
Il ruolo degli insider nelle operazioni di ransomware
Le gang considerano gli insider come canali fondamentali per ottenere accesso legittimo a credenziali e sistemi.
Ciò consente loro di bypassare le misure di sicurezza e ridurre il rischio di essere scoperti prima di completare un attacco. Questo approccio ha portato a un’evoluzione delle operazioni di ransomware verso un modello di business più strutturato e professionale.
Incentivi economici e reclutamento di esperti
Le gang di ransomware, come evidenziato nella relazione di NCC, offrono incentivi finanziari significativi per attrarre nuovi membri. Promesse di commissioni elevate e garanzie di anonimato sono diventate pratiche comuni. Un esempio è rappresentato da un tentativo di reclutamento della gang Medusa, che ha contattato un giornalista della BBC con un’offerta iniziale del 15% di una futura richiesta di riscatto.
Professionisti della sicurezza coinvolti
Un aspetto preoccupante è che anche i professionisti della cyber sicurezza stanno diventando bersagli.
Due esperti nel campo sono stati accusati di collaborare con la gang BlackCat/ALPHV, evidenziando come le gang stiano sfruttando le competenze tecniche per facilitare le loro operazioni. Questo fenomeno segna un punto di non ritorno, mostrando l’infiltrazione delle gang nel settore della sicurezza informatica.
Implicazioni per le aziende e strategie di difesa
Per le organizzazioni, il crescente utilizzo di insider come parte della catena di approvvigionamento del ransomware rende cruciale il passaggio da una difesa puramente tecnica a una gestione del rischio umano. Programmi di monitoraggio delle minacce interne e procedure robuste per la gestione degli accessi sono ora più importanti che mai.
Le aziende devono implementare strategie efficaci di governance degli accessi e processi di offboarding per garantire che i dipendenti attuali ed ex non diventino una vulnerabilità.
La consapevolezza e la formazione continua possono contribuire a mitigare il rischio di penetrazione da parte di attori interni.
Le gang di ransomware stanno evolvendo in un modello di business organizzato e strutturato, puntando su reclutamento, incentivi e accesso legittimo alle reti aziendali. È essenziale che le aziende adottino misure proattive per proteggere le proprie informazioni sensibili e ridurre il rischio di attacchi futuri.
