Nel 2022 il ransomware mirato raddoppia, emergono nuove tecniche e nuovi gruppi

Nel 2022 il ransomware mirato raddoppia, emergono nuove tecniche e nuovi gruppi

Secondo Kaspersky la percentuale di utenti colpiti da attacchi ransomware mirati rappresenta lo 0,026% di tutti gli utenti attaccati da malware nel 2022, rispetto allo 0,016% del 2021

Nei primi dieci mesi del 2022, la percentuale di utenti attaccati da ransomware mirati è quasi raddoppiata rispetto allo stesso periodo del 2021. Una crescita così impressionante indica che le organizzazioni di ransomware hanno continuato a perfezionare le loro tecniche, sia quelle più famose che quelle emergenti. Seguendo gli sviluppi nel mondo dei ransomware, l’ultimo report di Kaspersky sul crimeware del 2022 rivela nuove funzionalità introdotte dal famigerato gruppo “LockBit” e un nuovo arrivato, “Play”, che sfrutta tecniche di auto-propagazione.

Secondo le soluzioni di sicurezza Kaspersky, la percentuale di utenti colpiti da attacchi ransomware mirati rappresenta lo 0,026% di tutti gli utenti attaccati da malware nel 2022, rispetto allo 0,016% del 2021. Queste cifre dimostrano che i criminali informatici stanno passando da attacchi opportunistici ad attacchi ransomware mirati per raggiungere i loro obiettivi.

Come dimostrano le recenti indagini di Kaspersky, i gruppi di ransomware continuano a migliorare le loro tecniche. Uno di questi, Lockbit, rimane una delle varianti di ransomware più popolari, innovative e in rapido sviluppo attualmente in uso. Questo gruppo continua a creare insidie agli specialisti della cybersecurity aggiungendo nuove opzioni – come la pratica del dumping delle credenziali. Questa tecnica prevede che l’attore possa prendere il controllo del dominio del computer infetto e creare una named pipe per reimpostare le credenziali del sistema operativo.

Tuttavia, continuano a emergere nuove varianti di ransomware. Nel corso del 2022, Kaspersky ha rilevato oltre 21.400 varianti di ransomware.

Leggi anche:  Kaspersky Industrial CyberSecurity offre ora EDR e analisi di rischio e conformità per le applicazioni OT

La scoperta più recente di Kaspersky è “Play”, una nuova variante di ransomware altamente offuscata che rende più difficile l’analisi. Il suo codice non ha alcuna somiglianza con altri campioni di ransomware, ma fortunatamente Play è nelle prime fasi di sviluppo. Quando è stata condotta l’indagine, non è stato possibile individuare la posizione della violazione e alle vittime è stato richiesto di contattare i criminali tramite un indirizzo e-mail lasciato nella nota di riscatto. Ciò che ha attirato l’attenzione dei ricercatori è che Play contiene una funzionalità che è stata recentemente riscontrata in altre varianti avanzate di ransomware: l’auto propagazione. In primo luogo, gli attaccanti trovano un server message block (SMB) e stabiliscono una connessione. Successivamente, Play cerca di montare il suddetto SMB e di distribuire ed eseguire il ransomware nel sistema remoto.

“Gli sviluppatori di ransomware tengono d’occhio il lavoro dei concorrenti. Se uno di loro implementa con successo una determinata funzionalità, è molto probabile che anche altri lo facciano. Questo rende il loro ransomware più interessante per i loro affiliati. L’auto propagazione del ransomware ne è un chiaro esempio. Sempre più gruppi di ransomware adottano tecniche inventive che rendono gli attacchi ransomware ancora più mirati e distruttivi – e le statistiche di quest’anno lo dimostrano. Un’altra cosa che non smetteremo mai di ricordare al pubblico è la necessità di effettuare backup regolari e di conservarli offline”, ha commentato Jornt van der Wiel, Security Expert di Kaspersky.

Per proteggersi da questi attacchi ransomware, Kaspersky consiglia di:

  • Non esporre i servizi di remote desktop (come RDP) alle reti pubbliche se non è assolutamente necessario e utilizzare sempre password forti per questi servizi.
  • Installare tempestivamente le patch disponibili per le soluzioni VPN commerciali che forniscono accesso ai dipendenti remoti e fungono da gateway nella rete.
  • Concentrare la strategia di difesa sul rilevamento dei movimenti laterali e dell’esfiltrazione dei dati verso Internet. Prestare particolare attenzione al traffico in uscita per individuare le connessioni dei criminali informatici.
  • Eseguire regolarmente il backup dei dati. Verificare che sia possibile accedervi rapidamente in caso di emergenza.
  • Utilizzare soluzioni come  Kaspersky Endpoint Detection and Response Expert e il servizio Kaspersky Managed Detection and Response che aiutano a identificare e fermare l’attacco nelle fasi iniziali, prima che gli attaccanti raggiungano i loro obiettivi finali.
  • Utilizzare le informazioni più recenti di Threat Intelligence per essere sempre al corrente delle attuali TTP utilizzate dagli attori delle minacce. Kaspersky Threat Intelligence Portal è un unico punto di accesso per la TI di Kaspersky, che fornisce dati e approfondimenti sui cyberattacchi raccolti dal nostro team da 25 anni. Per aiutare le aziende a mettere in atto difese efficaci in questi tempi turbolenti, Kaspersky ha annunciato l’accesso gratuito a informazioni indipendenti, continuamente aggiornate e di provenienza globale sui cyberattacchi e sulle minacce in corso.