Cambio di strategia da parte dei cyber criminali: grandi organizzazioni sempre più nel mirino

Online il docu-film Wannacry: the Marcus Hutchins story

“The Changing State of Ransomware”, il nuovo report F-Secure, rileva che, rispetto al 2016, nel 2017 gli attacchi ransomware sono cresciuti di oltre il 400%. Secondo i ricercatori, questa crescita è da attribuire al cryptoworm WannaCry, mentre altri attacchi ransomware sono diventati meno comuni nel corso del 2017, il che evidenzia un cambiamento nel modo in cui i criminali informatici utilizzano il malware.

Il report evidenzia che il ransomware è evoluto in modo considerevole nel 2017. Tra le minacce prevalenti durante l’anno, famiglie consolidate di ransomware come Locky, Cryptolocker e Cerber. Ma è stata WannaCry la minaccia rilevata con più frequenza: 9 volte su 10.

Ma se la famiglia ransomware WannaCry è rimasta prevalente nella seconda metà del 2017, si è registrato un declino nell’uso di altri ransomware da parte dei cyber criminali. Si tratta di un fenomeno che secondo Sean Sullivan, Security Advisor di F-Secure, fa pensare che i cyber criminali dilettanti stiano perdendo interesse nel ransomware.

“Dopo l’estate, c’è stato un notevole spostamento dal tipo di attività ransomware che abbiamo visto negli ultimi due anni,” ha spiegato Sullivan. “Negli ultimi due anni abbiamo visto cyber criminali sviluppare molti nuovi tipi di ransomware, ma quell’attività è andata diminuendo dopo la scorsa estate. Sembra quindi che la “corsa all’oro” del ransomware sia finita, anche se gli estorsionisti più attivi del ransomware continuano ad usarlo, soprattutto contro le organizzazioni poiché Wannacry ha dimostrato a tutti quanto queste siano vulnerabili.”

Secondo il report, mentre alcuni segnali hanno fatto intendere una diminuzione del ransomware nel 2017, alcune evidenze suggeriscono che l’uso del ransomware graviterà su più vettori di attacchi focalizzati sulle aziende, compromettendo per esempio le organizzazioni attraverso porte RDP esposte. La famiglia ransomware SamSam è nota per usare questo tipo di approccio e ha già infettato molto organizzazioni negli USA quest’anno, inclusi i sistemi IT della città di Atlanta in un recente attacco.

Altre significative scoperte evidenziate nel report:

  • WannaCry, seguito da Locky, Mole, Cerber, e Cryptolocker sono state le famiglie di ransomware più diffuse nel 2017;
  • Gli attacci ransomware nel 2017 sono cresciuti del 415% rispetto al 2016;
  • WannaCry è rimasto attivo nella seconda metà del 2017, con la maggior parte delle rilevazioni di F-Secure provenienti da Malaysia, Giappone, Colombia, Vietnam, India e Indonesia;
  • 343 famiglie uniche e varianti di ransomware sono state scoperte nel 2017, con una crescita del 62% sull’anno precedente;
  • Con l’eccezione di WannaCry, l’utilizzo di ransomware (sia nuovo che esistente) è sembrato andare diminuendo verso la fine dell’anno.

Secondo Sullivan, ci sono diversi fattori che stanno contribuendo al cambiamento apparente nel modo in cui il ransomware viene usato: “Il prezzo del bitcoin è probabilmente il fattore più importante, poiché ha reso il ransomware molto meno attrattivo per i criminali informatici. Penso anche che i guadagni stiano probabilmente diminuendo poiché la conoscenza di questa minaccia ha incoraggiato gli utenti ad effettuare backup affidabili, dal momento che restano scettici sull’affidabilità dei criminali quando promettono di decrittografare i dati una volta pagato il riscatto. Ma i cyber criminali cercheranno sempre di approfittare di condizioni favorevoli, quindi saranno pronti a sfruttare di nuovo il ransomware se le condizioni dovessero cambiare.”