Nel 2022 le organizzazioni di ransomware hanno continuato a perfezionare le loro tecniche e secondo l’ultimo report di Kaspersky sul crimeware nei primi dieci mesi del 2022 la percentuale di utenti attaccati da ransomware mirati è quasi raddoppiata rispetto al 2021. In particolare, nel 2022 la percentuale di utenti colpiti da attacchi ransomware mirati rappresenta lo 0,026% di tutti gli utenti attaccati da malware. Nel 2021 era lo 0,016%. Sono cifre che dimostrano come i criminali informatici per raggiungere i loro obiettivi stiano passando da attacchi opportunistici ad attacchi ransomware mirati.
Non solo Lockbit: le varianti sono oltre 21.400
I gruppi di ransomware continuano a migliorare le loro tecniche. Uno di questi, Lockbit, rimane una delle varianti di ransomware più popolari, innovative e in rapido sviluppo attualmente in uso. Questo gruppo continua a creare insidie agli specialisti della cybersecurity aggiungendo nuove opzioni, come la pratica del dumping delle credenziali, una tecnica che prevede che l’attore possa prendere il controllo del dominio del computer infetto e creare una named pipe per reimpostare le credenziali del sistema operativo. Tuttavia, continuano a emergere nuove varianti di ransomware. Nel corso del 2022, Kaspersky ha rilevato oltre 21.400 varianti di ransomware.
L’ultima scoperta è Play
La scoperta più recente è Play, una nuova variante di ransomware altamente offuscata che rende più difficile l’analisi. Il suo codice non ha alcuna somiglianza con altri campioni di ransomware, ma fortunatamente Play è nelle prime fasi di sviluppo. Quando è stata condotta l’indagine non è stato possibile individuare la posizione della violazione, e alle vittime è stato richiesto di contattare i criminali tramite un indirizzo e-mail lasciato nella nota di riscatto.
Ciò che ha attirato l’attenzione dei ricercatori è che Play contiene una funzionalità recentemente riscontrata in altre varianti avanzate di ransomware: l’auto-propagazione. In pratica, gli attaccanti trovano un server message block (SMB) e stabiliscono una connessione. Successivamente, Play cerca di montare il suddetto SMB e distribuire ed eseguire il ransomware nel sistema remoto.
Tecniche sempre più inventive
“Gli sviluppatori di ransomware tengono d’occhio il lavoro dei concorrenti. Se uno di loro implementa con successo una determinata funzionalità, è molto probabile che anche altri lo facciano – commenta Jornt van der Wiel, Security Expert di Kaspersky -. Sempre più gruppi di ransomware adottano tecniche inventive che rendono gli attacchi ransomware ancora più mirati e distruttivi, e le statistiche di quest’anno lo dimostrano. Un’altra cosa che non smetteremo mai di ricordare al pubblico è la necessità di effettuare backup regolari e di conservarli offline”.