Nei primi dieci mesi del 2022, la percentuale di utenti attaccati da ransomware mirati è quasi raddoppiata rispetto allo stesso periodo del 2021; una crescita così impressionante indica che le organizzazioni di ransomware hanno continuato a perfezionare le loro tecniche, sia quelle più famose che quelle emergenti: seguendo gli sviluppi nel mondo dei ransomware, l’ultimo report di Kaspersky sul crimeware del 2022 rivela nuove funzionalità introdotte dal famigerato gruppo “LockBit” e un nuovo arrivato, “Play“, che sfrutta tecniche di auto-propagazione.
Secondo le soluzioni di sicurezza Kaspersky, la percentuale di utenti colpiti da attacchi ransomware mirati rappresenta lo 0,026% di tutti gli utenti attaccati da malware nel 2022, rispetto allo 0,016% del 2021. Queste cifre dimostrano che i criminali informatici stanno passando da attacchi opportunistici ad attacchi ransomware mirati per raggiungere i loro obiettivi, sostiene la società di cybersecurity.
Come dimostrano le recenti indagini di Kaspersky, i gruppi di ransomware continuano a migliorare le loro tecniche. Uno di questi, Lockbit, rimane una delle varianti di ransomware più popolari, innovative e in rapido sviluppo attualmente in uso.
Questo gruppo continua a creare insidie agli specialisti della cybersecurity aggiungendo nuove opzioni, come la pratica del dumping delle credenziali. Questa tecnica prevede che l’attore possa prendere il controllo del dominio del computer infetto e creare una named pipe per reimpostare le credenziali del sistema operativo.
Tuttavia, continuano a emergere nuove varianti di ransomware. Nel corso del 2022, Kaspersky ha rilevato oltre 21.400 varianti di ransomware.
La scoperta più recente di Kaspersky è “Play“, una nuova variante di ransomware altamente offuscata che rende più difficile l’analisi. Il suo codice non ha alcuna somiglianza con altri campioni di ransomware, ma fortunatamente Play è nelle prime fasi di sviluppo. Quando è stata condotta l’indagine, spiega la società di cybersecurity, non è stato possibile individuare la posizione della violazione e alle vittime è stato richiesto di contattare i criminali tramite un indirizzo email lasciato nella nota di riscatto.
Ciò che ha attirato l’attenzione dei ricercatori è che Play contiene una funzionalità che è stata recentemente riscontrata in altre varianti avanzate di ransomware: l’auto propagazione. In primo luogo, gli attaccanti trovano un server message block (SMB) e stabiliscono una connessione. Successivamente, Play cerca di montare il suddetto SMB e di distribuire ed eseguire il ransomware nel sistema remoto.
“Gli sviluppatori di ransomware tengono d’occhio il lavoro dei concorrenti. Se uno di loro implementa con successo una determinata funzionalità, è molto probabile che anche altri lo facciano. Questo rende il loro ransomware più interessante per i loro affiliati. L’auto propagazione del ransomware ne è un chiaro esempio. Sempre più gruppi di ransomware adottano tecniche inventive che rendono gli attacchi ransomware ancora più mirati e distruttivi, e le statistiche di quest’anno lo dimostrano. Un’altra cosa che non smetteremo mai di ricordare al pubblico è la necessità di effettuare backup regolari e di conservarli offline”, ha commentato Jornt van der Wiel, Security Expert di Kaspersky.
Per ulteriori informazioni sull’ultimo report di Kaspersky sul crimeware, è possibile consultare Securelist.
Per proteggersi da questi attacchi ransomware, Kaspersky consiglia di:
- Non esporre i servizi di remote desktop (come RDP) alle reti pubbliche se non è assolutamente necessario e utilizzare sempre password forti per questi servizi.
- Installare tempestivamente le patch disponibili per le soluzioni VPN commerciali che forniscono accesso ai dipendenti remoti e fungono da gateway nella rete.
- Concentrare la strategia di difesa sul rilevamento dei movimenti laterali e dell’esfiltrazione dei dati verso Internet. Prestare particolare attenzione al traffico in uscita per individuare le connessioni dei criminali informatici.
- Eseguire regolarmente il backup dei dati. Verificare che sia possibile accedervi rapidamente in caso di emergenza.
- Utilizzare soluzioni come Kaspersky Endpoint Detection and Response Expert e il servizio Kaspersky Managed Detection and Response che aiutano a identificare e fermare l’attacco nelle fasi iniziali, prima che gli attaccanti raggiungano i loro obiettivi finali.
- Utilizzare le informazioni più recenti di Threat Intelligence per essere sempre al corrente delle attuali TTP utilizzate dagli attori delle minacce. Kaspersky Threat Intelligence Portal è un unico punto di accesso per la TI di Kaspersky, che fornisce dati e approfondimenti sui cyberattacchi raccolti dal team da 25 anni. Per aiutare le aziende a mettere in atto difese efficaci in questi tempi turbolenti, Kaspersky ha annunciato l’accesso gratuito a informazioni indipendenti, continuamente aggiornate e di provenienza globale sui cyberattacchi e sulle minacce in corso. È possibile richiedere l’accesso all’offerta sul sito di Kaspersky.
