Gli esperti della Unity 42 di Palo Alto Networks hanno pubblicato un report sulla diffusione dei ransomware nel 2023. Dall’analisi dei siti usati per confermare il furto di dati è emerso che il numero di vittime è aumentato del 49%. Lo scorso anno sono apparsi almeno 25 nuovi gruppi di cybercriminali che sfruttano questo tipo di malware per ottenere guadagni illeciti.
Vulnerabilità zero-day e new entry
Il primo DLS (Dedicated Leak Site) è stato aperto nel 2019 dal gruppo Maze. Questi siti, spesso accessibili nel dark web, ospitano alcuni dati rubati che confermano il furto. Servono quindi per convincere le aziende a pagare il riscatto, altrimenti le informazioni sensibili verranno rese pubbliche (doppia estorsione).
La Unity 42 ha rilevato 3.998 post sui vari DLS e quindi un incremento del 49% rispetto al 2022. L’aumento è principalmente dovuto agli exploit per le vulnerabilità zero-day di MOVEit Transfer, GoAnywhere MFT, PaperCut e Citrix Bleed utilizzati da vari gruppi, tra cui Clop, LockBit, Medusa e BlackCat/ALPHV. Oltre ad un DLS su rete Tor, il gruppo Clop ha usato anche la rete Torrent per distribuire i dati rubati.
Nel 2023 sono apparsi online almeno 25 nuovi gruppi che offrono un RaaS (Ransomware-as-a-Service). Il più attivo è stato Akira con quasi 200 post sul DLS. Secondo i ricercatori di sicurezza, alcuni membri facevano parte del famigerato gruppo Conti.
In seguito all’intervento delle forze dell’ordine, nel corso del 2023 sono stati smantellati diversi gruppi, tra cui Hive, Ragnar Locker e BlackCat/ALPHV, ma alcuni hanno solo cambiato nome oppure i membri sono stati accolti da altri “colleghi”. Il gruppo attivo più prolifico è ovviamente LockBit con 928 vittime (23% del totale). La maggioranza delle vittime si trova negli Stati Uniti (47,6%). In Italia sono il 3%.