Kaspersky: come la scomparsa dei principali gruppi criminali influenza le tendenze del ransomware per il 2023

Per diversi anni il ransomware ha fatto notizia. Nella ricerca di profitto, i criminali informatici hanno preso di mira ogni tipo di organizzazione, dalle istituzioni sanitarie ed educative ai fornitori di servizi fino alle realtà industriali, colpendo praticamente ogni aspetto della vita quotidiana. Ancora oggi questi gruppi riescono a escogitare nuove tecniche elaborate o addirittura ad adottare caratteristiche delle precedenti bande top player che hanno attualmente cessato l’attività. In occasione dell’Anti-Ransomware Day, #Kaspersky ha pubblicato un nuovo report che analizza le previsioni sui ransomware dello scorso anno e fornisce indicazioni sull’evoluzione nel 2023.

Nel 2022, le soluzioni di #Kaspersky hanno rilevato oltre 74,2 milioni di tentativi di attacchi ransomware, con un aumento del 20% rispetto al 2021 (61,7 milioni). Allo stesso tempo, all’inizio del 2023 è stato registrato un leggero calo del numero di attacchi ransomware, nonostante siano diventati più sofisticati e mirati. Inoltre, i primi cinque gruppi ransomware più influenti e prolifici sono cambiati drasticamente nell’ultimo anno. I gruppi REvil e Conti, che nel primo semestre 2022 erano rispettivamente al secondo e al terzo posto per numero di attacchi, nel primo trimestre del 2023 sono stati sostituiti da Vice Society e BlackCat, che insieme a Clop e Royal rientrano nella TOP5.

Il riesame delle tendenze del ransomware dello scorso anno mostra che tutte persistono. Nel corso del 2022 e all’inizio del 2023, ci sono state diverse variazioni del ransomware multipiattaforma che hanno attirato l’attenzione dei ricercatori, come Luna e Black Basta. Anche le bande ransomware si sono industrializzate con gruppi come BlackCat che hanno modificato le loro tecniche nel corso dell’anno. Per ora i dipendenti delle organizzazioni vittime devono verificare se sono stati inseriti nei dati rubati, aumentando così la pressione sull’azienda colpita affinché paghi un riscatto. La situazione geopolitica ha visto alcuni gruppi ransomware schierarsi nei conflitti, tra cui lo stealer Eternity. Il gruppo che ne è alla base ha creato un intero ecosistema, con una nuova variante di ransomware.

Per il 2023, gli esperti di #Kaspersky hanno presentato tre tendenze chiave per lo sviluppo delle minacce ransomware. Il primo si riferisce a un maggior numero di funzionalità integrate utilizzate da vari gruppi ransowmare, come la diffusione autonoma o una sua imitazione. Black Basta, LockBit e Play sono tra gli esempi più significativi di ransomware che si propagano autonomamente.

La nuova tendenza emersa di recente è l’abuso dei driver per scopi dannosi, un vecchio trucco. Alcune vulnerabilità nei driver AV sono state sfruttate dalle famiglie di ransomware AvosLocker e Cuba, ma le osservazioni degli esperti #Kaspersky mostrano che anche il settore del gaming può essere vittima di questo tipo di attacchi. Secondo il report, il driver anti-cheat di Genshin Impact è stato utilizzato per disattivare la protezione endpoint sul computer di destinazione. La tendenza continua a essere osservata con vittime di alto profilo, come le istituzioni governative dei Paesi europei.

Infine, gli esperti di #Kaspersky richiamano l’attenzione su come le più grandi bande ransomware stiano adottando funzionalità da codici trapelati o venduti da altri criminali informatici, che possono migliorare le prestazioni del loro malware. Recentemente LockBit ha adottato almeno il 25% del codice trapelato da Conti e ha rilasciato una nuova versione basata interamente su di esso. Questo tipo di iniziative fornisce agli affiliati analogie e facilitazioni per lavorare con famiglie di ransomware con cui erano precedentemente abituati a operare. Tali iniziative possono rafforzare le loro capacità offensive, e questo dovrebbe essere tenuto presente nella strategia di difesa delle aziende.

“I gruppi di ransomware ci sorprendono continuamente e non smettono mai di sviluppare le loro tecniche e procedure. Quello che abbiamo osservato nell’ultimo anno e mezzo è che stanno gradualmente trasformando i loro servizi in vere e proprie aziende. Questo aspetto rende molto pericolosi anche gli aggressori dilettanti. Quindi, per rendere sicura la vostra azienda e proteggere i vostri dati personali, è molto importante aggiornare costantemente i vostri servizi di cybersecurity”, ha commentato Dmitry Galov, Senior Security Researcher di Kaspersky’s Global Research and Analysis Team.

Per ulteriori informazioni sulle tendenze attuali del ransomware, è possibile consultare il report completo su Securelist.

• L’11 maggio alle ore 16:00, Sergey Lozhkin, Dmitry Galov, Marc Rivero e Dan Demeter, GReAT di #Kaspersky, discuteranno le ultime tendenze del mercato del ransomware, concentrandosi sui nuovi gruppi, le loro tecniche e i loro obiettivi. Per partecipare al webinar è necessario registrarsi al seguente link: https://kas.pr/u9i6

In occasione dell’Anti-Ransomware Day, che ricorre il 12 maggio, #Kaspersky incoraggia le organizzazioni a seguire queste best practice che aiutano a proteggere l’azienda dal ransomware:

• Aggiornare costantemente il software su tutti i dispositivi che vengono utilizzati per evitare che i cybercriminali sfruttino le vulnerabilità e si infiltrino nella rete.
• Concentrare la propria strategia di difesa sul rilevamento dei movimenti laterali e dell’esfiltrazione dei dati da #internet. Prestare particolare attenzione al traffico in uscita per rilevare le connessioni dei criminali informatici alla vostra rete. Impostare il backup offline che gli intrusi non possono manomettere. Assicurarsi di potervi accedere rapidamente in caso di necessità o emergenza.
• Attivare la protezione ransomware per tutti gli endpoint. Esiste uno strumento gratuito Kaspersky Anti-Ransomware Tool for Business che protegge computer e server da ransomware e altri tipi di malware, previene gli exploit ed è compatibile con le soluzioni di sicurezza già installate.
• Installare soluzioni anti-APT e EDR, che consentano di individuare e rilevare le minacce in modo avanzato così come indagare e risolvere tempestivamente gli indicenti. Fornire al team SOC l’accesso alle informazioni più recenti sulle minacce e aggiornarlo regolarmente con una formazione professionale. Tutto questo è disponibile all’interno del framework Kaspersky Expert Security.

Fornire al proprio team SOC l’accesso alle informazioni più recenti sulle minacce (TI). #Kaspersky Threat Intelligence Portal è un unico punto di accesso per le informazioni sulle minacce di Kaspersy, che fornisce dati sui cyberattacchi e approfondimenti raccolti dal nostro team in oltre 20 anni di attività. Per aiutare le aziende a mettere in atto difese efficaci in questi tempi difficili, #Kaspersky ha annunciato l’accesso gratuito a informazioni indipendenti, continuamente aggiornate e di provenienza globale sui cyberattacchi e le minacce in corso.