Nozomi Networks ha raccolto e analizzato il vissuto delle imprese in termini di attacchi ransomware nel periodo tra il 1° marzo e il 28 agosto evidenziandone andamento e sviluppi. Tutti i dati riportati provengono dalla telemetria anonima dell’azienda, ricevuta dai sensori che monitorano gli endpoint e le comunicazioni cablate e wireless dei clienti che hanno aderito all’iniziativa. Primavera ed estate sono tipicamente le stagioni più calde a nord dell’Equatore, ma lo sono state anche per gli sviluppatori di ransomware. Il numero di attacchi di successo rilevati in tutto il mondo da Nozomi Networks ne conferma la crescita e la creatività. Come testimonia il recente caso del primo ransomware basato sull’intelligenza artificiale.
Cosa ci dice la telemetria
Prima di procedere, è importante comprendere che non tutti gli alert rappresentano un attacco in corso. Alcuni potrebbero essere campioni di malware un tempo attivi diventati visibili ai sensori a causa di modifiche nella configurazione di rete. Inoltre, l’attribuzione a una famiglia di malware precisa non è sempre accurata al 100%. Questo perché alcuni indicatori di compromissione (IoC), come gli indirizzi IP, potrebbero essere riutilizzati dagli aggressori per altre tipologie di attacchi.
BlackSuit è la famiglia di ransomware più attiva
Maggio è stato il mese più attivo in termini di alert relativi ai ransomware generati dai sensori, con la famiglia BlackSuit in testa alla classifica. Secondo CISA, BlackSuit è l’evoluzione diretta del ransomware Royal, ramo del precedente gruppo Conti, anch’esso monitorato e rilevato da Nozomi Networks Labs quando era attivo. Complessivamente, i gruppi hanno ricevuto più di 370 milioni di dollari in riscatti. A luglio, il governo degli Stati Uniti ha condotto un’operazione di smantellamento della famiglia Blacksuit che ha portato a una diminuzione del numero di rilevamenti di questa minaccia nel mese di agosto.
Da notare come alcuni di questi rilevamenti non provenissero dai sensori di monitoraggio del traffico di rete, ma dai sensori endpoint distribuiti sulle macchine HMI. Questi consentono di monitorare attività potenzialmente dannose da una prospettiva diversa. Ciò sottolinea l’importanza di seguire un approccio stratificato quando si parla di costruire una solida postura di sicurezza.
Una minaccia difficile da eradicare dopo il rilascio
La seconda famiglia di ransomware più attiva in questo periodo è stata Cl0p/Clop, dell’autore TA505. Nonostante abbia circa 2 anni, questo malware è ancora molto presente nelle reti aziendali, ricordandoci che, una volta rilasciato, richiede tempi estremamente lunghi per essere completamente eradicato. Due anni fa, il gruppo ha compromesso diverse organizzazioni prendendo di mira le vulnerabilità zero-day in MOVEit Transfer, Accellion File Transfer Appliance e GoAnywhere, con vittime importanti, tra cui BBC, Boots e British Airways.
Il ransomware Black Basta
Il ransomware Black Basta chiude la classifica dei primi tre che, secondo la CISA, ha compromesso più di 500 organizzazioni fino alla metà dello scorso anno. Le loro operazioni, rese note in seguito a una massiccia fuga di notizie a febbraio, ha spinto il gruppo a mantenere un profilo basso . Tuttavia i moduli ransomware già distribuiti continuano a essere rilevati in tutto il mondo.
Usa, UK e Giappone i più colpiti dagli attacchi ransomware
Tra i 3 Paesi più colpiti, con aziende che hanno generato il maggior numero di avvisi associati al malware negli ultimi 6 mesi, primo gli gli Stati Uniti (56,42%). Con oltre la metà degli attacchi e, secondo la nostra telemetria, il Paese più violato nella seconda metà del 2024. Seguono Regno Unito (14,53%) e Giappone (6,7%). I settori più colpiti dal ransomware quello della produzione (83,82%), dei trasporti (13,87%) e dei servizi al consumatore (1,16%).
Più cybersecurity per i comparti di produzione e trasporto
Con oltre l’83% dei ransomware rilevati che prendono di mira il settore manifatturiero, è fondamentale che le organizzazioni di questo vertical si dotino di soluzioni di sicurezza informatica solide. Soluzioni in grado di offrire visibilità completa per abilitare decisioni strategiche. Il settore dei trasporti, associato a oltre il 13% degli incidenti ransomware rilevati, segue quello manifatturiero. Considerando quanto siano vitali i sistemi di trasporto per l’operatività quotidiana, l’importanza di questo dato non può essere sottovalutata.
Investire in una solida visibilità di rete ed endpoint
Nonostante i significativi progressi compiuti nel campo della rilevazione proattiva e nella condivisione delle informazioni sulle minacce all’interno della comunità, esistono ancora tante sfide da superare. Le organizzazioni spesso ritengono di essere ben posizionate in materia di sicurezza informatica solo perché non sono ancora state compromesse. Il consiglio è quello di investire in una solida visibilità di rete ed endpoint, implementando una difesa a più livelli e seguendo le migliori pratiche di gestione delle vulnerabilità. Questo per ridurre drasticamente le possibilità di compromissione e rispondere efficacemente quando si verifica il peggio, prevenendo o riducendo al minimo le perdite associate.
