In concomitanza con gli arresti degli esponenti del gruppo criminale REvil riportati ieri, Bitdefender, che ha giocato un ruolo essenziale nell’operazione internazionale, diffonde i risultati ottenuti con il rilascio del suo decryptor universale Revil, reso disponibile a settembre, che ha consentito alle aziende colpite dal ransomware di risparmiare 550 milioni di dollari in riscatti non pagati.
Realizzato in collaborazione con un partner di fiducia delle forze dell’ordine e valido per attacchi REvil avvenuti prima del 13 luglio 2021, il decryptor Sodinokibi / REvil ha aiutato più di 1.400 aziende in 83 paesi a recuperare i file e a risparmiare oltre 550 milioni di dollari.
Il team Bitdefender DRACO ha fornito consulenze e indicazioni sulla sicurezza informatica, soprattutto per quanto riguarda la crittografia, le indagini e le analisi che hanno aiutato le forze dell’ordine in quest’operazione a ridurre al minimo l’impatto degli attacchi ransomware riusciti, e alla fine, hanno consentito di effettuare gli arresti.
“Questi arresti dimostrano cosa si può ottenere quando il settore pubblico e quello privato mettono insieme le loro risorse per combattere il crimine informatico. Questa operazione è stata uno sforzo globale senza sosta per trovare i responsabili degli attacchi ransomware più devastanti della storia recente, senza lasciare nulla di intentato. Per la prima volta le forze dell’ordine e le aziende di cybersecurity si sono unite per l’obiettivo comune di ottenere giustizia condividendo un’incredibile mole di informazioni di intelligence sulle minacce. Il successo di questa operazione è un campanello d’allarme per i criminali informatici, che non hanno via di scampo” dichiara Alexandru Catalin Cosoi, Senior Director, Investigation and Forensics Unit di Bitdefender.
Più di tre anni fa, nel febbraio 2018, il DRACO Team di Bitdefender ha rilasciato il primo di molti strumenti di decrittazione per la famiglia di ransomware GandCrab. La pubblicazione del tool appena un mese dopo la comparsa dei primi esempi di questa potentissima famiglia di ransomware-as-a-service (RaaS), ha segnato l’inizio di una profonda collaborazione con le forze dell’ordine di tutto il mondo per un forte impegno da parte del vendor di sicurezza nell’arginare il ransomware.
Abbreviazione di Ransomware Evil, REvil è un’operazione RaaS privata comparsa per la prima volta nel 2019. Profondamente legato al gruppo, ormai scomparso, GandCrab RaaS, REvil sfrutta gli affiliati per infettare le aziende ed estorcere denaro. Dal 2019, REvil si è esponenzialmente cresciuto ed è diventato la variante ransomware più comune nel secondo trimestre del 2021. È riuscito a compromettere migliaia di aziende in tutto il mondo, tra cui ricordiamo per esempio quello alal sistema di oleodotti Colonial Pipeline, ed era noto per estorcere alle vittime pagamenti nettamente superiori al prezzo medio di mercato. Il riscatto medio richiesto infatti ammonta a circa 393.000 dollari, molto più alto del riscatto medio di GandCrab che si aggirava tra gli 800 e i 2.400 dollari. Le aziende che non pagavano il riscatto e tentavano di ripristinare i backup venivano ricattate con la pubblicazione delle informazioni sensibili sottratte.
Nel caso in cui si cada vittima di un attacco ransomware, Bitdefender raccomanda in primis di non pagare il riscatto e di informare la polizia locale sull’incidente. Di seguito ulteriori importanti raccomandazioni per proteggersi dal ransomware:
- Gli attacchi ransomware di solito iniziano con una campagna di phishing via email e di social engineering. È importante quindi educare e formare continuamente i dipendenti sui pericoli in cui possono incorrere cliccando su link e aprendo allegati da mittenti sconosciuti.
- Assicurarsi che le piattaforme di sicurezza come EDR (Endpoint Detection and Response) e XDR (eXtended Detection and Response) siano aggiornate con gli indicatori di compromissione (IOC) per cercare REvil e altre minacce note.
- Considerare il modello di rilevamento e risposta gestito (MDR) per consentire ai team interni della sicurezza di essere attivi nella caccia alle minacce.
- Minimizzate la superficie di attacco e assicurarsi che i servizi legacy o altri servizi non necessari (come RDP) non siano esposti a Internet.
Le vittime possono scaricare gratuitamente lo strumento di decrittazione REvil e recuperare i propri dati.