Ransomware, come cambiano e come saranno nel 2022

Non c’è quasi dubbio che i ransomware siano stati protagonisti del panorama cybercriminale del 2021, tramite una formidabile ascesa del numero ma anche del grado di sofisticatezza degli attacchi, che hanno colpito i bersagli più diversificati. In testa, tra i settori più colpiti, ci sono stati la sanità, le infrastrutture critiche e le utilities, ma anche la Pubblica Amministrazione. Sulla crescita di questo fenomeno, già molto ben documentato, si aggiunge una nuova evidenza: sul totale degli incidenti di sicurezza gestiti dal Global Emergency Response Team di Kaspersky tra gennaio e novembre del 2021, quasi un su due era collegato a un ransomware. Il numero degli attacchi “ricattatori” è cresciuto quasi del 12% rispetto ai livelli del 2020.

D’altra parte, come si diceva, la crescita è stata non solo quantitativa ma anche qualitativa. Kaspersky testimonia che in Italia nei primi undici mesi del 2021 il numero totale degli attacchi ransomware mirati è cresciuto dell’81% rispetto ai livelli di gennaio-novembre 2021. La trasformazione ontologica di questa minaccia è evidente: originariamente, gli assalti puntavano su obiettivi indifferenziati e di massa, mentre ora sempre più si abbattono a colpo sicuro su specifiche vittime, le cui risorse informatiche sono state violate con altri mezzi. La catena d’attacco si allunga e il ransomware è solo il passaggio finale, quello che rende la violazione evidente agli occhi delle vittime (e spesso anche dei loro utenti o clienti, nel caso di crittografia che impedisca l'erogazione di un servizio).

I ransomware mirati nel 2021 hanno colpito soprattutto il settore governativo e quello industriale, che insieme hanno rappresentato quasi il 50% dei casi rilevati dal servizio di risposta agli incidenti di Kaspersky. Altri bersagli preferenziali sono stati il settore IT e le istituzioni finanziarie.

“Abbiamo iniziato a parlare dei cosiddetti ransomware 2.0 nel 2020”, ha commentato Vladimir Kuskov, head of threat exploration di Kaspersky, “e quello che abbiamo visto nel 2021 è stato lo sviluppo di una nuova era di questo tipo di malware. Gli operatori di ransomware non stanno solo crittografando i dati; li stanno anche rubando da obiettivi critici su larga scala e stanno minacciando di divulgare queste informazioni nel caso in cui le vittime si rifiutino di pagare”. Il vendor di cybersicurezza è certo che questa tipologia di minaccia sarà molto popolare anche per il prossimo anno.

La percentuale di ransomware sul totale dei casi trattati dall'Incident Response di Kaspersky

Come cambiano i ransomware
Alla crescita del numero e della pericolosità dei ransomware si associa un terzo fattore: l’incremento delle somme dei riscatti. Puntando a obiettivi di più alto profilo, gli attaccanti possono ambire a guadagni più sostanziosi ma allo stesso tempo rischiano di attirare maggiori attenzioni mediatiche e di altro genere. L’attenzione ai ransomware da parte delle istituzioni politiche e delle forze dell’ordine è cresciuta di conseguenza, spingendo gli autori degli attacchi a diventare ancor più accorti.

"Ora che i ransomware appaiono anche sulle prime pagine dei giornali, le forze dell'ordine stanno lavorando duramente per abbattere i gruppi criminali più prolifici, come è successo quest'anno con DarkSide e REvil”, ha spiegato Fedor Sinitsyn, security expert di Kaspersky. “Il ciclo di vita di queste bande si sta accorciando sempre di più e ciò significa che nel 2022 dovranno perfezionare le loro tattiche per continuare ad essere redditizie, soprattutto se alcuni governi renderanno illegale il pagamento di riscatti, una misura che al momento è in discussione".

Da queste dinamiche derivano, secondo Kaspersky, due tendenze che si consolideranno nel 2022. Innanzitutto, è probabile che i gruppi cybercriminali inizino a realizzare con maggior frequenza delle build Linux di ransomware, così da poter raggiungere il maggior numero possibile di vittime. Questo, d'altra parte, è già successo con gruppi come RansomExx e DarkSide. La seconda previsione riguarda la diffusione crescente della cosiddetta tecnica del “ricatto finanziario”, che consiste nel minacciare le aziende colpite di far trapelare informazioni sensibili per far crollare i prezzi delle loro azioni (e, per esempio, mandare a monte operazioni di acquisizione e fusione).

Altra tendenza in corso nel campo dei ransomware, ma più in generale in quello del crimine informatico, è stata segnalata da diversi vendor, tra cui Sophos: è la creazione di una logica di “filiera”, fatta di attori specializzati che si occupano di singole attività e fungono da fornitori per l’anello successivo della catena. Nel ransomware, in particolare, si stanno definendo ruoli precisi e abbondano nel mercato nero del Web offerte di credenziali d’accesso violate e di software utilizzabili per sferrare attacchi.

I ransomware in Italia
Intanto, stando ai monitoraggi di Trend Micro, nel mese di ottobre l’Italia ha guadagnato l’ingrato terzo posto sul podio dei Paesi più bersagliati da ransomware, dopo Stati Uniti e Francia. su un totale di poco meno di 1,3 milioni di attacchi intercettati nei quattro mesi, il 23,4% ha colpito gli Stati Uniti, il 7,5% la Francia e il 5% il nostro Paese. Gli Usa sono anche la nazione più attaccata dai malware in generale, con ben 34,8 milioni di assalti intercettati da Trend Micro nel mese di ottobre; seguono il Giappone, l’Australia, l’Italia (con oltre 6 milioni di attacchi malware) e il Regno Unito. I settori più presi di mira nel nostro Paese sono stati, nell’ordine, sanità, Pubblica Amministrazione, manifatturiero, tecnologico e bancario.