Gli attacchi ransomware sono diventati più sofisticati e si prevede che il livello di complessità, sofisticatezza e spietatezza aumentino oltre che i criminali informatici personalizzino sempre do più le campagne per aumentare le possibilità di sempre più ricchi guadagni
Gli attacchi ransomware stanno diventando sempre più sofisticati poiché i criminali informatici continuano a sviluppare nuove tecniche per rendere le campagne più efficaci e aumentare le loro possibilità di richiedere con successo il pagamento di un riscatto.
Secondo l’agenzia europea delle forze dell’ordine Europol, c’è stato un aumento del 300% del numero di pagamenti di riscatto solo tra il 2019 e il 2020 – e ciò non tiene conto del fatto che il 2021 sia stato un altro anno eccezionale per i criminali informatici in termini di attacchi ransomware, poiché hanno preso vantaggio delle vulnerabilità di sicurezza presentate dall’aumento del lavoro a distanza.
L’Internet Organised Crime Threat Assessment (IOCT) di Europol mostra che mentre il cybercrime, inclusi malware e attacchi DDoS, continua a evolversi, sono gli attacchi ransomware che hanno portato ad una notevole interruzione nel corso dell’ultimo anno.
Diversi incidenti importanti in cui i criminali informatici hanno preso di mira supply chain, infrastrutture critiche, ospedali e altro hanno dimostrato quanto possa essere dirompente un attacco ransomware di successo.
Nel disperato tentativo di ottenere la chiave di decrittazione necessaria per decrittografare file e server crittografati, molte organizzazioni vittime di attacchi ransomware pagheranno il riscatto, che può costare milioni di dollari in Bitcoin o altre criptovalute.
Uno dei motivi per cui gli attacchi ransomware sono diventati più efficaci è perché i criminali informatici sono diventati più pratici con le campagne. Invece di tentare la distribuzione di massa di ransomware e sperare che alcuni attacchi abbiano successo, i criminali informatici stanno selezionando un numero minore di obiettivi, ma scegliendoli sulla base del fatto che è più probabile che paghino un riscatto.
“L’uso del tradizionale ransomware distribuito in massa sembra essere in declino e gli autori si stanno spostando verso ransomware operati dall’uomo mirati alle aziende private, ai settori sanitario e dell’istruzione, alle infrastrutture critiche e alle istituzioni governative”, afferma il rapporto.
“Il cambiamento nel paradigma di attacco indica che gli operatori di ransomware scelgono i loro obiettivi in base alla loro capacità finanziaria di soddisfare richieste di riscatto più elevate e alla loro necessità di poter riprendere le loro operazioni il più rapidamente possibile”.
I gruppi ransomware Conti, Maze, Avaddon e Babuk sono alcuni di quelli che le note cartacee utilizzano questi metodi.
L’attenzione a un numero ridotto di obiettivi consente inoltre ai criminali informatici di dedicare più tempo a prepararsi affinché gli attacchi siano il più distruttivi possibile, rubando ulteriori dettagli di accesso per spostarsi nella rete e crittografare il maggior numero possibile di file e server. Più dati vengono crittografati, più è probabile che una vittima debba pagare il riscatto.
“Gli attacchi ransomware sono diventati più sofisticati poiché i criminali trascorrono più tempo all’interno della rete per ricercare l’obiettivo e aumentare i propri privilegi al fine di compromettere ulteriormente l’infrastruttura e mettere le mani su più dati“, afferma il rapporto.
Inoltre, i criminali informatici ruberanno dati e minacceranno di pubblicarli se il riscatto non viene pagato. L’uso di questi attacchi di doppia estorsione si è dimostrato efficace contro le organizzazioni che non vogliono che le informazioni sensibili vengano rese pubbliche.
Il documento rileva inoltre che alcuni attacchi ransomware hanno iniziato a minacciare le vittime di ulteriori interruzioni tramite attacchi DDoS se non pagano il riscatto.
“Gli autori continuano a essere sempre più spietati e metodici nei loro modi operandi”, ha affermato Europol: “Negli ultimi 12 mesi, l’arsenale di metodi coercitivi si è ampliato con giornalisti che chiamano a freddo, clienti delle vittime, partner commerciali e dipendenti. Inoltre, molti dei più famosi programmi di affiliazione ransomware distribuiscono attacchi DDoS contro le loro vittime per costringerle a soddisfare la richiesta di riscatto.
Sebbene il ransomware e altri crimini informatici siano ancora un problema molto significativo per le aziende, ci sono state anche alcune vittorie nell’ultimo anno. Il documento descrive in dettaglio come un’operazione internazionale che coinvolge Europol, l’FBI e altri ha contribuito a smantellare la botnet Emotet, impedendo ai criminali informatici di utilizzare Emotet come punto di ingresso per attacchi ransomware, anche se alla fine si sono spostati su altri metodi di distribuzione.