Secondo un nuovo rapporto di WithSecure (precedentemente nota come F-Secure Business), il successo delle bande di ransomware ha stimolato una tendenza significativa alla professionalizzazione tra i criminali informatici, in cui i diversi gruppi sviluppano servizi specializzati da offrire gli uni agli altri.
Il ransomware esiste da decenni, ma la minaccia si è continuamente adattata ai miglioramenti delle misure difensive nel corso degli anni. Uno sviluppo degno di nota è l’attuale dominio dei gruppi di ransomware a estorsione multipla, che impiegano diverse strategie di estorsione contemporaneamente (di solito sia la crittografia per impedire l’accesso ai dati sia il furto di dati da divulgare pubblicamente) per fare pressione sulle vittime e ottenere pagamenti.
Secondo un’analisi di oltre 3000 fughe di dati da parte di gruppi di ransomware a estorsione multipla, le organizzazioni negli Stati Uniti sono state le vittime più comuni di questi attacchi, seguite da Canada, Regno Unito, Germania, Francia e Australia. Complessivamente, le organizzazioni di questi Paesi hanno rappresentato i tre quarti delle fughe di dati incluse nell’analisi.
L’industria delle costruzioni sembra essere la più colpita e rappresenta il 19% delle fughe di dati. Le aziende del settore automobilistico, invece, hanno rappresentato solo il 6% circa. Un certo numero di altri settori si è collocato tra i due, a causa della diversa distribuzione delle vittime da parte dei gruppi di ransomware, con alcune famiglie che hanno preso di mira uno o più settori in modo sproporzionato rispetto ad altri.
Sebbene la minaccia del ransomware abbia inflitto un notevole dolore alle organizzazioni di diversi Paesi e settori, il suo impatto trasformativo sul settore della criminalità informatica non può essere sopravvalutato.
“Per ottenere una fetta più grande degli enormi introiti dell’industria del ransomware, i gruppi di ransomware acquistano funzionalità e capacità da fornitori specializzati in e-crime, proprio come le aziende legittime esternalizzano funzioni per aumentare i loro profitti”, spiega Stephen Robinson, Senior Threat Intelligence Analyst. “Questa disponibilità di risorse e informazioni viene sfruttata da un numero sempre maggiore di threat actor, che vanno dagli operatori solitari e poco qualificati fino agli APT nazionali. Il ransomware non ha creato l’industria del crimine informatico, ma ha gettato benzina sul fuoco.”
In un esempio significativo evidenziato nel rapporto, WithSecure ha indagato su un incidente che coinvolgeva un’unica organizzazione compromessa da cinque diversi threat actor, ognuno con obiettivi differenti e che rappresentava un diverso tipo di servizio di criminalità informatica:
- Il gruppo Monti ransomware
- Qakbot malware-as-a-service
- Un gruppo di cryptojacking noto come 8220 Gang (rintracciato anche come Returned Libra)
- Un broker di accesso iniziale (IAB, Initial Access Broker) senza nome
- Un sottoinsieme di Lazarus Group, una minaccia persistente avanzata associata al Foreign Intelligence and Reconnaissance General Bureau della Corea del Nord.
Secondo il rapporto, questa tendenza alla professionalizzazione rende accessibili le competenze e gli strumenti necessari per attaccare le organizzazioni anche a threat actor meno qualificati o con scarse risorse. Il rapporto prevede che probabilmente il numero di attaccanti e le dimensioni del settore della criminalità informatica cresceranno entrambi nei prossimi anni.
“Si parla spesso dei danni che gli attacchi ransomware causano alle vittime. Si presta meno attenzione a come il pagamento dei riscatti fornisca risorse aggiuntive agli attaccanti, il che ha incoraggiato la tendenza alla professionalizzazione descritta nel rapporto. A breve termine, è probabile che vedremo questo ecosistema in evoluzione modellare le risorse e il tipo di attacchi che i difensori devono affrontare”, conclude Tim West, Head of Threat Intelligence di WithSecure.