Il 2021 è stato caratterizzato dallo sviluppo e dalla sempre maggiore diffusione del meccanismo ransomware a doppia estorsione. Ma le gang criminali continueranno ad affinare le loro tecniche di attacco. È dunque importante imparare dal passato per essere pronti a difendersi dalle nuove minacce
Il mondo della sicurezza informatica è caratterizzato da un’economia clandestina che, ormai, si può definire parallela dell’economia che tutti conosciamo: i numeri aumentano di anno in anno e l’organizzazione che c’è dietro è sempre più raffinata.
In questo scenario, possiamo senz’altro confermare che il 2021 è stato caratterizzato dallo sviluppo e dalla sempre maggiore diffusione del meccanismo ransomware a doppia estorsione.
L’evoluzione del ransomware a doppia estorsione
Abbiamo imparato a riconoscere questo genere di attacco, che inizia con il classico malware che cifra il contenuto delle macchine vittima rendendole inutilizzabili e lascia all’infrastruttura una nota di riscatto per avere la chiave utile a decifrare tutto il materiale.
Il tentativo di estorsione, però, non comprende solo il pagamento di questa chiave, ma la minaccia si rafforza e, appunto, tiene “sotto scacco” i dati cifrati esfiltrati durante l’attacco per una futura pubblicazione online, facendoli diventare di pubblico dominio, qualsiasi sia la loro importanza.
Abbiamo visto così comparire archivi di dati sensibili, dati personali, dati bancari e fiscali, delle più diverse aziende medio grandi italiane (e straniere) e delle più disparate Pubbliche Amministrazioni.
La diffusione di carte d’identità, bilanci, fatture, indirizzi di residenza e codici fiscali è ormai all’ordine del giorno e avviene come dimostrazione di un avvenuto attacco o come rilascio finale a seguito di un probabile mancato pagamento di riscatto. Il 2021 è stato l’anno di questa tipologia di attacchi.
Le tendenze ransomware del 2021
Se guardiamo indietro, a livello globale, nell’anno appena concluso gli attacchi ransomware sono aumentati rispetto agli anni precedenti e in particolare negli ultimi mesi.
Secondo i ricercatori di sicurezza del gruppo NCC, con la doppia estorsione che rimane una tecnica chiave nell’arsenale degli attori delle minacce, l’attenzione degli attori delle minacce si è rivolta sempre più alle organizzazioni governative, che sono state prese di mira il 400 percento in più rispetto a ottobre.
A novembre, il gruppo di ransomware PYSA (nota anche come Mespinoza) si è particolarmente distinta nella scena criminale, con un picco del 50 percento di infezioni.
Lockbit e Conti sono altri due importanti gruppi di ransomware che hanno condotto attacchi contro infrastrutture critiche, ma in numero inferiore rispetto ai mesi precedenti: un dato che, però, non elimina il primato di questi ultimi due gruppi per numero di attacchi per anno a livello mondiale.
In quest’ottica, l’FBI aveva emesso un avviso relativo all’aumento dell’attività di PYSA dopo l’analisi delle prime prove. Secondo le quali l’attività del gruppo aveva raggiunto livelli critici, già nel marzo 2021. PYSA, come quasi tutte le bande di ransomware attualmente attive, ruba i dati da una rete compromessa prima di crittografare gli originali al fine di interrompere le operazioni dell’infrastruttura, e poter stabilire una doppia estorsione.
Altri gruppi, si sono distinti nel corso 2021 da questa tipologia che invece li caratterizza quasi tutti, come Everest. Sono rari, ma i gruppi come Everest si limitano a chiedere un riscatto per terminare l’attacco. Qualora quest’ultimo non venisse onorato, assistiamo alla vendita ad attori criminali terzi dell’accesso all’infrastruttura aziendale (o PA) compromessa. Fornendo un vero e proprio servizio ransomware già testato e giustificando così la sequenza di attacchi molto ravvicinati tra loro, verso una stessa vittima.
“Sebbene la vendita di ransomware-as-a-service abbia registrato un’impennata di popolarità nell’ultimo anno, questo è un raro caso di un gruppo che rinuncia a una richiesta di riscatto e offre l’accesso all’infrastruttura IT, ma potremmo assistere ad attacchi imitativi nel 2022 e in futuro”, riprendendo un concetto chiave dal rapporto del Gruppo NCC.
Cosa aspettarci per il 2022?
A completamento del quadro ransomware che impatterà sicuramente nello sviluppo della sicurezza informatica per l’anno nuovo, non dobbiamo trascurare il campo delle vulnerabilità, soprattutto quelle zero-day.
Ad esempio, la vulnerabilità Log4Shell presente nella libreria Log4J della Apache Foundation viene già sfruttata per distribuire payload ransomware nei server delle vittime esposti.
E’ doveroso mettere in campo sforzi adeguati alla sanificazione di questa gravissima vulnerabilità. Rallentando così indirettamente anche la grande corsa del fenomeno ransomware, per tutti i gruppi criminali attualmente interessati.
Abbiamo visto la crescita esponenziale del ransomware a doppia estorsione, in cui gli avversari chiedono un riscatto per la restituzione dei dati e un altro per assicurarsi che i dati non siano trapelati o venduti.
Nel 2022 assisteremo alla crescita e all’evolversi di questo modello, dichiara Mike Sentonas, Chief Tehnology Officer di CrowdStrike.
Facciamoci trovare preparati!
Leggi anche:
Non perdere le news di gossip, le anticipazioni tv, le ricette, i consigli benessere e bellezza. Vai su Goolge News e clicca sul bottone con la stella.
