Da Lockbit a Play, il ransomware continua a crescere

Il ransomware sempre più spesso prende di mira specifici bersagli, anziché sparare sulla folla. Nel panorama del cybercrimine, un fenomeno che ha caratterizzato il 2022 è la crescita del ransomware mirato: ancora una nicchia, in numeri assoluti, ma raddoppiato rispetto allo scorso anno, stando ai monitoraggi di Kasperksy. Nel 2021, infatti, il ransomware mirato aveva rappresentato lo 0,016% del totale degli attacchi malware, mentre nel 2022 la percentuale è salita allo 0,029%.

I piccoli numeri non devono ingannare in merito all’importanza del fenomeno, perché un singolo attacco di questo tipo può causare seri danni monetari e di reputazione.

Percentuale di utenti colpiti da ransomware mirati, per mese, gennaio - ottobre 2022 (Fonte: Kaspersky)

Kaspersky ha anche osservato l’emergere continuo di nuove varianti di ransomware: oltre 21.400 quelle rilevate nel corso del 2022. Una scoperta recente è Play, variante che sfrutta tecniche di autopropagazione per diffondersi rapidamente: in una prima fase, gli attaccanti trovano un server message block (Smb) e stabiliscono una connessione; in seguito, tramite il protocollo Smb, cercano di distribuire ed eseguire il ransomware nel sistema remoto.

Play sfrutta anche tecniche di offuscamento per sfuggire alle rilevazioni. Il suo codice, spiegano i ricercatori, non ha alcuna somiglianza con altri campioni di ransomware e rivela di essere (fortunatamente) ancora in una fase di sviluppo iniziale. 

“Gli sviluppatori di ransomware tengono d'occhio il lavoro dei concorrenti”, ha commentato Jornt van der Wiel, security expert di Kaspersky. “Se uno di loro implementa con successo una determinata funzionalità, è molto probabile che anche altri lo facciano. Questo rende il loro ransomware più interessante per i loro affiliati. L’auto propagazione del ransomware ne è un chiaro esempio. Sempre più gruppi di ransomware adottano tecniche inventive che rendono gli attacchi ransomware ancora più mirati e distruttivi - e le statistiche di quest'anno lo dimostrano. Un’altra cosa che non smetteremo mai di ricordare al pubblico è la necessità di effettuare backup regolari e di conservarli offline”.

Quest’anno, oltre alla nascita di tante nuove varianti, è stata osservata anche la persistenza di alcune minacce già consolidate. Ne è esempio il famigerato Lockbit, una delle varianti di ransomware più popolari, innovative e in rapido sviluppo attualmente in uso. Il gruppo autore di Lockbit sta continuando ad aggiungere funzionalità al ransomware, per esempio il dumping delle credenziali. Si tratta di una tecnica che permette agli attaccanti di prendere il controllo del dominio del computer infetto per modificare le credenziali del sistema operativo.