A che punto siamo e quali sono le tendenze attuali dei ransomware?
Per diversi anni il ransomware ha fatto notizia. Nella ricerca di profitto, i criminali informatici hanno preso di mira ogni tipo di organizzazione, dalle istituzioni sanitarie ed educative ai fornitori di servizi fino alle realtà industriali, colpendo praticamente ogni aspetto della vita quotidiana.
Ancora oggi questi gruppi riescono a escogitare nuove tecniche elaborate o addirittura ad adottare caratteristiche delle precedenti bande top player che hanno attualmente cessato l’attività. In occasione dell’Anti-Ransomware Day, Kaspersky ha pubblicato un nuovo report che analizza le previsioni dello scorso anno e fornisce indicazioni sulle tendenze attuali dei ransomware nel 2023.
Attacchi più sofisticati e mirati
Nel 2022, le soluzioni di Kaspersky hanno rilevato oltre 74,2 milioni di tentativi di attacchi ransomware, con un aumento del 20% rispetto al 2021 (61,7 milioni). Allo stesso tempo, all’inizio del 2023 è stato registrato un leggero calo del numero di attacchi ransomware, nonostante siano diventati più sofisticati e mirati.
Inoltre, i primi cinque gruppi ransomware più influenti e prolifici sono cambiati drasticamente nell’ultimo anno. I gruppi REvil e Conti, che nel primo semestre 2022 erano rispettivamente al secondo e al terzo posto per numero di attacchi, nel primo trimestre del 2023 sono stati sostituiti da Vice Society e BlackCat, che insieme a Clop e Royal rientrano nella TOP5.
Il riesame delle tendenze attuali dei ransomware dello scorso anno mostra che tutte persistono. Nel corso del 2022 e all’inizio del 2023, ci sono state diverse variazioni del ransomware multipiattaforma che hanno attirato l’attenzione dei ricercatori, come Luna e Black Basta.
Nuove varianti ransomware all’orizzonte
Anche le bande ransomware si sono industrializzate con gruppi come BlackCat che hanno modificato le loro tecniche nel corso dell’anno. Per ora i dipendenti delle organizzazioni vittime devono verificare se sono stati inseriti nei dati rubati, aumentando così la pressione sull’azienda colpita affinché paghi un riscatto.
La situazione geopolitica ha visto alcuni gruppi ransomware schierarsi nei conflitti, tra cui lo stealer Eternity. Il gruppo che ne è alla base ha creato un intero ecosistema, con una nuova variante di ransomware.
Per il 2023, gli esperti di Kaspersky hanno presentato tre tendenze chiave per lo sviluppo delle minacce ransomware. Il primo si riferisce a un maggior numero di funzionalità integrate utilizzate da vari gruppi ransowmare, come la diffusione autonoma o una sua imitazione. Black Basta, LockBit e Play sono tra gli esempi più significativi di ransomware che si propagano autonomamente.
La nuova tendenza emersa di recente è l’abuso dei driver per scopi dannosi, un vecchio trucco. Alcune vulnerabilità nei driver AV sono state sfruttate dalle famiglie di ransomware AvosLocker e Cuba, ma le osservazioni degli esperti Kaspersky mostrano che anche il settore del gaming può essere vittima di questo tipo di attacchi.
Istituzioni governative europee nel mirino
Secondo il report, il driver anti-cheat di Genshin Impact è stato utilizzato per disattivare la protezione endpoint sul computer di destinazione. Le tendenze attuali dei ransomware continuano a essere osservate con vittime di alto profilo, come le istituzioni governative dei Paesi europei.
Infine, gli esperti di Kaspersky richiamano l’attenzione su come le più grandi bande ransomware stiano adottando funzionalità da codici trapelati o venduti da altri criminali informatici, che possono migliorare le prestazioni del loro malware. Recentemente LockBit ha adottato almeno il 25% del codice trapelato da Conti e ha rilasciato una nuova versione basata interamente su di esso.
Questo tipo di iniziative fornisce agli affiliati analogie e facilitazioni per lavorare con famiglie di ransomware con cui erano precedentemente abituati a operare. Tali iniziative possono rafforzare le loro capacità offensive, e questo dovrebbe essere tenuto presente nella strategia di difesa delle aziende.
Le tendenze attuali dei ransomware preoccupano
“I gruppi di ransomware ci sorprendono continuamente e non smettono mai di sviluppare le loro tecniche e procedure. Quello che abbiamo osservato nell’ultimo anno e mezzo è che stanno gradualmente trasformando i loro servizi in vere e proprie aziende. Questo aspetto rende molto pericolosi anche gli aggressori dilettanti. Quindi, per rendere sicura la vostra azienda e proteggere i vostri dati personali, è molto importante aggiornare costantemente i vostri servizi di cybersecurity”, ha commentato Dmitry Galov, Senior Security Researcher di Kaspersky’s Global Research and Analysis Team.
In occasione dell’Anti-Ransomware Day, che ricorre proprio il 12 maggio, Kaspersky incoraggia le organizzazioni a seguire queste best practice che aiutano a proteggere l’azienda dal ransomware:
- Aggiornare costantemente il software su tutti i dispositivi che vengono utilizzati per evitare che i cybercriminali sfruttino le vulnerabilità e si infiltrino nella rete.
- Concentrare la propria strategia di difesa sul rilevamento dei movimenti laterali e dell’esfiltrazione dei dati da Internet. Prestare particolare attenzione al traffico in uscita per rilevare le connessioni dei criminali informatici alla vostra rete. Impostare il backup offline che gli intrusi non possono manomettere. Assicurarsi di potervi accedere rapidamente in caso di necessità o emergenza.
- Attivare la protezione ransomware per tutti gli endpoint. Esiste uno strumento gratuito Kaspersky Anti-Ransomware Tool for Business che protegge computer e server da ransomware e altri tipi di malware, previene gli exploit ed è compatibile con le soluzioni di sicurezza già installate.
