Crescono del 86,5% gli attacchi ransomware rispetto al primo trimestre 2021, con nuove minacce e vulnerabilità per le aziende, 11 delle quali non vengono rilevate dagli antimalware
Il mondo dei ransomware è in continua evoluzione, sono aumentati infatti rispetto allo scorso anno gli attacchi di questo tipo. Molti gruppi di hacker sono rimasti in attività, come Conti e LockBit, altri sono invece spariti dalla circolazione, come ad esempio Pysa.
Fanno preoccupare alcune novità relative al primo trimestre del 2022, provenienti da un report realizzato da CSW, Securin, Cyware e Ivanti, realtà specializzate in cybersecurity, in cui è affermato che sono cresciute circa del 7% le vulnerabilità sfruttate dai ransomware per colpire i malcapitati.
Sono state inoltre scoperte alcune vulnerabilità che non vengono rintracciate dagli antimalware, esponendo le aziende a gravi rischi.
Rispetto al 2021, ad aver avuto sicuramente un ruolo centrale nel panorama degli attacchi hacker è stata la guerra in Ucraina: molti gruppi hanno deciso di schierarsi con la Russia o con l’Ucraina, altri invece, mettendo al primo posto i loro interessi economici, hanno preferito rimanere neutrali nel conflitto.
Secondo Swascan, azienda operante nell’ambito della cybersecurity, nel primo trimestre del 2022 i ransomware sono cresciuti in maniera significativa a livello globale, toccando i 544 attacchi, rispetto ai 292 dell’anno precedente. Non solo, rispetto al 2021, nel corso di ogni mese gli attacchi sono aumentati vertiginosamente: da 89 (2021) a 112 (2022) a gennaio, da 85 a 200 a febbraio, e da 118 a 232 a marzo.
I gruppi più prolifici nel primo trimestre sono stati LockBit (220 attacchi) Conti (120), BlackCat (71) e infine una new-entry, ossia Stormous (50). Per quanto riguarda i primi due gruppi citati, l’obiettivo preferito di entrambi sono gli Stati Uniti, che hanno attaccato il 34,7% e il 57,9% delle volte, mentre l’Italia solamente lo 0,5% e il 3,5% delle volte.
Un trend che è emerso all’inizio del 2022 è stato quello del re-branding delle gang: infatti, alcune realtà, come ad esempio LockBit, hanno lavorato molto nell’ombra non solo per distogliere da loro l’attenzione dei media, ma anche per migliorare le proprie infrastrutture e diventare più efficaci, implementando soluzioni per sottrarre dati più rapidamente.
A maggio 2022 sono emersi altri dati estremamente rilevanti: secondo il threat debrief redatto da Bitdefender, dei ransomware che hanno colpito a maggio (207), due in particolare sono stati particolarmente attivi, si tratta di WannaCry (75 attacchi) e GandCrab (60). Gli Stati Uniti sono stati nuovamente la nazione maggiormente attaccata, con il 27% degli attacchi. Trova un relativo momento di respiro l’Italia, attaccata solamente l’8% delle volte in tutto il mese.
La nuova stagione della cybersecurity inglese
Le aziende e le organizzazioni del Regno Unito sembrano aver sviluppato una maggiore coscienza nell’ambito della sicurezza informatica. Nel corso dell’ultimo anno, si apprende, grazie al Cyber Security Breaches Survey 2022 realizzato dal governo inglese, che su un totale di 1243 sondate, soltanto il 4% ha subito un attacco ransomware, un numero molto minore se paragonato a quello dello scorso anno: 17%.
È dunque possibile aspettarsi che il Paese prosegua in questa direzione cercando di tutelare sempre maggiormente le sue infrastrutture e le sue aziende da questo tipo di attacchi.
Ransomware e geopolitica: la fuga dei dati di Conti
Il conflitto in corso in Ucraina non ha solo contribuito ad aumentare il numero di attacchi reciproci tra sostenitori di Russia e Ucraina, ma ha visto anche gruppi di hacker discutere internamente a causa di vedute diverse sul conflitto. Un caso esemplificativo è rappresentato da Conti, sostenitore della Russia, il quale, a causa di alcuni dissidenti interni pro-Ucraina ha avuto una grande fuoriuscita di informazioni.
Come risultato della fuoriuscita sono state pubblicate alcune delle chat del gruppo contenenti informazioni sensibili riguardo ai propri affari, il che ha avuto un impatto importante sul gruppo, trattandosi di un anno di conversazioni, circa 60.000 messaggi, e andando a rilevare informazioni sensibili. Ma recentemente Conti non è l’unico gruppo che ha preso parte al conflitto tra Ucraina e Russia, uno dei più recenti, che si sta lentamente facendo spazio tra nomi ben più noti è Stormous.
Stormous: un nuovo gruppo di hacker alla ribalta
Quest’anno un nuovo gruppo di hacker sta provando a imporsi come leader in questo settore: si tratta di Stormous, un gruppo di hacker pro-Russia molto attivi già nel primo trimestre del 2022 con ben 50 attacchi. Tra gli attacchi protratti più rilevanti si sottolineano quello al Ministero degli Affari Esteri ucraino, dopo il quale sono stati diffusi alcuni dei dati sottratti fra cui numeri di telefono, carte di identità e indirizzi email riservati.
Ma non solo il governo ucraino, altri bersagli del gruppo sono state importanti multinazionali operanti in svariati settori: Coca Cola, i cui dati sono stati messi in vendita sul dark web, Mattel, azienda operante nel mondo dei giochi per bambini e ragazzi e Danaher, grande gruppo industriale americano con sede a Washington.
Il pattern che si manifesta in questi attacchi è senza dubbio l’avversità del gruppo nei confronti degli Stati Uniti, probabilmente rei di sostenere l’Ucraina all’interno del conflitto.
Per un gruppo che arriva, uno se ne va: la fine di Pysa
Così com’è emerso il gruppo di hacker Stormous, uno è sparito dall’inizio del 2022: si tratta del gruppo Pysa, acronimo di “Protect your System amigo”, un gruppo di cybercriminali che ha registrato la sua ultima operazione il 13 gennaio 2022. Nonostante abbia cessato le proprie attività nel corso dello scorso gennaio, nei mesi precedenti il gruppo è stato tutt’altro che inattivo, essendo stato il quarto gruppo per attività nell’ultimo trimestre del 2021.
Il bersaglio preferito di questo gruppo sono stati gli Stati Uniti, con una percentuale di circa il 60% degli attacchi e il Regno Unito, con il 13% circa. Le operazioni venivano condotte con il tradizionale metodo ransomware: criptare i dati di un’organizzazione o di un’azienda per poi andare a chiedere un riscatto in denaro, che tuttavia non garantiva (e non garantisce tutt’oggi) la restituzione dei dati.
Cosa ci aspetta?
Con la situazione geopolitica che sembra non volersi calmare e con il numero di gang che continuano a crescere in maniera discontinua, è possibile aspettarsi che le aziende e le organizzazioni cerchino di tutelarsi sempre maggiormente per sfuggire a queste minacce. Grazie a uno studio approfondito, Bulletproof, un’azienda inglese operante nell’ambito della sicurezza informatica, ha stimato che un attacco a una piccola azienda costa mediamente 9.900 euro circa, mentre a una di dimensioni medio-grandi circa 15.000 euro.
È dunque chiaro che le aziende, specialmente quelle più piccole e con un fatturato più contenuto, debbano stare estremamente allerta quando navigano online per rischiare di incappare in questi incidenti, che possono rivelarsi molto costosi.
© RIPRODUZIONE RISERVATA
