Scopri come e perché i gruppi hacker come MedusaLocker mettono a punto le loro strategie nei paesi in via di sviluppo prima di passare agli obiettivi finali nel primo mondo.
Ricercatori di varie istituzioni della cybersecurity hanno scoperto un nuovo trend nel mondo degli hacker: provare strumenti e strategie di attacco nei paesi in via di sviluppo prima di attaccare i loro veri obiettivi nel primo mondo.
In questo modo, gli hacker non solo si allenano e perfezionano il loro modo di “lavorare”, ma nel frattempo rubano anche denaro ai target colpiti in questi paesi, che sono meno preparati ad affrontare le minacce informatiche.
In questo post vediamo come, dove e perché gli hacker sperimentano le proprie tecniche nei paesi meno sviluppati e il caso reale del famoso gruppo hacker chiamato MedusaLocker. Buona lettura!
Gli hacker utilizzano le organizzazioni dei paesi in via di sviluppo come un laboratorio, in cui provano malware e strategie diverse prima di attaccare il loro vero bersaglio.
Attacchi hacker nei paesi in via di sviluppo
I paesi cosiddetti “in via di sviluppo”, principalmente in Africa, Asia e Sudamerica, sono una specie di sandbox per gli hacker. Provare le loro operazioni in questi territori ha molti vantaggi ed è anche una buona mossa dal punto di vista economico, perché consente ai criminali informatici di imparare e guadagnare allo stesso tempo.
Vediamo quali sono i motivi principali:
-
Bassa consapevolezza della sicurezza informatica
In molti di questi paesi, soprattutto in quelli che si stanno sviluppando più rapidamente, la coscienza dei rischi e delle minacce informatiche è molto bassa, perché l’attenzione è concentrata sulle possibilità e sul desiderio di creare aziende redditizie, e raggiungere gli stessi livelli di servizio del primo mondo.
-
Protezione inadeguata
Per il motivo precedente, le protezioni adottate dalle aziende locali, anche quando si tratta di divisioni locali di multinazionali, hanno misure e protocolli di sicurezza meno severi; inoltre, spesso le persone non seguono le norme di sicurezza.
-
Espansione digitale
La digitalizzazione procede molto più rapidamente in questi paesi rispetto a quanto è successo, ad esempio, in Europa; per questo, la protezione di reti e infrastrutture non riesce a tenere il passo della trasformazione digitale su larga scala.
-
Bassi costi legali ed economici
Se un hacker attacca una banca in Tonga e questo fallisce, le conseguenze saranno spesso nulle, sia dal punto di vista delle perdite economiche sia, soprattutto, dal punto di vista legale, perché è molto difficile che le autorità abbiano i mezzi e l’interesse per perseguire questi criminali digitali.
-
Test di nuove tecniche e malware
Infine, il vantaggio più grande dal punto di vista operativo è che gli hacker possono provare nel mondo reale i loro nuovi ransomware o le loro nuove tecniche, proprio come farebbe uno sviluppatore di videogiochi durante la fase di testing. Dopo i primi attacchi, l’hacker può aggiustare il tiro, migliorare il software e risolvere eventuali problemi prima di attaccare il suo obiettivo finale: un’organizzazione in un paese sviluppato.
Questi sono i motivi principali per cui i gruppi hacker di tutto il mondo hanno iniziato a usare i paesi in via di sviluppo come laboratorio per i propri esperimenti criminali.
Chi sono questi hacker internazionali
Ci sono molti hacker che agiscono da soli, magari con competenze limitate e poche risorse. Questi hacker provengono spesso dai paesi del terzo mondo in cui operano oppure li scelgono come base per le loro operazioni per i motivi che abbiamo appena visto.
Oggi, questi hacker possono comprare kit di ransomware e modelli di attacco già pronti a prezzi relativamente modici, che inoltre avranno più probabilità di essere efficaci in questi paesi meno protetti.
Oltre a queste realtà locali, ci sono gruppi più grandi e articolati, come il famoso gruppo MedusaLocker, creatore del ransomware omonimo che ha già colpito diversi uffici governativi americani e, tra le varie aziende, Toyota Financial Services.
LEGGI ANCHE: Sicurezza dei dati cloud, le aziende non si sentono protette
Il gruppo MedusaLocker
Il gruppo di cybercriminali noto come MedusaLocker o Medusa Ransomware è diventato uno dei più conosciuti nel panorama dei ransomware. È attivo dal 2022 e utilizza tecniche di crittografia avanzata per sequestrare i file delle vittime e richiedere un riscatto per il loro rilascio.
Il ransomware Medusa usa la crittografia RSA per proteggere la chiave AES256 utilizzata per criptare i file, che vengono poi rinominati con l’estensione .medusa. Le vittime trovano un messaggio chiamato “!!read_me_medusa!!.txt“, contenente le istruzioni per pagare il riscatto.
Grazie agli esperimenti nei paesi in via di sviluppo, il gruppo ha perfezionato il proprio malware e la strategia di attacco, riuscendo a colpire decine di organizzazioni in tutto il mondo e appartenenti ai settori più disparati: sanitario, tecnologia, istruzione, manifatturiero, media, minerario e alberghiero.
I ransomware sono i malware che causano più danni in assoluto su scala mondiale: le perdite segnalate dal 2020 hanno toccato la cifra da capogiro di 28 miliardi di dollari.
Conseguenze degli attacchi di prova nei paesi meno sviluppati
Questa tattica degli hacker ha un forte impatto sia sui paesi in via di sviluppo utilizzati come terreno di prova sia sui paesi più sviluppati in cui si trovano gli obiettivi finali degli attacchi informatici, una volta perfezionati.
Innanzitutto, nei paesi in via di sviluppo il cybercrimine ulteriormente la digitalizzazione. A volte, inoltre, paralizzano intere comunità e causano danni anche fisici a centinaia di persone, perché in questi territori le infrastrutture possono richieder più tempo per essere riparate e i servizi ristabiliti.
A questo si deve anche sommare la perdita di fiducia da parte delle persone, che in questi paesi non è altissima e rischia di diventare un ulteriore ostacolo alla trasformazione digitale e allo sviluppo generale della comunità.
Nei paesi più sviluppati invece, l’impatto è ancora maggiore, perché gli attacchi vengono portati su larga scala e arrivano a colpire intere organizzazioni pubbliche, come nel caso dell’attacco alla Regione Lazio nel 2021, di interi ospedali o delle reti idriche negli Stati Uniti.
Uno dei gruppi più famosi che usa questa strategia è MedusaLocker, che ha già colpito le organizzazioni di molti settori: sanitario, tecnologia, istruzione, manifatturiero, media, minerario e alberghiero.
Difesa e lotta contro i gruppi hacker
Contro questa nuova strategia dei cybercriminali, le agenzie governative dei vari paesi hanno iniziato a collaborare più strettamente, sia tra loro sia con le aziende private. Una soluzione molto utilizzata ultimamente è l’honeypot.
Si tratta di un sistema informatico finto, o di una parte preparata apposta all’interno di un sistema esistente, per attirare gli attacchi informatici in modo che quando si sviluppano non facciano danni e, soprattutto, per poter studiare il funzionamento e il codice.
Questa soluzione di sicurezza è spesso usata anche dalle aziende più grandi per impedire agli hacker di accedere alle parti critiche della rete, come i server dove sono salvati i dati aziendali confidenziali o i dati personali dei clienti.
Il secondo punto su cui si concentra la collaborazione tra pubblico e privato è il monitoraggio continuo del dark web, alla ricerca di informazioni strategiche, pubblicazioni di data breach, rivendicazioni da parte di gruppi hacker e addirittura comunicazioni tra i cybercriminali.
Come proteggere una piccola azienda dagli attacchi informatici
Come abbiamo accennato, qualsiasi azienda può entrare nel mirino dei cybercriminali, anche quelle più piccole, che risultano interessanti perché meno protette e perché possono essere attaccate in massa, aumentando i guadagni potenziali.
Se hai una piccola azienda, ecco alcuni consigli pratici per proteggerti dagli attacchi informatici:
-
Formazione e consapevolezza
Investi nella formazione dei dipendenti e promuovi una cultura di cybersecurity all’interno della tua impresa.
-
Aggiornamenti regolari
Mantieni sempre aggiornati tutti i software, i sistemi operativi e gli antivirus.
-
Backup periodici e multipli
Una buona strategia di backup è la migliore difesa contro gli attacchi ransomware.
-
Monitoraggio costante
Controlla regolarmente i registri dei sistemi e delle reti alla ricerca di attività sospette.
-
Test di penetrazione
Esegui periodicamente dei test per vedere da dove e come un hacker potrebbe accedere alla rete aziendale (fatti aiutare da un esperto).
-
Politiche di sicurezza
Scrivi un documento breve e pratico con delle norme di sicurezza informatica per i dipendenti, sia per le attività giornaliere sia per avere un punto di riferimento da usare in caso di emergenza.
-
Autenticazione multifattoriale
Utilizzala per proteggere tutti gli accessi e gli account.
Segui questi consigli per non cadere nelle truffe online e per utilizzare tutti gli strumenti di sicurezza informatica disponibili, in modo da mitigare il più possibile i danni in caso di attacco.
In questo post abbiamo visto che molti hacker provano le loro strategie nei paesi in via di sviluppo, prima di attaccare i loro bersagli nel primo mondo.
Abbiamo visto quali sono i vantaggi di questa pratica per i cybercriminali e cosa stanno facendo governi e aziende a livello mondiale per combattere il cybercrimine. Infine, abbiamo condiviso i nostri consigli pratici per proteggere una PMI e ridurre al minimo i danni in caso di attacco.
CONTINUA A LEGGERE: Come rimuovere i malware da PC o MAC
Buona navigazione e buona protezione dagli attacchi informatici!