In questi anni i ransomware hanno popolato massicciamente il dark web e la loro ascesa è in continua evoluzione, nonostante alcune tra le gang più note abbiano smesso di operare.
Scovano metodi insoliti per attaccare le loro vittime e ricorrono al newsjacking per rendere gli attacchi ancora più rilevanti.
Kaspersky, in occasione dell’Anti-Ransomware Day, ha pubblicato un report che analizza le nuove tendenze relative a questa minaccia rilevate nel 2022. Il report è disponibile a questo link.
Cyber attacco di massa
Secondo il report, ultimamente i gruppi ransomware utilizzano funzionalità multipiattaforma con l’obiettivo di danneggiare quanti più sistemi possibili utilizzando lo stesso malware, scrivendo un codice che possa essere eseguito su più sistemi operativi contemporaneamente.
Conti, uno dei gruppi ransomware più attivi, ha sviluppato una variante che viene distribuita tramite affiliati selezionati e che prende di mira Linux. Verso la fine del 2021, i linguaggi di programmazione multipiattaforma Rust e Golang sono diventati ancora più popolari.
BlackCat, gruppo malware autoproclamatosi la “nuova generazione” e che dal dicembre 2021 ha attaccato più di 60 organizzazioni, ha scritto il suo malware utilizzando il linguaggio di programmazione Rust. Golang è stato utilizzato nel ransomware da DeadBolt, gruppo noto per i suoi attacchi a QNAP.
Inoltre, tra la fine del 2021 e l’inizio del 2022, i gruppi ransomware hanno portato avanti alcune attività per supportare i loro processi aziendali tra le quali: un rebranding sistematico che aveva l’obiettivo di distogliere l’attenzione delle autorità e l’aggiornamento degli strumenti di esfiltrazione.
Alcuni gruppi hanno sviluppato e implementato toolkit che assomigliavano a quelli di società di software legittime. Lockbit si distingue come esempio dell’evoluzione di un gruppo ransomware.
L’organizzazione vanta una serie di miglioramenti rispetto ai suoi rivali, tra cui aggiornamenti regolari e manutenzione dell‘infrastruttura. Inoltre, è stata la prima ad introdurre StealBIT, uno strumento di esfiltrazione ransomware personalizzato che permette di esfiltrare i dati molto velocemente – che dimostra il duro lavoro fatto dal gruppo nei processi di accelerazione del malware.
Gli esperti di Kaspersky hanno anche rilevato un ulteriore trend, frutto della situazione geopolitica, con particolare riferimento al conflitto in Ucraina, che ha avuto un forte impatto nel panorama dei ransomware. Secondo quanto rilevato, poco dopo l’inizio del conflitto, i gruppi ransomware si sono schierati, provocando attacchi politicamente motivati da parte di alcune gang sostenitrici della Russia o dell’Ucraina.
Uno tra i malware scoperti in seguito allo scoppio del conflitto è Freeud, sviluppato dai sostenitori dell’Ucraina. Freeud è dotato di funzionalità di cancellazione: se il malware contiene una lista di file, invece di criptarli li cancella dal sistema.
Alcuni suggerimenti per difendersi
Le minacce ransomware si evolvono e si espandono sia tecnologicamente che geograficamente, ma diventano anche più prevedibili. Questo permette di rilevarle con maggiore precisione e quindi di difendersi.
Kaspersky incoraggia le organizzazioni affinché adottino le misure necessarie per tutelarsi dagli attacchi ransomware:
- Mantenere sempre aggiornati tutti i dispositivi;
- Concentrarsi sulla strategia difensiva per rilevare movimenti laterali ed esfiltrazioni di dati su internet.
- Attivare la protezione ransomware per tutti gli endpoint.
- Installare soluzioni EDR e anti-APT
- Fornire al team SOC l’accesso alle più recenti risorse di threat intelligence (TI).