Ransomware nel 2022: emergono nuove tecniche e nuovi gruppi
Nei primi dieci mesi del 2022, la percentuale di utenti attaccati da ransomware mirati è quasi raddoppiata rispetto allo stesso periodo del 2021. Una crescita così impressionante indica che le organizzazioni di ransomware hanno continuato a perfezionare le loro tecniche, sia quelle più famose che quelle emergenti. Seguendo gli sviluppi nel mondo dei ransomware, l’ultimo report di Kaspersky sul crimeware del 2022 rivela nuove funzionalità introdotte dal famigerato gruppo LockBit e un nuovo arrivato, Play, che sfrutta tecniche di auto-propagazione.
Secondo il report, la percentuale di utenti colpiti da attacchi ransomware mirati rappresenta lo 0,026% di tutti gli utenti attaccati da malware nel 2022, rispetto allo 0,016% del 2021. Queste cifre dimostrano che i criminali informatici stanno passando da attacchi opportunistici ad attacchi ransomware mirati per raggiungere i loro obiettivi. Lockbit rimane una delle varianti di ransomware più popolari, innovative e in rapido sviluppo attualmente in uso. Questo gruppo continua a creare insidie agli specialisti della cybersecurity aggiungendo nuove opzioni come la pratica del dumping delle credenziali. Questa tecnica prevede che l’attaccante possa prendere il controllo del dominio del computer infetto e creare una named pipe per reimpostare le credenziali del sistema operativo.
Tuttavia, continuano a emergere nuove varianti di ransomware (nel corso del 2022 Kaspersky ne ha rilevate oltre 21.400). La scoperta più recente è Play, una nuova variante di ransomware altamente offuscata che rende più difficile l’analisi. Il suo codice non ha infatti alcuna somiglianza con altri campioni di ransomware, ma fortunatamente Play è nelle prime fasi di sviluppo. Quando è stata condotta l’indagine di Kaspersky, non è stato possibile individuare la posizione della violazione e alle vittime è stato richiesto di contattare i criminali tramite un indirizzo e-mail lasciato nella nota di riscatto.
Ciò che ha attirato l’attenzione dei ricercatori è che Play contiene una funzionalità che è stata recentemente riscontrata in altre varianti avanzate di ransomware: l’auto propagazione. In primo luogo, gli attaccanti trovano un server message block (SMB) e stabiliscono una connessione. Successivamente, Play cerca di montare il suddetto SMB e di distribuire ed eseguire il ransomware nel sistema remoto.
“Gli sviluppatori di ransomware tengono d’occhio il lavoro dei concorrenti. Se uno di loro implementa con successo una determinata funzionalità, è molto probabile che anche altri lo facciano. Questo rende il loro ransomware più interessante per i loro affiliati. L’auto propagazione del ransomware ne è un chiaro esempio” ha commentato Jornt van der Wiel, Security Expert di Kaspersky.
Per proteggersi da questi attacchi ransomware, Kaspersky consiglia di:
- Non esporre i servizi di remote desktop (come RDP) alle reti pubbliche se non è assolutamente necessario e utilizzare sempre password forti per questi servizi
- Installare tempestivamente le patch disponibili per le soluzioni VPN commerciali che forniscono accesso ai dipendenti remoti e fungono da gateway nella rete
- Concentrare la strategia di difesa sul rilevamento dei movimenti laterali e dell’esfiltrazione dei dati verso Internet. Prestare particolare attenzione al traffico in uscita per individuare le connessioni dei criminali informatici
- Eseguire regolarmente il backup dei dati. Verificare che sia possibile accedervi rapidamente in caso di emergenza
- Utilizzare soluzioni che aiutano a identificare e fermare l’attacco nelle fasi iniziali, prima che gli attaccanti raggiungano i loro obiettivi finali