Il ransomware è sicuramente una delle minacce cyber più temute e diffuse degli ultimi tempi e, per questo, per diversi anni ha fatto notizia. Nella ricerca di profitto, i criminali informatici hanno preso di mira ogni tipo di organizzazione, dalle istituzioni sanitarie ed educative ai fornitori di servizi fino alle realtà industriali, colpendo praticamente ogni aspetto della vita quotidiana. Ancora oggi questi gruppi riescono a escogitare nuove tecniche elaborate o addirittura ad adottare caratteristiche delle precedenti bande top player che hanno attualmente cessato l’attività. In occasione dell’Anti-Ransomware Day, Kaspersky ha pubblicato un nuovo report che analizza le previsioni sulle minacce ransomware dello scorso anno e fornisce indicazioni sull’evoluzione nel 2023.
Le minacce ransomware più diffuse
Nel 2022, le soluzioni di Kaspersky hanno rilevato oltre 74,2 milioni di tentativi di attacchi ransomware, con un aumento del 20% rispetto al 2021 (61,7 milioni). Allo stesso tempo, all’inizio del 2023 è stato registrato un leggero calo del numero di attacchi ransomware, nonostante siano diventati più sofisticati e mirati. Inoltre, i primi cinque gruppi ransomware più influenti e prolifici sono cambiati drasticamente nell’ultimo anno. I gruppi REvil e Conti, che nel primo semestre 2022 erano rispettivamente al secondo e al terzo posto per numero di attacchi, nel primo trimestre del 2023 sono stati sostituiti da Vice Society e BlackCat, che insieme a Clop e Royal rientrano nella TOP5.
Il riesame delle tendenze delle minacce ransomware dello scorso anno mostra che tutte persistono. Nel corso del 2022 e all’inizio del 2023, ci sono state diverse variazioni del ransomware multipiattaforma che hanno attirato l’attenzione dei ricercatori, come Luna e Black Basta. Anche le bande ransomware si sono industrializzate con gruppi come BlackCat che hanno modificato le loro tecniche nel corso dell’anno. Per ora i dipendenti delle organizzazioni vittime devono verificare se sono stati inseriti nei dati rubati, aumentando così la pressione sull’azienda colpita affinché paghi un riscatto. La situazione geopolitica ha visto alcuni gruppi ransomware schierarsi nei conflitti, tra cui lo stealer Eternity. Il gruppo che ne è alla base ha creato un intero ecosistema, con una nuova variante di ransomware.
Minacce ransomware 2023: i trend individuati da Kaspersky
Per il 2023, gli esperti di Kaspersky hanno presentato tre tendenze chiave per lo sviluppo delle minacce ransomware. Il primo si riferisce a un maggior numero di funzionalità integrate utilizzate da vari gruppi ransowmare, come la diffusione autonoma o una sua imitazione. Black Basta, LockBit e Play sono tra gli esempi più significativi di ransomware che si propagano autonomamente.
La nuova tendenza emersa di recente è l’abuso dei driver per scopi dannosi, un vecchio trucco. Alcune vulnerabilità nei driver AV sono state sfruttate dalle famiglie di ransomware AvosLocker e Cuba, ma le osservazioni degli esperti Kaspersky mostrano che anche il settore del gaming può essere vittima di questo tipo di attacchi. Secondo il report, il driver anti-cheat di Genshin Impact è stato utilizzato per disattivare la protezione endpoint sul computer di destinazione. La tendenza continua a essere osservata con vittime di alto profilo, come le istituzioni governative dei Paesi europei.
Infine, gli esperti di Kaspersky richiamano l’attenzione su come le più grandi bande ransomware stiano adottando funzionalità da codici trapelati o venduti da altri criminali informatici, che possono migliorare le prestazioni del loro malware. Recentemente LockBit ha adottato almeno il 25% del codice trapelato da Conti e ha rilasciato una nuova versione basata interamente su di esso. Questo tipo di iniziative fornisce agli affiliati analogie e facilitazioni per lavorare con famiglie di ransomware con cui erano precedentemente abituati a operare. Tali iniziative possono rafforzare le loro capacità offensive, e questo dovrebbe essere tenuto presente nella strategia di difesa delle aziende.
I consigli dell’esperto
“I gruppi di ransomware ci sorprendono continuamente e non smettono mai di sviluppare le loro tecniche e procedure. Quello che abbiamo osservato nell’ultimo anno e mezzo è che stanno gradualmente trasformando i loro servizi in vere e proprie aziende. Questo aspetto rende molto pericolosi anche gli aggressori dilettanti. Quindi, per rendere sicura la vostra azienda e proteggere i vostri dati personali dalle minacce ransomware, è molto importante aggiornare costantemente i vostri servizi di cybersecurity”, ha commentato Dmitry Galov, Senior Security Researcher di Kaspersky’s Global Research and Analysis Team.
Le best practice da adottare
In occasione dell’Anti-Ransomware Day, che ricorre il 12 maggio, Kaspersky incoraggia le organizzazioni a seguire queste best practice che aiutano a proteggere l’azienda dalle minacce ransomware:
- Aggiornare costantemente il software su tutti i dispositivi che vengono utilizzati per evitare che i cybercriminali sfruttino le vulnerabilità e si infiltrino nella rete.
- Concentrare la propria strategia di difesa sul rilevamento dei movimenti laterali e dell’esfiltrazione dei dati da Internet. Prestare particolare attenzione al traffico in uscita per rilevare le connessioni dei criminali informatici alla vostra rete. Impostare il backup offline che gli intrusi non possono manomettere. Assicurarsi di potervi accedere rapidamente in caso di necessità o emergenza.
- Attivare la protezione contro le minacce ransomware per tutti gli endpoint.
- Installare soluzioni anti-APT e EDR, che consentano di individuare e rilevare le minacce in modo avanzato così come indagare e risolvere tempestivamente gli indicenti. Fornire al team SOC l’accesso alle informazioni più recenti sulle minacce e aggiornarlo regolarmente con una formazione professionale.
- Fornire al proprio team SOC l’accesso alle informazioni più recenti sulle minacce (TI).
