Sophos: ransomware e cryptomining non smetteranno di crescere sino a che le criptovalute non saranno più regolamentate

Quella del ransomware è diventata a tutti gli effetti un'industria ben organizzata. Alla fine, per gli hacker si è rivelato uno strumento estremamente efficace per monetizzare. Se inizialmente i criminali facevano tutto "in casa", creandosi gli strumenti usati per sferrare gli attacchi, identificando le vittime e gestendo la negoziazione del riscatto, oggi sempre più spesso vengono delegate molte delle operazioni, a partire dall'individuazione dei bersagli. Parliamo di Ransomware as a service, un fenomeno in costante crescita, come conferma il Threat Report recentemente pubblicato da Sophos.

Sophos Threat Repor 2021: il ransomware è la minaccia numero uno

Anche Sophos, come altre aziende che si occupano di cybersecurity, conferma che il ransomware è la minaccia principale, che ha rappresentato il 79% degli interventi di remediation dell'azienda. Al secondo posto (6%) si trovano gli attacchi lanciati sfruttando Cobalt Strike, uno strumento di pentesting il cui codice è stato pubblicato (illegittimamente) online nel 2020 e riprogrammato per essere usato come "arma" dai criminali informatici. 

Se il ransomware ha questo "successo" fra i criminali il motivo è da ricercare nella sua efficacia: gli attaccanti col tempo hanno evoluto le loro tecniche e non si limitano a bloccare i sistemi violati, ma minacciano i gestori di rendere pubblici dati sensibili, nella speranza di far cadere ogni resistenza e vedere il ricatto pagato in tempi brevi. Per questo motivo, i gruppi di hacker hanno iniziato a organizzarsi meglio, suddividendosi per molti versi i compiti: c'è chi realizza il ransomware vero e proprio, chi si occupa di individuare i bersagli più papabili, chi si concentra sulla violazione dei server RDP (Remote Desktop Protocol) e chi di acquistare gli accessi da gruppi che sono già riusciti a superare le difese di alcune imprese. Un lavoro di concerto, che permette anche a gruppi privi di specifiche competenze di scagliare attacchi estremamente efficaci.

Secondo Sophos, il trend del ransomware non è destinato a concludersi presto, anche perché nel 2021 uno dei "clienti" del ransomware as a service Conti - deluso dal trattamento ricevuto dagli autori - ha deciso di diffondere una guida e tutta la documentazione necessaria per eseguire un attacco sfruttando proprio il ransomware Conti.

I backup? Non bastano

Le aziende hanno compreso velocemente la necessità di avere backup offline e dei piani di business continuity in caso di disastro, fatto che ha impedito in alcuni casi di pagare il riscatto richiesto. Anche i criminali informatici però hanno mutato velocemente le loro strategie, sfruttando il dwell time (il tempo che trascorre fra una violazione informatica e il momento in cui i responsabili dell'azienda realizzano di essere stati attaccati) per andare alla ricerca di informazioni sensibili e preziose (codici sorgenti, segreti industriali, liste di clienti o nel caso di ospedali di pazienti) che verranno poi salvate. Questi dati vengono usati come strumento di minaccia: chi non paga, rischia di vedere questi dati pubblicati online, fatto che può portare a un danno sia di immagine sia economico immenso.

L'intelligenza artificiale è sempre più accessibile agli hacker

Negli ultimi anni abbiamo visto una crescita delle soluzioni di cybersecurity che fanno leva su IA e machine learning per individuare i tipici pattern di un attacco informatico. Se inizialmente l'IA era uno strumento a disposizione di poche aziende, oggi però è sempre più accessibile a tutti, a partire dagli strumenti per generare falsi testi e immagini che poi possono venire sfruttati per rendere più efficaci i tentativi di phishing. Al momento, però, secondo Sophos non si è ancora notato un grande utilizzo di queste tecniche da parte di attori malevoli. Si vedrà invece una maggiore diffusione delle soluzioni basate su IA per potenziare la sicurezza: i SoC saranno guidati dall'intelligenza artificiale, e offriranno agli utenti suggerimenti e raccomandazioni automatiche su dove agire per rendere più robusta l'infrastruttura. 

Ransomware e Cryptojacking: le criptovalute sono una risorsa preziosa per i criminali informatici

Un'altra tipologia di attacco molto diffusa è quella del cryptojacking, cioè il violare sistemi informatici e sfruttarne la potenza di calcolo per minare criptovalute. Uno dei malware di questo tipo più diffusi è MrbMiner, che secondo Sophos è gestito da attori operanti in Iran.

In questo caso la selezione dei bersagli è più semplice e, come nel caso dei malware MyKings, LemonDuck, or KingMiner, gli attaccanti si limitano a sfruttare tecniche automatizzate per andare alla ricerca di server vulnerabili da violare per poi abusarne le risorse così da minare bitcoin, ethereum o altre valute. Secondo Sophos, vedremo un aumento di questo tipo di attacchi nel 2022, così come di quelli di tipo ransomware: regolamentare in maniera più efficace le criptovalute potrebbe aiutare a limitare questo tipo di minacce. 

“Il ransomware prospera grazie alla sua capacità di adattarsi e innovare", spiega Chester Wisniewski, principal research scientist di Sophos. "Per esempio, mentre le offerte RaaS non sono certo una novità, negli anni precedenti il loro contributo principale era quello di portare il ransomware alla portata di cybercriminali meno qualificati o meno ben finanziati. Questo è cambiato e, nel 2021, gli sviluppatori RaaS stanno investendo il loro tempo e le loro energie nella creazione di un codice sofisticato e nel determinare il modo migliore per ottenere pagamenti più elevati dalle proprie vittime e dalle compagnie di assicurazione. Adesso stanno delegando ad altri il compito di identificare le vittime, installare, eseguire il malware e riciclare le criptovalute rubate. Questo sta distorcendo il panorama delle minacce informatiche, e le minacce comuni, come i loader, i dropper e gli Initial Access Broker che erano in circolazione e causavano disagi ben prima dell'ascesa del ransomware, vengono risucchiati in questo "buco nero" che sembra consumare tutto che è il ransomware".