I principali gruppi di cybercriminali hanno cambiato le modalità con cui eseguono gli attacchi ransomware. Come evidenza il report di Coveware, i numerosi arresti effettuati dalle forze dell’ordine nel corso del 2021 hanno spinto gli operatori delle infrastrutture RaaS a scegliere obiettivi mirati, ai quali chiedere riscatti di importo maggiore.
Meno vittime, ma riscatti più alti
Nel corso del 2021 sono state colpite diverse aziende di grandi dimensioni, alcune delle quale gestiscono infrastrutture critiche. Ciò ha ovviamente attirato l’attenzione dei governi (Stati Uniti in particolare). Sono state inoltre implementate soluzioni di sicurezza più resistenti agli attacchi ransomware. I cybercriminali hanno quindi deciso di scegliere target sufficientemente grandi per pagare riscatti più alti, ma abbastanza piccoli per ridurre i costi dell’attacco e limitare l’esposizione mediatica.
Questo cambio di strategia è chiaramente visibile nel grafico pubblicato da Coveware:
Nel quarto trimestre 2021, la somma media chiesta come riscatto è stata di circa 322.000 dollari, ovvero il 130% in più rispetto al trimestre precedente. La maggioranza degli attacchi (82%) è stata effettuata contro aziende di piccole medie dimensioni con meno di 1.000 dipendenti, in quanto hanno sistemi di protezione meno avanzati.
In base ai dati pubblicati da Covewave, il ransomware più diffuso nel quarto trimestre 2021 è stato Conti 2.0 con il 19,4%. Al secondo posto si trova LockBit 2.0 con il 16,3%. Tra i ransomware emergenti spicca invece BlackMatter che ha guadagnato quattro posizioni rispetto al terzo trimestre 2021. I cybercriminali che gestiscono le infrastrutture RaaS (Ransomware-as-a-Service) passano da un gruppo all’altro, dopo la chiusura dei server da parte delle autorità (BlackMatter deriva da DarkSide e ora è parte di BlackCat).