Fino a che punto potrà crescere il fenomeno dei ransomware? La domanda sorge spontanea di fronte ai recenti fatti di cronaca (come l’attacco crittografico ai sistemi IT della Regione Lazio e quello a Kaseya) e di fronte alle statistiche delle società di cybersicurezza, che costantemente monitorano l’andamento delle minacce informatiche. Per esempio quelle di Cisco Talos, la divisione cybersicurezza di Cisco: nel secondo trimestre del 2021, i ransomware hanno rappresentato quasi la metà di tutti gli attacchi osservati a livello globale. Il loro numero è tre volte più grande di quello della seconda minaccia più popolare, cioè gli exploit che hanno sfruttato le vulnerabilità di Microsoft Exchange Server.
Fra gli autori di attacchi ransomware, tra aprile e fine giugno particolarmente attivo è stato Revil, un gruppo cybercriminale specializzato in ransomware, lo stesso che nel marzo di quest’anno aveva chiesto ad Acer un riscatto da 42 milioni di euro e che a luglio ha poi rivendicato l’attacco a Kaseya pretendendo la cifra record di 59,5 milioni di euro. Quanto agli strumenti di attacco, molto popolari sono stati Cobalt Strike, applicazioni open source (tra cui Rubeus) e tecnologie vulnerabili usate dalle vittime, come Windows PowerShell.
Nel secondo trimestre i cybercriminali hanno bersagliato aziende di numerosi settori, tra cui trasporti, le telecomunicazioni, la produzione, e l'istruzione, ma al primo e al secondo posto come ambiti più colpiti troviamo la sanità e la Pubblica Amministrazione. "Ci sono diversi motivi che spingono i criminali informatici a colpire il settore sanitario”, ha commentato Fabio Panada, technical solutions architect, security di Cisco Italia. “Uno di questi è la pandemia, che incoraggia le vittime a pagare rapidamente il riscatto per poter ripristinare i servizi il prima possibile. La prevenzione, l’integrazione delle soluzioni di cybersecurity e la formazione sono le nostre difese". In particolare, Panada sottolinea l’importante dell’autenticazione a più fattori, un metodo che consente di bloccare preventivamente una buona parte degli attacchi e che andrebbe sempre prevista almeno a protezione delle applicazioni critiche.
Una tendenza attuale è la crescita degli attacchi di supply chain, che aumentano non solo in numero ma anche in complessità e grado di sofisticazione. Dopo ransomware ed exploit di Exchange Server, altre minacce rilevate in gran quantità da Cisco Talos sono state lo sfruttamento di vulnerabilità note, il mining di criptovalute e l'utilizzo di account compromessi. Non sono mancati, inoltre, gli attacchi realizzati usando drive Usb per veicolare Trojan, un metodo che sembrava caduto in disuso e invece è ancora vivo e vegeto.