I ransomware hanno fatto molta strada: inizialmente clandestini e amatoriali, si sono trasformati in vere e proprie aziende, con marchi e stili distintivi che competono tra di loro sul dark web. Ma soprattutto continuano a svilupparsi e ad avere successo nonostante alcune tra le gang più note abbiano smesso di operare. Scovano metodi insoliti per attaccare le loro vittime e ricorrono al newsjacking per rendere gli attacchi ancora più rilevanti. Gli esperti di Kaspersky monitorano costantemente le attività dei gruppi ransomware e, in occasione dell’Anti-Ransomware Day, hanno pubblicato un report che analizza le nuove tendenze relative a questa minaccia rilevate nel 2022.
Il primo trend degno di nota riguarda il prolifico utilizzo di funzionalità multipiattaforma da parte dei gruppi ransomware. Ultimamente puntano a danneggiare quanti più sistemi possibili utilizzando lo stesso malware, scrivendo un codice che possa essere eseguito su più sistemi operativi contemporaneamente. Conti, uno dei gruppi ransomware più attivi, ha sviluppato una variante che viene distribuita tramite affiliati selezionati e che prende di mira Linux. Verso la fine del 2021, i linguaggi di programmazione multipiattaforma Rust e Golang sono diventati ancora più popolari. BlackCat, gruppo malware autoproclamatosi la “nuova generazione” e che dal dicembre 2021 ha attaccato più di 60 organizzazioni, ha scritto il suo malware utilizzando il linguaggio di programmazione Rust. Golang è stato utilizzato nel ransomware da DeadBolt, gruppo noto per i suoi attacchi a QNAP.
Inoltre, tra la fine del 2021 e l’inizio del 2022, i gruppi ransomware hanno portato avanti alcune attività per supportare i loro processi aziendali tra le quali: un rebranding sistematico che aveva l’obiettivo di distogliere l’attenzione delle autorità e l’aggiornamento degli strumenti di esfiltrazione. Alcuni gruppi hanno sviluppato e implementato toolkit che assomigliavano a quelli di società di software legittime. Lockbit si distingue come esempio dell’evoluzione di un gruppo ransomware. L’organizzazione vanta una serie di miglioramenti rispetto ai suoi rivali, tra cui aggiornamenti regolari e manutenzione dell‘infrastruttura. Inoltre, è stata la prima ad introdurre StealBIT, uno strumento di esfiltrazione ransomware personalizzato che permette di esfiltrare i dati molto velocemente – che dimostra il duro lavoro fatto dal gruppo nei processi di accelerazione del malware.
Il terzo trend rilevato dagli esperti di Kaspersky è frutto della situazione geopolitica, con particolare riferimento al conflitto in Ucraina, che ha avuto un forte impatto nel panorama dei ransomware. Nonostante tali attacchi siano spesso associati agli attori APT (minacce avanzate e persistenti), Kaspersky ha rilevato alcune importanti attività sui forum di criminalità informatica e azioni da parte di gruppi ransomware in risposta alla situazione. Poco dopo l’inizio del conflitto, i gruppi ransomware si sono schierati, provocando attacchi politicamente motivati da parte di alcune gang sostenitrici della Russia o dell’Ucraina. Uno tra i malware scoperti in seguito allo scoppio del conflitto è Freeud, sviluppato dai sostenitori dell’Ucraina. Freeud è dotato di funzionalità di cancellazione: se il malware contiene una lista di file, invece di criptarli li cancella dal sistema.
Dmitry Galov, senior security researcher del Global Research and Analysis Team di Kaspersky, ha dichiarato: “Se lo scorso anno avevamo dichiarato che i ransomware stessero germogliando, quest’anno possiamo affermare che siano in piena fioritura. Sebbene la maggior parte dei gruppi ransomware rilevati nel 2021 siano stati costretti ad abbandonare, sono comparsi nuovi attori con tecniche mai viste prima. Ciononostante, man mano che le minacce ransomware si evolvono e si espandono sia tecnologicamente che geograficamente, diventano anche più prevedibili. Questo ci aiuta a rilevarle con maggiore precisione e quindi a difenderci”.
È possibile avere maggiori informazioni sui trend dei gruppi ransomware approfondendo il report completo disponibile a questo link.
Il 16 maggio alle ore 16, Dmitry Galov, security research di GreAT, parlerà delle ultime tendenze del mercato dei ransomware, concentrandosi sui nuovi gruppi, le loro tecniche e i loro bersagli. È possibile registrarsi al webinar tramite questo link: https://kas.pr/mx4e
In occasione dell’Anti-Ransomware Day, Kaspersky incoraggia le organizzazioni affinché adottino le seguenti misure per tutelarsi dagli attacchi ransomware:
⦁ Mantenere sempre aggiornati tutti i dispositivi per evitare che gli attaccanti ne sfruttino le vulnerabilità e riescano ad infiltrarsi nella rete;
⦁ Concentrarsi sulla strategia difensiva per rilevare movimenti laterali ed esfiltrazioni di dati su internet. Fare particolare attenzione al traffico in uscita per controllare se i criminali informatici siano riusciti a collegarsi alla rete. Impostare dei backup offline che i criminali informatici non possano manomettere e assicurarsi di riuscire ad accedervi rapidamente quando necessario o in caso di emergenza.
⦁ Attivare la protezione ransomware per tutti gli endpoint. La versione gratuita di ⦁ Kaspersky Anti-Ransomware Tool for Business protegge i computer e i server dai ransomware e da altri tipi di malware, contiene una funzione di prevenzione degli exploit ed è compatibile con soluzioni di sicurezza già installate;
⦁ Installare soluzioni EDR e anti-APT, in modo da poter abilitare le funzionalità avanzate di threat detection per l’analisi delle minacce e la risoluzione tempestiva degli incidenti. Si consiglia anche di fornire al team SOC l’accesso alle più recenti risorse di threat intelligence, con regolari aggiornamenti erogati da formatori professionisti. ⦁ Kaspersky Expert Security framework offre tutte le funzionalità necessarie menzionate sopra;
⦁ Fornire al team SOC l’accesso alle più recenti risorse di threat intelligence (TI). Kaspersky Threat Intelligence Portal è un portale che consente di accedere alle risorse TI di Kaspersky, fornendo dati e informazioni sugli attacchi informatici raccolti dal nostro team in oltre 20 anni di ricerca. Per aiutare le aziende ad implementare difese efficaci durante questo periodo difficile, Kaspersky ha annunciato che offrirà accesso gratuito ad informazioni indipendenti, aggiornate e di livello globale relative ad attacchi e minacce informatiche. È possibile richiedere l’accesso all’offerta tramite questo ⦁ link.
Informazioni su Kaspersky
Kaspersky è un’azienda di sicurezza informatica e digital privacy che opera a livello globale fondata nel 1997. La profonda competenza di Kaspersky in materia di threat intelligence e sicurezza si trasforma costantemente in soluzioni e servizi innovativi per proteggere le aziende, le infrastrutture critiche, i governi e gli utenti di tutto il mondo. L’ampio portfolio di soluzioni di sicurezza dell’azienda include la protezione degli Endpoint leader di settore e una serie di soluzioni e servizi specializzati per combattere le minacce digitali sofisticate e in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky e aiutiamo 240.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: https://www.kaspersky.it/
