Il secondo trimestre dell’anno ha visto i più alti volumi di attacchi ransomware di sempre, con Ryuk in testa. Ma quali sono i motivi der ransomware e da chi viene praticato?
L’aumento degli attacch ransomware del 2021: quali sono i motivi?
Finora il ransomware ha registrato un aumento significativo nel 2021, con un volume di attacchi globale in aumento del 151% per i primi sei mesi dell’anno rispetto alla metà dell’anno precedente. Nel frattempo, l’FBI ha avvertito che ora ci sono 100 diversi ceppi che circolano in tutto il mondo. Dal punto di vista dei numeri fissi, il flagello del ransomware ha colpito l’incredibile numero di 304,7 milioni di tentativi di attacchi all’interno della telemetria di SonicWall Capture Labs. Per metterlo in prospettiva, l’azienda ha registrato 304,6 milioni di tentativi di ransomware per l’intero 2020.
Chi sono gli autori degli attacchi ransomware?
Esistono due categorie principali di autori di ransomware: gruppi criminali organizzati e attori statali.
Gruppi criminali organizzati
I criminali organizzati che operano principalmente nell’Europa orientale inizialmente hanno utilizzato un approccio ransomware “ampio e superficiale” per trovare le vittime. I loro attacchi utilizzavano kit di spam per diffondere software infetto da virus rapidamente e indiscriminatamente, a volte a centinaia di migliaia di vittime in un singolo attacco. Questi aggressori hanno spesso sviluppato un’infrastruttura altamente automatizzata per gestire infezioni, pagamenti, decrittazione e riciclaggio. In genere richiedevano piccoli pagamenti di riscatto; è stato un attacco ad alto volume e basso valore in dollari. L’infrastruttura impiegata in questi attacchi ha beneficiato fortemente degli “effetti di rete” presenti nei circoli della criminalità organizzata, in cui i criminali potevano semplicemente collegarsi a meccanismi di riciclaggio ben gestiti costruiti e utilizzati dalla loro “rete”.
Gli attori statali
I ransomware statali provengono in genere da paesi pesantemente sanzionati come la Corea del Nord, l’Iran e la Russia. Operano per una serie di motivi, non solo per rubare fondi, ma anche per seminare il caos per i loro avversari. Ad esempio, NotPetya è stato un attacco ransomware diffuso condotto dal GRU, il braccio di intelligence dell’esercito russo.
Gli attacchi geopolitici
NotPetya non ha mai sviluppato un meccanismo di pagamento funzionante; gli aggressori potrebbero non aver mai avuto intenzione di decifrare alcun file. Dato il gran numero di vittime ucraine, sembra che l’obiettivo primario di NotPetya fosse il sabotaggio e lo sconvolgimento geopolitico. Allo stesso modo, l’attacco ransomware WannaCry, collegato al gruppo di criminali informatici nordcoreani “Lazarus”, non ha avuto casi noti di decrittazione. Questo è stato un altro attacco senza una vera infrastruttura per la gestione dei pagamenti del riscatto. Aveva solo tre indirizzi di pagamento e non c’era un modo chiaro per comunicare con le vittime. È improbabile che il guadagno finanziario fosse l’obiettivo principale, ma è difficile discernere un motivo fondamentale. Forse gli aggressori stavano sperimentando nuove tecnologie o l’attacco era un tentativo di sabotaggio che sembrava un ransomware. Oppure WannaCry potrebbe essere semplicemente “scappato” e ha colpito accidentalmente più persone di quanto originariamente previsto.
Questi sono gli stati più a rischio di attacchi ransomware
Gli attacchi ransomware sono in aumento. I dati pubblicati all’inizio di questo mese da Proofpoint hanno rilevato che le richieste di ransomware sono aumentate del 320 percento nell’ultimo anno. Anche i pagamenti sono in aumento poiché molte vittime si trovano nella posizione poco invidiabile e insostenibile di essere costrette a pagare semplicemente per riottenere l’accesso ai loro sistemi essenziali. Con più lavoro da remoto e più affidamento che mai su questi sistemi, è probabile che gli attacchi ransomware continuino a crescere come minaccia, ma c’è un fattore che potresti non aver considerato in termini di rischio: la geografia. Secondo i dati pubblicati da PC Matic, alcuni stati vengono colpiti da ransomware a un ritmo inaspettatamente elevato.
La geografia del rischio
I ricercatori del produttore di software antivirus hanno esaminato centinaia di attacchi ransomware che hanno colpito aziende, piccole imprese e agenzie governative negli ultimi quattro anni e hanno determinato quali stati sono stati colpiti più duramente. Hanno scoperto che la California è stata la più colpita, subendo un totale di 44 attacchi ransomware significativi dal 2016. Il Texas è stato il secondo più colpito, con 36 attacchi all’interno del suo confine. La Georgia, che notoriamente ha visto due principali comuni colpiti duramente dal ransomware – Atlanta nel 2018 e Hall County nel 2020 – ha visto il terzo maggior numero di attacchi con 24. Florida e New York hanno completato i primi cinque, entrambi colpiti con 21 degni di nota attacchi.
I danni negli USA
Molti di questi stati hanno senso come obiettivi primari degli aggressori. Ma su base pro capite, altri stati sono stati colpiti più duramente. Il Montana ha subito quattro importanti attacchi ransomware negli ultimi quattro anni, tutti rivolti ai sistemi scolastici di tutto lo stato. Si tratta di un numero eccessivo di attacchi data la scarsa popolazione dello stato. Il Connecticut è stato il terzo paese più colpito su base pro capite, subendo un totale di 13 attacchi negli ultimi quattro anni. Lo stato più colpito dal ransomware su base pro capite è stato l’Alaska, che ha subito quattro attacchi in totale negli ultimi quattro anni.
Attacco hacker alla Regione Lazio: colpito anche centro vaccinale
Perché vengono colpiti obiettivi “piccoli” come la Regione Lazio?
C’è una ragione per cui gli aggressori prendono di mira stati e comuni che possono sembrare piccoli e meno significativi rispetto a colpire una multinazionale o una grande metropoli: hanno meno probabilità di avere il supporto tecnico necessario per proteggersi e saranno più propensi a pagare se colpiti. I reparti IT a corto di personale che sono già a corto di risorse per gestire il lavoro remoto o l’apprendimento remoto possono semplicemente scegliere di pagare il prezzo che gli aggressori vogliono continuare a operare piuttosto che tentare di ripristinare dai backup o attendere l’attacco. I pesci grandi possono significare un rendimento maggiore, ma i pesci piccoli sono più facili da recuperare.
