Group-IB pubblica il secondo compendio annuale “Ransomware Uncovered 2021/2022”: queste minacce continuano a crescere e a preoccupare le imprese.
La richiesta media di riscatto è aumentata del 45%, fino a raggiungere 247.000 dollari nel 2021. Le gang del ransomware sono anche diventate molto più avide rispetto allo scorso anno.
Ad esempio, il gruppo Hive ha richiesto il riscatto record di 240 milioni di dollari a MediaMarkt (in Italia MediaWorld). Il riscatto più elevato nel 2020 è stato di “soli” 30 milioni di dollari. Hive e la new entry della “caccia grossa” (il cosiddetto Big Game Hunting) nel 2021, Grief, sono entrati rapidamente nella top 10 delle organizzazioni criminali per numero di aziende i cui dati sono stati pubblicati su apposite piattaforme online (DLS – Data Leak Sites).
La catena di montaggio del ransomware
Gli attacchi ransomware operati da esseri umani mantengono uno stabile margine di vantaggio nel panorama delle minacce informatiche degli ultimi tre anni. L’ascesa dei broker di accesso iniziale (IAS), descritta nell´ Hi-Tech Crime Trends di Group-IB, e la proliferazione di programmi di Ransomware-as-a-Service (RaaS) sono elementi trainanti della crescita continua delle attività ransomware. Il RaaS ha permesso ai cybercriminali inesperti di unirsi al gioco, facendo lievitare il numero delle vittime.
Sulla base dell’analisi di oltre 700 attacchi perpetrati nel 2021, gli esperti DFIR di Group-IB hanno stimato che la richiesta media di riscatto si è attestata sui 247.000 dollari nel 2021, il 45% in più rispetto al 2020. L’accresciuta sofisticatezza del ransomware risulta chiaramente visibile dai tempi di fermo delle vittime, passati dai 18 giorni del 2020 ai 22 del 2021.
Ransomware Uncovered
Gli ideatori dei programmi RaaS hanno iniziato a offrire ai propri clienti non solo kit di ransomware, ma anche strumenti per l’esfiltrazione dei dati, al fine di semplificare e snellire le operazioni. Di conseguenza, la tecnica della doppia estorsione si è diffusa in modo ancora più capillare: i dati sensibili delle vittime sono stati esfiltrati per forzare il pagamento del riscatto nel 63% dei casi analizzati dal team DFIR di Group-IB. Tra il primo trimestre 2021 e il primo trimestre 2022, le gang del ransomware hanno pubblicato sui DLS i dati appartenenti ad oltre 3.500 vittime.
La maggior parte delle aziende i cui dati sono stati diffusi tramite DLS nel 2021 ha sede negli Stati Uniti (1.655), 986 sono invece le aziende europee colpite. Con 148 vittime i cui dati sono stati esfiltrati e pubblicati sui DLS, l’Italia occupa il quinto posto nella classifica mondiale e il terzo in quella europea, seguita a ruota dalla Germania con 143 aziende.
Lockbit, Conti e Pysa si sono rivelate le organizzazioni più aggressive per numero di aziende i cui dati sono stati caricati sui DLS, rispettivamente 670, 640 e 186, tra cui figurano anche aziende italiane, nella fattispecie rispettivamente 45, 25 e 12 vittime. Le due new entry nel Big Game Hunting del 2021, Hive e Grief (una riedizione di DoppelPaymer), sono entrati rapidamente nella top 10 delle gang del ransomware per numero di vittime i cui dati sono stati postati sui DLS.
Bot ingannevoli
Nel 2021 l’abuso di server RDP esposti su Internet è stato ancora una volta il metodo più comune per l’accesso iniziale alle reti target – il 47% di tutti gli attacchi analizzati dagli esperti DFIR di Group-IB è iniziato con la compromissione di un servizio remoto esterno.
Le e-mail di spear phishing contenenti malware comune si sono riconfermate in seconda posizione (26%). L’impiego di malware standard nelle prime fasi di un attacco ha guadagnato popolarità tra gli attori del ransomware rendendo più complicata l’attribuzione degli attacchi ransomware.
In generale, numerose organizzazioni ransomware si sono affidate a tecniche abituali e strumenti legittimi durante il corso di un attacco. Malware comuni sono stati spesso utilizzati per avviare altre attività a posteriori dell’esecuzione, ad esempio il caricamento di framework come Cobalt Strike (osservato nel 57% degli attacchi).
Approcci inusuali
Altre gang ransomware si sono cimentate invece in approcci molto inusuali. Gli affiliati di REvil hanno sfruttato vulnerabilità zero-day per attaccare i clienti di Kaseya. BazarLoader, utilizzato nelle operazioni di Ryuk, è stato distribuito tramite vishing (phishing vocale). Le e-mail di phishing contenevano informazioni su “abbonamenti a pagamento”, che – secondo quanto affermato – potevano essere disdetti telefonicamente. Durante la telefonata, gli attaccanti attiravano la vittima su un sito web fasullo e fornivano istruzioni per scaricare e aprire un documento compromesso, che scaricava ed eseguiva BazarLoader.