I ransomware sono sempre presenti, ma gli emuli di WannaCry e NotPetya sono meno dannosi del passato.
Famiglie di ransomware come Locky, Cerber e Jaff non sono riuscite a tenere il passo con WannaCry anche se hanno svolto tranquillamente svolto la loro attività, aggiornando le loro infezioni e le tattiche di distribuzione. E nel caso di Cerber hanno anche acquisito la capacità di rubare le criptovalute.
Tuttavia, secondo il report di Malwarebytes Cybercrime tactics and techniques Locky e Cerber non hanno prodotto particolari danni. Secondo i ricercatori gli attacchi di ransomware contro i consumatori sono in massiccio declino anche se c’è stato un piccolo aumento degli attacchi contro le imprese.
È un’indicazione che il ransomware non è ancora morto, ma le sue tattiche stanno cambiando, con quello che il rapporto descrive come un “passaggio di guardia” in corso. Nel caso di Cerber, il rapporto afferma che è “improbabile” che ritorni alla posizione di vertice in classifica dopo l’arresto dei membri di un gruppo criminale.
Locky e Jaff sono anche descritti come “effettivamente fuori gioco per il momento” dopo “essere sospettosamente scomparsi dal panorama delle minacce”. Tuttavia, non sarebbe saggio pensare totalmente che vecchie glorie del calibro di Locky siano andati per sempre, perché possono sempre tornare.
I ransomware possono tornare sotto altre forme
Esiste sempre infatti la possibilità che qualcuno possa farli rivivere, specialmente se implementati in un modo che non è mai stato visto prima. È possibile essere così concentrati sulle nuove minacce che arrivano dalla pipeline che una piccola modifica a una vecchia truffa facciano miracoli per gli autori di malware.
Nel frattempo, altre famiglie di ransomware stanno cercando di colmare il vuoto, anche se nessuno lo ha fatto con la stessa efficacia di queste varianti classiche. Una delle forme più efficaci di nuovo ransomware è stato GandCrab, consegnato tramite due kit di exploit, che richiede il pagamento in valuta criptata Dash piuttosto che bitcoin.
I ricercatori notano che, mentre gli attori delle minacce stanno sperimentando una diminuzione dei profitti derivanti dal ransomware, casi come il recente arrivo di GandCrab dimostrano come stiano ancora testando trucchi e tattiche differenti per guadagnare qualcosa dalla distribuzione del malware con crittografia dei file.
SamSam fornisce anche un interessante caso di studio su come particolari forme di riscatto stiano ancora dimostrando di essere altamente efficaci, con i cybercriminali che si preparano ad attacchi contro grandi organizzazioni al fine di ottenere grandi profitti. Un ospedale dell’Indiana e la città di Atlanta sono vittime recenti di SamSam, il che dimostra quanto possa ancora essere efficace il riscatto.
La relazione rileva che questo tipo di attacco contro le grandi organizzazioni potrebbe rappresentare la strada da seguire per coloro che si occupano di ransomware. Ma mentre coloro che sono pesantemente coinvolti in questa minaccia possono ancora trarne vantaggio, non sembra che il ransomware raggiungerà i suoi precedenti livelli di distribuzione diffusa – a meno che non ci sia una sorta di improvviso cambiamento di direzione.
“Il prossimo trimestre vedrà un continuo utilizzo ed evoluzione delle poche famiglie di ransomware che abbiamo visto quest’anno, tuttavia, se vedremo un ritorno ai livelli di distribuzione che abbiamo osservato negli anni precedenti è tutto da vedere”, dice il rapporto.
Come molti hanno osservato nel corso del 2018, il declino del ransomware sembra aver coinciso con l’aumento dell’attività di estrazione di valuta crittografica, diventata redditizia per i criminali informatici, ma senza la necessità di alcun coinvolgimento da parte della vittima.
