Attacchi ransomware in crescita e vulnerabilità irrisolte

Gli attacchi ransomware continuano a crescere in tutto il mondo, nonostante qualche temporaneo calo dovuto per lo più allo smantellamento di gang criminali che sono, però, pronte a riformarsi senza troppi problemi. Nel giro di un anno gli incidenti legati ai ransomware sono cresciuti del 13%, stando ai dati del nuovo report di Verizon, basato sull’analisi di quasi 24mila incidenti di sicurezza reali (per la previsione 23.896, tra cui 5.212 violazioni confermate; i casi sono stati segnalati da forze dell’ordine, studi legali e forensi, centri Cert e Isac e agenzie governative).

Qualcosa di simile è emerso dall’ultimo report di Ivanti (basato su dati di proprietà di Ivanti e Csw, database pubblici, segnalazioni di ricercatori informatici e team specializzati nei test di attacco), che ha segnalato un aumento del 7,6% nelle vulnerabilità associate agli attacchi ransomware nel primo trimestre del 2022 versus primo trimestre del 2021. Sono aumentate, inoltre, del 7,5% le attività dei gruppi Apt, Advanced Persistent Threat, collegati al ransomware, e questo è segno di come questa tipologia di attacco prenda di mira, sempre di più, bersagli specifici, che vengono studiati e colpiti in modo chirurgico. Si va, inoltre, verso una maggiore diversificazione delle tipologe di ransomware circolanti, anche se in questo caso l’incremento anno su anno è solo del 2,5%.

E c’è un’altra variabile in ascesa, purtroppo: l’ammontare delle richieste di riscatto. In media, nel giro di un anno (tra il primo trimestre 2021 e il primo trimestre 2022) la società di cybersicurezza Group-IB ha registrato un incremento del 45% della somma media richiesta alle aziende europee colpite da ransomware. Il calcolo si basa sull’analisi di 986 aziende europee vittime di attacchi ransomware i cui dati sono stati esfiltrati e caricati su siti di data leak. E da questi casi reali risulta anche che l’Italia è al terzo posto in Europa e al quinto posto nel mondo come Paese più colpito.

Il problema della vulnerabilità
La notizia della crescita numerica dei ransomware ormai non stupisce più, anche se forse proprio l’ascesa incredibile di questa minaccia, a cui abbiamo assistito negli ultimi anni, dovrebbe aver spinto le aziende e gli utenti ad adottare misure di protezione migliore. L’impressione è che le aziende si stiano focalizzando molto sul limitare le conseguenze dei ransomware, per esempio con tecnologie di backup e di data recovery, nonché dotandosi di una copertura assicurativa che le tuteli anche dai danni conseguenti a una ransomware. Si trascura un po’, invece, la prevenzione degli attacchi. Per migliorare le capacità di difesa prevendita, cruciale sarebbe un tempestivo rilevamento delle vulnerabilità, cui deve seguire un’azione correttiva rapida.

Agli autori di attacchi ransomware bastano pochi giorni (otto giorni dal rilascio delle patch, in media, secondo Ivanti) per andare a bersaglio intercettando delle falle scoperte. Installare le patch tempestivamente è cruciale, anche perché gli antivirus più diffusi non riescono a rilevare alcune delle vulnerabilità legate al ransomware, nello specifico oltre il 3,5%. “L’incapacità delle soluzioni antivirus di rilevare le vulnerabilità collegate al ransomware è un grave problema”, ha commentato Aaron Sandeen, Ceo di Cyber Security Works, “e i nostri esperti monitorano costantemente questa tipologia di attacchi in ogni ricerca. La buona notizia è che nel primo trimestre il numero è diminuito, dimostrando che i vendor di sicurezza stanno gestendo al meglio il problema. Rileviamo ancora 11 vulnerabilità ransomware che non sono state risolte, cinque delle quali sono classificate come critiche e associate a gruppi di ransomware come Ryuk, Petya e Locky".