In occasione dell’Anti-Ransomware Day, gli esperti Kaspersky hanno reso pubblico il report che analizza i trend 2022 su questo tipo di minacce. I ransomware hanno fatto molta strada. Se inizialmente erano clandestini e amatoriali, ora si sono trasformati in aziende, con marchi e stili distintivi che competono tra di loro sul dark web. Ma soprattutto continuano a svilupparsi e ad avere successo nonostante alcune tra le gang più note abbiano smesso di operare. Scovano metodi insoliti per attaccare le loro vittime e ricorrono al newsjackingper rendere gli attacchi ancora più rilevanti. Gli esperti Kaspersky monitorano costantemente le attività dei gruppi ransomware e nel nuovo report analizzano le novità relative a questa minaccia. Per avere più informazioni sui trend dei gruppi ransomware, il report completo è disponibile https://securelist.com/new-ransomware-trends-in-2022/106457/
Danneggiare più sistemi
Il primo trend degno di nota riguarda il prolifico utilizzo di funzionalità multipiattaforma da parte dei gruppi ransomware. Ultimamente puntano a danneggiare quanti più sistemi possibili utilizzando lo stesso malware, scrivendo un codice che possa essere eseguito su più sistemi operativi contemporaneamente. Conti, uno dei gruppi ransomware più attivi, ha sviluppato una variante che viene distribuita tramite affiliati selezionati e che prende di mira Linux. Verso fine 2021, i linguaggi di programmazione multipiattaforma Rust e Golang sono diventati ancora più popolari. BlackCat, gruppo malware autoproclamatosi la “nuova generazione” e che dal dicembre 2021 ha attaccato più di 60 organizzazioni, ha scritto il suo malware utilizzando il linguaggio di programmazione Rust. Golang è stato utilizzato nel ransomware da DeadBolt, gruppo noto per i suoi attacchi a QNAP.
L’evoluzione dei gruppi malware
Tra fine 2021 e inizio 2022, i gruppi ransomware hanno sviluppato alcune attività per supportare i loro processi aziendali. Come un rebranding sistematico con l’obiettivo di distogliere l’attenzione delle autorità e l’aggiornamento degli strumenti di esfiltrazione. Alcuni gruppi hanno sviluppato e implementato toolkit che assomigliavano a quelli di società di software legittime. Lockbit si distingue come esempio dell’evoluzione di un gruppo ransomware. L’organizzazione vanta una serie di miglioramenti rispetto ai suoi rivali, tra cui aggiornamenti regolari e manutenzione dell‘infrastruttura. Inoltre, è stata la prima ad introdurre StealBIT, uno strumento di esfiltrazione ransomware personalizzato che permette di esfiltrare i dati molto velocemente. Un fatto che dimostra il lavoro fatto dal gruppo nei processi di accelerazione del malware.
Kaspersky e i ransomware 2022
Il terzo trend rilevato dagli esperti di Kaspersky è frutto della situazione geopolitica, con particolare riferimento al conflitto in Ucraina, che ha impattato nel panorama dei ransomware. Nonostante tali attacchi siano spesso associati agli attori APT (minacce avanzate e persistenti), Kaspersky ha rilevato alcune attività sui forum di criminalità informatica e azioni da parte di gruppi ransomware in risposta alla situazione. Poco dopo l’inizio del conflitto, i gruppi ransomware si sono schierati, provocando attacchi politicamente motivati da parte di alcune gang sostenitrici di Russia o Ucraina. Uno tra i malware scoperti è Freeud, sviluppato dai sostenitori dell’Ucraina. Freeud è dotato di funzionalità di cancellazione: se il malware contiene una lista di file, invece di criptarli, li cancella dal sistema.
Minacce più prevedibili
Dmitry Galov, senior security researcher del Global Research and Analysis Team di Kaspersky Se lo scorso anno avevamo dichiarato che i ransomware stessero germogliando, quest’anno possiamo affermare che siano in piena fioritura. Sebbene la maggior parte dei gruppi ransomware rilevati nel 2021 siano stati costretti ad abbandonare, sono comparsi nuovi attori con tecniche mai viste prima. Ciononostante, man mano che le minacce ransomware si evolvono e si espandono sia tecnologicamente che geograficamente, diventano anche più prevedibili. Questo ci aiuta a rilevarle con maggiore precisione e quindi a difenderci.
Come difendersi dai malware
In occasione dell’Anti-Ransomware Day, Kaspersky incoraggia le organizzazioni affinché adottino alcune misure per tutelarsi dagli attacchi ransomware.
Mantenere sempre aggiornatitutti i dispositivi per evitare che gli attaccanti ne sfruttino le vulnerabilità e riescano ad infiltrarsi nella rete;
Concentrarsi sulla strategia difensiva per rilevare movimenti laterali ed esfiltrazioni di dati su internet. Fare particolare attenzione al traffico in uscita per controllare se i criminali informatici siano riusciti a collegarsi alla rete. Impostare dei backup offline che i criminali informatici non possano manomettere e assicurarsi di riuscire ad accedervi rapidamente quando necessario o in caso di emergenza.
Attivare la protezione ransomware per tutti gli endpoint. La versione gratuita di Kaspersky Anti-Ransomware Tool for Business protegge i computer e i server dai ransomware e da altri tipi di malware. Inoltre contiene una funzione di prevenzione degli exploit ed è compatibile con soluzioni di sicurezza già installate.
Kaspersky e i ransomware 2022
Installare soluzioni EDR e anti-APT. Questo può abilitare le funzionalità avanzate di threat detection per l’analisi delle minacce e la risoluzione tempestiva degli incidenti. Si consiglia anche di fornire al team SOC l’accesso alle più recenti risorse di threat intelligence, con regolari aggiornamenti erogati da formatori professionisti. Kaspersky Expert Security framework offre tutte queste funzionalità.
Fornire al team SOC l’accesso alle più recenti risorse di threat intelligence (TI). Kaspersky Threat Intelligence Portal è un portale che consente di accedere alle risorse TI di Kaspersky, fornendo dati e informazioni sugli attacchi IT raccolti in oltre 20 anni di ricerca. Per aiutare le aziende ad implementare difese efficaci durante questo periodo difficile, Kaspersky ha annunciato che offrirà accesso gratuito ad informazioni indipendenti, aggiornate e di livello globale relative ad attacchi e minacce informatiche.
