I ransomware sono tra i malware più noti e temuti. Si tratta di programmi che criptano i file presenti sul computer o sullo smartphone, rendendoli inaccessibili, e che richiedono un pagamento per decriptarli. Gli esempi di ransomware sono numerosi e vari. Alcuni si auto-criptano per sfuggire alla scansione degli antivirus, altri si spacciano per falsi aggiornamenti di Windows o per soluzioni di sicurezza informatica, altri ancora usano tecniche di ingegneria sociale per indurre le vittime a cliccare su link o allegati infetti.
Una caratteristica comune a tutti gli attacchi ransomware, oltre alla loro finalità estorsiva, è la loro velocità sempre maggiore. Questo è quanto emerge da uno studio realizzato dalla società di cybersicurezza Secureworks. Nel 2022, il tempo medio tra l’infezione del programma e l’inizio della crittografia che blocca i dati era di 4,5 giorni. Oggi si è ridotto a meno di 24 ore. Nel 10% dei casi osservati, i file sono stati criptati entro 5 ore dall’intrusione.
Un ransomware può bloccare i file in meno di 5 ore
Cosa spinge gli hacker a operare con tanta celerità? La risposta è semplice. I cybercriminali, infatti, vogliono evitare di essere scoperti e contrastati prima di poter eseguire il loro attacco. Il settore della sicurezza informatica è diventato molto più efficace nel rilevare le attività che precedono il ransomware. Di conseguenza, gli autori delle minacce si stanno orientando verso operazioni più semplici e rapide da attuare, anziché verso grandi eventi di crittografia multisito e a livello aziendale, molto più complessi. Ma il rischio di questi attacchi rimane elevato, secondo Don Smith della Threat Response Unit di Secureworks.
“Nonostante le sanzioni e le misure di contrasto di alto livello, i criminali informatici si mostrano abili nell’adattarsi alle nuove situazioni e continuano a intensificare la loro attività. Oltre agli attori noti delle minacce (LockBit di GOLD MYSTIC e BlackCat di GOLD BLAZER) che restano i più attivi, ne sono emersi di nuovi, che hanno mietuto un gran numero di vittime (MalasLocker, 8BASE e Akira) Il rischio è quindi in costante crescita“, ha aggiunto Smith.
Dunque, gli hacker non hanno scelta. Se vogliono competere con programmi di rilevamento sempre più rapidi ed efficaci, devono creare ransomware che funzionino ancora più velocemente. Ciò che non è cambiato, tuttavia, sono i metodi utilizzati per distribuire il malware.
I metodi più usati dai cybercriminali per lanciare attacchi ransomware
Secureworks ha individuato tre principali metodi usati dai criminali informatici per accedere ai sistemi delle vittime. Il primo è l’analisi e lo sfruttamento, ovvero la ricerca e l’attacco di vulnerabilità nei software o nei dispositivi (32% dei casi). Il secondo è il furto di credenziali, ovvero l’ottenimento di nomi utente e password per accedere ai sistemi o ai servizi (32% dei casi). Il terzo è il Malware-as-a-Service (MaaS), ovvero l’affitto o la vendita di malware da parte di altri criminali informatici e la loro diffusione tramite email ingannevoli (14% dei casi).
“Anche se gli attacchi basati su ChatGPT e AI sono molto diffusi, i due attacchi più gravi dal 2023 ad oggi sono stati effettuati con un’infrastruttura senza eguali. In sostanza, i criminali informatici stanno sfruttando dei metodi di attacco già provati, quindi le organizzazioni devono difendersi con delle buone pratiche di sicurezza informatica e non lasciarsi influenzare dall’eco mediatica”, ha aggiunto Smith.