I ransomware diventano sempre più pericolosi e problematici. Inizialmente, come noto, questi programmi malevoli si limitavano a una richiesta di pagamento per l’annullamento della crittografia sui dati e dispositivi presi in “ostaggio”. Negli ultimi anni a ciò si è affiancata la pratica della cosiddetta doppia estorsione: oltre all’arma della crittografia, i dati vengono esfiltrati per poterne poi minacciare la diffusione o rivendita sul dark Web. Un terzo livello di estorsione può realizzarsi quando i cybercriminali si mettono in contatto con clienti, partner o terze parti collegate alla vittima dell’attacco, per informarli del fatto che i loro dati sono stati rubati: è quindi possibile chiedere all’azienda target iniziale ulteriori somme da pagare.
Attualmente la doppia richiesta di denaro – una per la liberazione dei dati e l’altra per la garanzia di non divulgazione – resta la modalità prevalente ma, stando all’ultimo “State of the Internet Report” di Akamai sul tema dei ransomware, si vedono i primi casi di estorsione quadrupla, in cui entrano in gioco anche gli attacchi DDoS (Distributed Denial-of-Service). La ragione è presto detta: mandare in tilt dei server consente di bloccare uno o più servizi dell’azienda target ed è un ulteriore modo per mettere pressione, spingendo la vittima a pagare.
"Attualmente, gli attacchi ransomware non riguardano più solo la crittografia", ha commentato Steve Winterfeld, advisory Ciso di Akamai. "I criminali informatici utilizzano i dati sottratti, la divulgazione pubblica e le interruzioni dei servizi per aumentare la pressione sulle loro vittime. Questi metodi stanno trasformando gli attacchi informatici in vere e proprie crisi aziendali e stanno forzando le aziende a ripensare al modo con cui prepararsi e rispondere a tali minacce".
Dal report di Akamai giunge anche una conferma al fenomeno del ransomware as-a-service (RaaS), ormai consolidato: si tratta di vere piattaforme di compravendita di malware e servizi “pronti all’uso”, che consentono anche agli attori malevoli meno esperti di realizzare attacchi. Oggi queste piattaforme vengono usate sempre più da gruppi “ibridi”, in cui gli attacchi ransomware si sovrappongono ad azioni di hacktivismo. Rispetto al passato, alcuni di questi collettivi hanno modificato le proprie motivazioni: per esempio, il gruppo Dragon RaaS, emerso nel 2024 come un derivato di Stormous che principalmente colpiva grandi aziende, oggi tende a focalizzarsi su organizzazioni di piccole dimensioni.
Un altro fenomeno emergente, ma ormai non più nuovissimo, è l’utilizzo di strumenti di intelligenza artificiale generativa per scopi di attacco. Akamai ha osservato casi in cui criminali informatici, agendo sia individualmente sia in gruppo, utilizzano Large Language Model per scrivere il codice dei ransomware e per migliorare le proprie tattiche di social engineering.