Secondo l’ultimo report di Kaspersky sul crimeware nel 2022 la percentuale di utenti attaccati da ransomware mirati nei primi dieci mesi del 2022 è quasi raddoppiata rispetto al 2021. Significa che le organizzazioni di ransomware hanno continuato a perfezionare le tecniche, sia quelle più famose sia quelle emergenti. Secondo Kaspersky, la percentuale di utenti colpiti da attacchi ransomware mirati nel 2022 rappresenta lo 0,026% di tutti gli utenti attaccati da malware, rispetto allo 0,016% del 2021.
Queste cifre dimostrano che i criminali informatici stanno passando da attacchi opportunistici ad attacchi ransomware mirati per raggiungere i loro obiettivi.

Nel 2022 oltre 21.400 varianti

I gruppi di ransomware continuano quindi a migliorare le loro tecniche. Uno di questi, Lockbit, rimane una delle varianti di ransomware più popolari, innovative e in rapido sviluppo attualmente in uso. Questo gruppo continua a creare insidie agli specialisti della cybersecurity aggiungendo nuove opzioni, come la pratica del dumping delle credenziali. Questa tecnica prevede che l’attore possa prendere il controllo del dominio del computer infetto e creare una named pipe per reimpostare le credenziali del sistema operativo. Tuttavia, continuano a emergere nuove varianti di ransomware. Nel corso del 2022, Kaspersky ha rilevato oltre 21.400 varianti di ransomware.

Play: un nuovo (pericoloso) arrivato

La scoperta più recente è Play, una nuova variante di ransomware altamente offuscata che rende più difficile l’analisi. Il suo codice non ha alcuna somiglianza con altri campioni di ransomware, ma fortunatamente Play è nelle prime fasi di sviluppo.
Quando è stata condotta l’indagine non è stato possibile individuare la posizione della violazione, e alle vittime è stato richiesto di contattare i criminali tramite un indirizzo e-mail lasciato nella nota di riscatto. Ciò che ha attirato l’attenzione dei ricercatori è che Play contiene una funzionalità recentemente riscontrata in altre varianti avanzate di ransomware: l’auto-propagazione. In pratica, gli attaccanti trovano un server message block (SMB) e stabiliscono una connessione. Successivamente, Play cerca di montare il suddetto SMB e distribuire ed eseguire il ransomware nel sistema remoto.

Effettuare backup regolari e conservarli offline

“Gli sviluppatori di ransomware tengono d’occhio il lavoro dei concorrenti. Se uno di loro implementa con successo una determinata funzionalità, è molto probabile che anche altri lo facciano – commenta Jornt van der Wiel, Security Expert di Kaspersky -. Sempre più gruppi di ransomware adottano tecniche inventive che rendono gli attacchi ransomware ancora più mirati e distruttivi, e le statistiche di quest’anno lo dimostrano. Un’altra cosa che non smetteremo mai di ricordare al pubblico è la necessità di effettuare backup regolari e di conservarli offline”.