Ransomware: Tipologie emergenti a fine 2021

4 Gennaio 2022

I Ransomware sono la cyber minaccia che ha avuto l’evoluzione più forte negli ultimi anni. Esistono diverse tipologie di ransomware, alcune emerse fortemente nell’ultimo trimestre del 2021. Nel corso di questo anno, abbiamo imparato a riconoscere questo genere di attacco. Ovvero, quando il ransomware infetta un computer o una rete, blocca l’accesso al sistema e ne cripta i dati contenuti. A quel punto i cybercriminali chiedono alle vittime un riscatto in denaro in cambio del rilascio dei dati o della chiave di decriptazione. 

Tipologie emergenti nell’ultimo trimestre del 2021

A livello globale, nell’anno appena concluso gli attacchi ransomware sono aumentati rispetto agli anni precedenti ed in particolare negli ultimi mesi.

Secondo il rapporto di NCC Group – Monthly Threat Pulse che si focalizza in particolare sul mese di novembre 2021 c’è stato:

  • Un aumento dell’1,9% degli attacchi ransomware rispetto a ottobre.
  • un aumento del 50% delle organizzazioni prese di mira dal ransomware PYSA, con un aumento del 400% delle vittime del settore governativo.
  • Il Nord America e l’Europa hanno continuato a essere le più colpite a novembre, con rispettivamente 154 e 96 vittime.

Le tipologie di ransomware più aggressive nell’ultimo trimestre del 2021 sono state quelle messe a segno da PYSA e Lockbit che i ricercatori di NCC Group definiscono come gli attori delle minacce che dominano il panorama dei ransomware a novembre. 

Da agosto 2021, Conti e Lockbit sono stati i principali gruppi di minacce, ma a novembre PYSA, noto anche come Mespinoza, ha superato Conti con un aumento del 50%. Nel frattempo, la prevalenza di Conti è diminuita del 9,1%.

PYSA è un malware in grado di esfiltrare dati e crittografare file e dati critici degli utenti, che in genere prende di mira organizzazioni finanziarie, governative e sanitarie di grandi dimensioni o di alto valore.

Come anticipato, sia il Nord America che l’Europa continuano a essere le zone più colpite a novembre, con rispettivamente 154 e 96 vittime. In Nord America, le organizzazioni negli Stati Uniti hanno subito 140 di questi attacchi, mentre in Canada 14.

In Europa, i principali paesi presi di mira includono Regno Unito e Francia, con Italia e Germania che condividono il terzo posto. Ciascuno di questi paesi ha subito rispettivamente 32, 14 e 11 attacchi a novembre.

Riconoscere da dove arriva l’attacco ransomware

Gli attacchi ransomware possono essere molto diversi l’uno dall’altro e avere ogni tipo di forma e dimensione. Il vettore di attacco è un fattore importante nelle tipologie di ransomware usati. Per stimare le dimensioni e la portata dell’attacco, si deve sempre considerare qual è la posta in gioco o quali dati potrebbero essere eliminati o pubblicati.

Solitamente i vettori d’infezione utilizzati dai ransomware sono:

  • Email di Phishing, con questa tecnica che sfrutta il social engineering (ingegneria sociale) vengono veicolati oltre il 75% dei ransomware.
  • Attraverso la navigazione su siti compromessi, il cosiddetto drive-by download. Si presentano, per esempio come banner pubblicitari o pulsanti che ci invitano a cliccare. A quel punto verremo indirizzati su siti malevoli, diversi dall’originale, ove avverrà il download del malware.
  • Usando un supporto rimovibile, per esempio una chiavetta USB contenente il software malevolo. Questa tecnica si chiama baiting fa leva sul fattore umano e sulla curiosità delle persone.
  • Attacchi attraverso il desktop remoto , in genere con attacchi di tipo brute force.
  • Attraverso lo sfruttamento di vulnerabilità di sistema o apparati IoT.

Capire da dove arriva un attacco ransomware consente di mettere in atto tutta una serie di attività di prevenzione.

Previeni il ransomware con Cerbeyra

Tra le soluzioni possibili c’è l’utilizzo di una piattaforma as a service come Cerbeyra, in grado di fornire capacità decisionali multi-angolari prima che si verifichi l’attacco informatico.

Cerbeyra è una soluzione di Cyber Security pensata per analizzare e prevenire potenziali minacce alla sicurezza delle informazioni all’interno e all’esterno di un’organizzazione. È una soluzione poliedrica che si adatta agli enti governativi, alle pubbliche amministrazioni, ma anche ad aziende dalla grande alla piccola dimensione.

Per mettere al riparo l’intero ambiente, Cerbeyra, ha sviluppato una piattaforma di Cyber Threat Intelligence con cui è possibile analizzare la sicurezza dell’infrastruttura, dei dati e processi informativi. In questo modo sarà possibile Identificare preventivamente le minacce derivanti da maleware tra cui ransomware, data breach, cyber reputation, social engineering, phishing e criticità ambientali.