Gli esperti Kaspersky in un recente report hanno reso noto quali saranno le tendenze chiave per lo sviluppo delle minacce ransomware nel 2023. Per diversi anni il ransomware ha fatto notizia. Nella ricerca di profitto, i criminali informatici hanno preso di mira ogni tipo di organizzazione, dalle istituzioni sanitarie ed educative ai fornitori di servizi fino alle realtà industriali, colpendo praticamente ogni aspetto della vita quotidiana. Ancora oggi questi gruppi riescono a escogitare nuove tecniche elaborate o addirittura ad adottare caratteristiche delle precedenti bande top player che hanno attualmente cessato l’attività.
Meno attacchi, ma più sofisticati
Nel 2022, le soluzioni di Kaspersky hanno rilevato oltre 74,2 milioni di tentativi di attacchi ransomware, +20% rispetto al 2021 (61,7 milioni). All’inizio del 2023 è stato registrato un leggero calo del numero di attacchi ransomware, nonostante siano diventati più sofisticati e mirati. Inoltre, i primi cinque gruppi ransomware più influenti e prolifici sono cambiati drasticamente nell’ultimo anno. I gruppi REvil e Conti, che nel primo semestre 2022 erano rispettivamente al secondo e al terzo posto per numero di attacchi, nel primo trimestre del 2023 sono stati sostituiti da Vice Society e BlackCat. Questi due, insieme a Clop e Royal, rientrano nella Top5.
Dati rubati e riscatto
Il riesame delle tendenze del ransomware dello scorso anno mostra che tutte persistono. Durante il 2022 e a inizio 2023 ci sono state diverse variazioni del ransomware multipiattaforma che hanno attirato l’attenzione dei ricercatori, come Luna e Black Basta. Anche le bande ransomware si sono industrializzate con gruppi come BlackCat che hanno modificato le loro tecniche nel corso dell’anno.
Situazione attuale
Per ora i dipendenti delle organizzazioni vittime devono verificare se sono stati inseriti nei dati rubati, aumentando così la pressione sull’azienda colpita affinché paghi un riscatto. La situazione geopolitica ha visto alcuni gruppi ransomware schierarsi nei conflitti, tra cui lo stealer Eternity. Il gruppo che ne è alla base ha creato un intero ecosistema, con una nuova variante di ransomware.
A che punto è lo sviluppo delle minacce ransomware
Per il 2023, gli esperti di Kaspersky hanno presentato tre tendenze chiave per lo sviluppo delle minacce ransomware. Il primo si riferisce a un maggior numero di funzionalità integrate utilizzate da vari gruppi ransowmare, come la diffusione autonoma o una sua imitazione. Black Basta, LockBit e Play sono tra gli esempi più significativi di ransomware che si propagano autonomamente.
Il settore del gaming
La nuova tendenza emersa di recente è l’abuso dei driver per scopi dannosi, un vecchio trucco. Alcune vulnerabilità nei driver AV sono state sfruttate dalle famiglie di ransomware AvosLocker e Cuba. Le osservazioni degli esperti Kaspersky mostrano che anche il settore del gaming può essere vittima di questo tipo di attacchi. Secondo il report, il driver anti-cheat di Genshin Impact è stato utilizzato per disattivare la protezione endpoint sul computer di destinazione. La tendenza continua a essere osservata con vittime di alto profilo, come le istituzioni governative dei Paesi europei.
Una nuova modalità di attacco
Infine, gli esperti di Kaspersky richiamano l’attenzione su come le principali bande ransomware stiano adottando funzionalità da codici trapelati o venduti da altri criminali informatici, che possono migliorare le prestazioni del loro malware. Recentemente LockBit ha adottato almeno il 25% del codice trapelato da Conti e ha rilasciato una nuova versione basata interamente su di esso. Questo tipo di iniziative fornisce agli affiliati analogie e facilitazioni per lavorare con famiglie di ransomware con cui erano precedentemente abituati a operare. Tali iniziative possono rafforzare le loro capacità offensive, e questo dovrebbe essere tenuto presente nella strategia di difesa delle aziende.
Le tendenze 2023 nello sviluppo delle minacce ransomware
Dmitry Galov, Senior Security Researcher di Kaspersky’s Global Research and Analysis Team
I gruppi di ransomware ci sorprendono continuamente e non smettono mai di sviluppare le loro tecniche e procedure. Quello che abbiamo osservato nell’ultimo anno e mezzo è che stanno gradualmente trasformando i loro servizi in vere e proprie aziende. Questo aspetto rende molto pericolosi anche gli aggressori dilettanti. Quindi, per rendere sicura la vostra azienda e proteggere i vostri dati personali, è molto importante aggiornare costantemente i vostri servizi di cybersecurity.