I dati pubblicati da Kaspersky in vista dell’International Anti-Ransomware Day, che ricorre il 12 maggio, sono preoccupanti. L’ultima ricerca infatti rileva una tendenza: gli attacchi ransomware hanno rappresentato un incidente informatico su tre nel 2023.
La ricerca di Kaspersky, condotta tra il 2022 e il 2023, evidenzia una preoccupante escalation dei gruppi ransomware mirati. I dati indicano un aumento globale di questi gruppi pari al 30% rispetto al 2022, insieme a un incremento del 71% delle vittime riconosciute dei loro attacchi. A differenza degli attacchi random, questi gruppi prendono di mira agenzie governative, organizzazioni di rilievo e individui specifici all’interno delle aziende. Dal momento che i cyber criminali continuano a mettere a punto attacchi sempre più sofisticati ed estesi, la minaccia alla sicurezza informatica diventa sempre più incombente.
La classifica dei ransomware più diffusi nel 2023
Nel 2023, Lockbit 3.0 è stato il ransomware più diffuso, grazie a una fuga di notizie sul builder nel 2022 che ha consentito di generare varianti personalizzate che hanno colpito le organizzazioni di tutto il mondo. BlackCat/ALPHV si è classificato al secondo posto fino al dicembre 2023, quando un’azione congiunta dell’FBI e di altre agenzie ha interrotto le sue operazioni. Tuttavia, BlackCat si è rapidamente ripreso, sottolineando la resilienza dei gruppi di ransomware. Al terzo posto della classifica c’è Cl0p, che ha violato il sistema di trasferimento gestito di file MOVEIt, con un impatto su oltre 2,5 mila organizzazioni fino a dicembre 2023, secondo quanto riportato dalla società di sicurezza neozelandese Emsisoft.
Nel report State of Ransomware 2023, Kaspersky ha identificato anche diverse famiglie di ransomware degne di nota, tra cui BlackHunt, Rhysida, Akira, Mallox e 3AM. Inoltre, con l’evoluzione del panorama dei ransomware, stanno emergendo gruppi più piccoli ed elusivi, che rappresentano una nuova sfida per le forze dell’ordine. Secondo la ricerca, la diffusione delle piattaforme Ransomware-as-a-Service (RaaS) ha ulteriormente complicato il panorama della cybersecurity, sottolineando la necessità di adottare misure proattive.
Un attacco su tre è ransomware
Il team di Incident Response di Kaspersky ha rilevato che gli attacchi ransomware hanno rappresentato un incidente di cybersecurity su tre nel 2023. Dalla ricerca è emerso che gli attacchi tramite contractor e service provider sono vettori importanti, che facilitano le aggressioni su larga scala con un’efficienza allarmante. Nel complesso, i gruppi ransomware hanno dimostrato una conoscenza sofisticata delle vulnerabilità della rete, utilizzando una varietà di strumenti e tecniche per raggiungere i loro obiettivi. Hanno utilizzato strumenti di sicurezza ben noti e sfruttato vulnerabilità pubbliche e comandi nativi di Windows per infiltrarsi tra le loro vittime, evidenziando la necessità di solide misure di cybersecurity per difendersi dagli attacchi ransomware e dai domain takeover.
I consigli di Kaspersky
Il 12 maggio, in occasione dell’Anti-ransomware Day, Kaspersky consiglia alle aziende di adottare queste best practice per proteggere le proprie attività dagli attacchi ransomware:
- Mantenere sempre aggiornato il software su tutti i dispositivi per evitare che gli aggressori sfruttino le vulnerabilità e si introducano all’interno della rete.
- Focalizzare la strategia di difesa sul rilevamento dei movimenti laterali e dell’esfiltrazione dei dati su Internet. Prestare particolare attenzione al traffico in uscita per rilevare le connessioni dei criminali informatici alla rete. Impostare backup offline, che gli aggressori non possono manomettere, assicurarsi di potervi accedere rapidamente in caso di necessità o di emergenza.
- Attivare la protezione contro i ransomware per tutti gli endpoint. Kaspersky Anti-Ransomware Tool for Business è uno strumento gratuito che protegge computer e server da ransomware e altri tipi di malware, previene gli exploit ed è compatibile con le soluzioni di sicurezza già installate.
- Installare soluzioni anti-APT e EDR, che consentano di individuare e rilevare le minacce in modo avanzato, indagare e porre rimedio tempestivamente agli incidenti. Fornire al team SOC l’accesso alle informazioni più recenti sulle minacce e aggiornarlo regolarmente con una formazione professionale. Tutto questo è disponibile all’interno del framework Kaspersky Expert Security.
- Fornire al proprio team SOC l’accesso alle informazioni più recenti sulle minacce (TI). Kaspersky Threat Intelligence Portal è un unico punto di accesso per le informazioni sulle minacce, che fornisce dati sui cyberattacchi e approfondimenti raccolti dal nostro team da oltre 20 anni. Per aiutare le aziende a mettere in atto difese efficaci, Kaspersky ha annunciato l’accesso gratuito a informazioni indipendenti, continuamente aggiornate e a livello globale, su cyberattacchi e minacce in corso. È possibile richiedere l’accesso compilando il form a questo
Il parere dell’esperto
“Con la diffusione del ransomware-as-a-service e l’aumento di attacchi sempre più sofisticati da parte dei criminali informatici, la minaccia alla cybersecurity diventa sempre più grave. I ransomware si confermano essere una minaccia molto grave, in grado di infiltrarsi in settori critici e di colpire anche le piccole imprese. Per combattere questa minaccia pervasiva, è indispensabile che individui e organizzazioni rafforzino le proprie difese con solide misure di cybersecurity. L’implementazione di soluzioni come Kaspersky Endpoint Security e l’adozione di funzionalità di Managed Detection and Response (MDR) sono fondamentali per proteggersi dall’evoluzione delle minacce ransomware”, ha commentato Dmitry Galov, Head of Research Center GReAT di Kaspersky.