Gli attacchi ransomware non mostrano segni di rallentamento nel 2023: un nuovo report del team Threat Intelligence di Malwarebytes mostra 1.900 attacchi ransomware totali in soli quattro Paesi – Stati Uniti, Germania, Francia e Regno Unito – in un anno.
I risultati, raccolti nel report State of Ransomware 2023, mostrano tendenze allarmanti nell’ondata globale di ransomware da luglio 2022 a giugno 2023. Ad esempio, il rapporto mostra che gli Stati Uniti si sono fatti carico di ben il 43% di tutti gli attacchi globali e che gli attacchi ransomware in Francia sono quasi raddoppiati negli ultimi cinque mesi.
Malwarebytes ha rilevato che un totale di 48 gruppi di ransomware separati hanno attaccato gli Stati Uniti nel periodo osservato. Inoltre, il numero medio di attacchi mensili negli Stati Uniti è aumentato del 75% tra la prima e la seconda metà degli ultimi 12 mesi.
Nei primi cinque Paesi colpiti rientra anche l’Italia, subito sotto la Germania e prima di Francia, Spagna, Brasile, Australia e India, che completano le prime dieci posizioni.
Il Regno Unito è emerso come il secondo maggior obiettivo del ransomware, subendo quasi 200 attacchi.
Malwarebytes ha rilevato 32 gruppi di ransomware distinti che hanno attaccato il Regno Unito, sette dei quali hanno registrato più di dieci attacchi noti. Inoltre, un numero maggiore di gang di ransomware sta attaccando obiettivi più volte al mese: il numero di gruppi che effettuano più di un attacco noto al mese nel Regno Unito è aumentato costantemente per un anno, passando da uno solo nel luglio 2022 a otto nel giugno 2023.
La Germania ha mantenuto il suo posto come quarto Paese più attaccato al mondo e come Paese più attaccato al di fuori dell’anglosfera. L’Italia è il quinto, con 120 attacchi. La Francia, invece, ha registrato un tasso sproporzionatamente alto di attacchi al settore governativo (9% degli attacchi).
Ransomware, una nuova minaccia all’orizzonte: CL0P
Tuttavia, quello che secondo Malwarebytes è il dato più importante che emerge dal rapporto è che l’ascesa del gruppo CL0P, che ha efficacemente sfruttato le vulnerabilità zero-day per amplificare i propri attacchi, potrebbe segnare un cambiamento in questo campo.
Per un anno e mezzo, LockBit, che dichiara di avere 100 affiliati, è stata la forma più dominante di “Ransomware-as-a-Service” (RaaS) negli Stati Uniti, con una media di circa 24 attacchi al mese.
Tuttavia, due volte quest’anno, a marzo e a giugno, il considerevole tasso di attacchi di LockBit è stato ampiamente superato da CL0P, che era altrimenti inattivo.
Il motivo di questo cambiamento improvviso secondo Malwarebytes è che CL0P ha sfruttato diverse zero-day in GoAnywhere MFT e MOVEit Transfer per ottenere un vantaggio. Questo ha dato loro la possibilità di lanciare un numero di attacchi senza precedenti in un breve lasso di tempo e su vasta scala.
L’uso di vulnerabilità zero-day da parte di gruppi di ransomware come CL0P potrebbe innescare un cambiamento significativo nelle strategie di ransomware rispecchiando l’adozione della tattica della “doppia estorsione” nel 2019.
Se un numero maggiore di gruppi inizierà a adottare le tecniche di sfruttamento delle vulnerabilità zero-day di CL0P, avverte Malwarebytes, il panorama del ransomware potrebbe passare da attacchi orientati ai servizi a un modello più aggressivo, incentrato sulle vulnerabilità: una mossa che potrebbe far salire alle stelle il numero delle vittime.
È possibile leggere il report sullo Stato del Ransomware 2023 di Malwarebytes collegandosi al sito dell’azienda.
