Come cambiano le tattiche dei cybercriminali? Se lo è chiesto di recente la Unit 42 di Palo Alto Networks che, nel suo report “Ransomware and Extortion 2023” analizza recenti casi di risposta agli incidenti e valutazioni dei nostri analisti di threat intelligence sul panorama delle minacce, condividendo previsioni su come gli attori delle minacce utilizzeranno il ransomware e le tattiche di estorsione in futuro.
Negli ultimi anni, infatti, l’attenzione al ransomware si è ulteriormente innalzata, con gli attori delle minacce che utilizzano sempre più spesso altre tecniche di estorsione per costringere le vittime a pagare, o addirittura tendono a fare a meno dello stesso ransomware, affidandosi direttamente all’estorsione.
Le organizzazioni, a loro volta, devono far evolvere le proprie difese per far fronte ai vari metodi utilizzati per esercitare pressione. I piani di incident response oggi non solo devono includere considerazioni tecniche, ma anche salvaguardare la reputazione dell’azienda e riflettere su come sia possibile proteggere dipendenti o clienti che potrebbero diventare bersaglio di alcune delle tattiche più aggressive degli estorsori.
Come cambiano le tattiche dei cybercriminali: tutti i numeri
In media, nel 70% circa dei casi di ransomware osservati da Unit 42 alla fine del 2022, gli attori delle minacce si sono impegnati nel furto di dati, in aumento del 30% rispetto a metà 2021. I cybercriminali spesso minacciano di diffondere i dati rubati sui siti di data leak nel dark web, cosa che si rivela sempre più una componente chiave dei loro sforzi di estorsione alle organizzazioni.
Le minacce dirette sono un’ulteriore tattica di estorsione utilizzata in un numero maggiore di casi di ransomware. In azienda, vengono presi di mira individui specifici spesso appartenenti alla C-suite, con minacce e comunicazioni indesiderate. Si tratta di una tendenza la cui evoluzione è estremamente rapida: a fine 2022, le molestie erano un fattore presente in circa il 20% degli attacchi ransomware, rispetto al dato inferiore all’1% rilevato a metà 2021.
Anche lo scorso anno, le richieste di riscatto dal ransomware sono state un punto dolente per le organizzazioni, raggiungendo la somma di 7 milioni di dollari nei casi osservati da Unit 42. La richiesta media è stata di 650.000 dollari, il pagamento medio di 350.000 dollari.
In base all’analisi dei siti di data leak nel dark web, il settore manifatturiero è stato il più bersagliato nel 2022, con 447 organizzazioni compromesse esposte pubblicamente su questi siti. Intenta a indagare come cambiano le tattiche dei cybercriminali, Unit 42 ritiene che ciò sia dovuto alla forte presenza di sistemi che utilizzano ancora software obsoleti, non aggiornati o patchati regolarmente o facilmente, e alla scarsa possibilità di tollerare tempi di inattività.
Spesso, infatti, i criminali ricercano obiettivi in settori in cui sia fondamentale essere in grado di fornire determinati prodotti o servizi in modo tempestivo, per approfittare della pressione a cui sono sottoposte queste aziende per rispettare scadenze e raggiungere risultati, sperando che ciò le induca a pagare rapidamente l’intero riscatto. I flussi di entrate persi a causa dei tempi di inattività operativa possono spingere le organizzazioni a cedere alle richieste degli attori delle minacce.
Gli attacchi alle organizzazioni più grandi del mondo rappresentano una piccola ma notevole percentuale di questi incidenti. Nel 2022, 30 aziende della lista Forbes Global 2000 sono state colpite pubblicamente da tentativi di estorsione da parte di gruppi come LockBit, Conti, BlackCat, Hive e Black Basta. Dal 2019, file riservati di almeno 96 di queste organizzazioni sono stati esposti pubblicamente in qualche misura come parte di un tentativo di estorsione.
Gli Stati Uniti sono stati il paese più colpito, con 1118 organizzazioni compromesse a livello pubblico, osservate nel 2022. Seguono a grande distanza Regno Unito (130) e Germania (129), mentre le aziende italiane sono state 96.