Il ransomware è un tipo di malware che cripta i dati di un computer o di una rete e richiede un riscatto per il loro ripristino. Si tratta di una minaccia informatica sempre più diffusa e pericolosa, che colpisce sia le aziende che i privati.
A confermarlo sono i dati del rapporto Threat Pulse, pubblicato dal gruppo NCC, una società specializzata nella sicurezza informatica. Il rapporto analizza gli attacchi ransomware avvenuti nel mese di settembre 2023 e mostra un aumento del 153% rispetto al mese precedente.
Secondo il rapporto, i gruppi di hacker più attivi nel mese di settembre sono stati:
- LostTrust: responsabile del 28% degli attacchi, ha usato una variante del ransomware REvil, che sfrutta una vulnerabilità dei sistemi Windows.
- RansomedVC: responsabile del 24% degli attacchi, ha usato una variante del ransomware Ryuk, che si diffonde tramite email infette.
- LockBit: responsabile del 18% degli attacchi, ha usato una variante del ransomware LockBit, che si propaga attraverso la rete locale.
- Clop: responsabile del 15% degli attacchi, ha usato una variante del ransomware Clop, che mira a colpire le grandi organizzazioni.
Secondo il rapporto, il Nord America è la regione più colpita dal ransomware, con 258 attacchi registrati nel mese, in crescita del 3% rispetto ad agosto. L’Europa segue al secondo posto, con 155 attacchi, in crescita del 2%. L’Asia si piazza al terzo posto, con 47 attacchi, in crescita dell’8%.
Tra i settori più vulnerabili al ransomware, spicca quello sanitario, che ha subito un aumento del 15% degli attacchi rispetto al mese precedente. Questo è un dato allarmante, in quanto gli attacchi al settore sanitario possono mettere a rischio la vita dei pazienti, compromettendo l’accesso alle informazioni mediche e ai dispositivi medici.
Gli altri settori che hanno subito molti attacchi sono l’industria, che ha rappresentato il 40% degli attacchi totali, e i beni di consumo, che hanno rappresentato il 21%. Questi settori sono spesso presi di mira dai criminali informatici perché hanno una grande quantità di dati sensibili e perché possono essere costretti a pagare il riscatto per evitare gravi perdite economiche o danni alla reputazione.
Gli hacker usano tecniche sempre più aggressive
Secondo Matt Hull, responsabile globale dell’intelligence sulle minacce di NCC Group, l’aumento degli attacchi ransomware era prevedibile, dato il calo registrato ad agosto e il picco raggiunto a luglio. Tuttavia, ciò che sorprende è il volume e la varietà di questi attacchi e la presenza di nuovi attori che hanno guidato questa attività.
Tra questi nuovi gruppi, spiccano LostTrust, Cactus e RansomedVC, che si sono distinti per il loro approccio innovativo. Questi gruppi hanno adattato le tecniche ransomware esistenti e introdotto le proprie varianti per aumentare la pressione sulle vittime. Ad esempio, hanno usato il modello della doppia estorsione, che consiste nel chiedere due riscatti: uno per decriptare i dati e uno per non divulgarli. Inoltre, hanno usato il modello Ransomware as a Service (Raas), che consiste nel fornire un servizio di ransomware a pagamento ad altri criminali informatici.
Hull afferma inoltre che questi gruppi hanno cercato di aumentare la pressione sugli attacchi ransomware, usando diverse tattiche. Ad esempio, RansomedVC ha usato una tecnica chiamata “name and shame”, che consiste nel pubblicare i nomi delle vittime che non hanno pagato il riscatto su un sito web dedicato. Hull ritiene inoltre che vedremo altri nuovi gruppi esplorare questi stessi metodi per aumentare la pressione sulle vittime affinché rispettino le richieste di riscatto.