Il ransomware continua a rappresentare una delle principali minacce alla sicurezza informatica sia per i singoli utenti sia per le organizzazioni pubbliche e private.
Il ransomware ha dimostrato di essere la minaccia più insidiosa e persistente che affligge denaro e utenti in tutto il mondo. Ora, le ultime statistiche rivelano che la domanda media di riscatto è aumentata di dieci volte, o anche di più, in un anno.
La prima famiglia di ransomware a cambiare le regole del gioco migliorando il modello ransomware-as-a-service era GandCrab. Gli operatori dietro la cryptovirus famigerato creato un modello di business molto profitto che altri hanno adottato rapidamente.
La prima notevole differenza che ha fatto risaltare GandCrab è l'esposizione, un vero segno di un modello di business in aumento. "prima GandCrab, squadre ransomware tradizionali, gestito da hacker russi di lingua agivano in privato, silenziosamente, ed evitato forum underground,"Un rapporto di Advanced Intelligence di 2019 delineato. GandCrab ha trasformato il business dei ransomware in un "operazione multimediale a tutti gli effetti". Branding, marketing, outreach, e anche le Pubbliche Relazioni (PR) si manifesta nelle comunicazioni continue con i clienti, affiliati, vittime, e ricercatori di sicurezza. Tutti gli elementi della campagna erano "meticolosamente impostato per stabilire un nuovo tipo di impresa ransomware".
Richiede il ransomware 2018-2019
Il modello RaaS di grande successo e redditizio introdotto da GandCrab è diventato una norma, rendendo più facile per gli attori delle minacce fare soldi.
Un nuovo rapporto della società di cibersicurezza Group-IB presenta nuove informazioni su come il panorama dei ransomware è cambiato in un anno da quando 2018. Poco detto, gli operatori di ransomware hanno approvato una gamma più ampia di metodi di infezione iniziale, aumentato la domanda media di riscatto, e ha persino iniziato a rubare file dalle vittime prima della crittografia per aumentare le possibilità di pagamento.
I dati raccolti dai ricercatori mostrano che gli attacchi ransomware dell'anno scorso sono aumentati di 40%. Con l'attenzione che si sposta su obiettivi più grandi, anche la richiesta di riscatto è aumentata, che varia da $6,000 a $84,000. Le famiglie di ransomware che chiedono i riscatti più grandi sono state Ryuk e REvil, noto anche come Sodinokibi.
The Ransomware Landscape in 2020
Sorprendentemente o meno, la domanda di ransomware ha continuato a crescere 2020. I dati Coveware rivelano che il pagamento medio è aumentato nel primo trimestre di 2020, raggiungendo l'incredibile $111,605, con Ryuk e Sodinokibi essendo i principali colpevoli di questo aumento.
Come è cambiata la distribuzione di ransomware 2020?
Secondo i ricercatori, attacchi drive-by effettuati tramite kit di exploit, sfruttando il PSR e altri servizi remoti esterni, e spear phishing sono stati finora i principali vettori di infezione 2020.
È interessante notare che i gruppi ransomware avanzati utilizzano in genere metodi che consentono loro di accedere a risorse più preziose. Tali attacchi di solito sfruttano vulnerabilità senza patch in app rivolte al pubblico e MSP compromessi (fornitori di servizi gestiti). Le fasi successive di questi attacchi includono la determinazione della persistenza, privilegi crescenti, bypassare le protezioni, ottenere varie credenziali, reti di mappatura, rubare file, e successivamente crittografandoli.
La maggior parte dei giocatori di ransomware, tra cui famiglie numerose come Ryuk, LockerGoga, Sodinokibi, Labirinto, e Netwalker scelgono tattiche di intrusione comuni, come RDP. Il motivo è semplice: l'accesso ai server con una porta aperta è un compito facile, come può essere ottenuto dai mercati sotterranei.
ransomware in 2021
Come si è evoluto il panorama delle minacce ransomware finora in 2021?
Secondo Forbes, la quantità media di transazioni ransomware segnalate al mese in 2021 è stato stimato in modo sbalorditivo $102.3 milione. Sulla base dei dati SAR, i ricercatori della sicurezza hanno detto di aver identificato 68 diverse varianti di ransomware attive nella prima metà del 2021. Le varianti di ransomware più comunemente segnalate per questo periodo includono REvil / Sodinokibi, Conti, Lato oscuro, Avaddon, e Phobos.
Sfruttare gli MSP era decisamente di tendenza 2019. Secondo un rapporto sull'armatura pubblicato nell'ottobre dello scorso anno, almeno 13 fornitori di servizi gestiti (MSP) sono stati attaccati da ransomware.
A causa della natura di una società MSP, attacchi alle loro infrastrutture di solito hanno molti risultati negativi. Un provider di servizi gestiti gestisce l'infrastruttura IT di altre imprese attraverso strumenti di amministrazione remota. Ci sono molte ragioni per le aziende decidono di assumere un MSP, come ad esempio riducendo le spese per gli amministratori di sistema.
Al fine di fare affidamento sui servizi di un MSP, la società dovrebbe installare il software del MSP, permettendo così l'accesso remoto alla rete aziendale. Ciò potrebbe creare una passività, e come visibile dai numeri di MSP compromesse, gli hacker hanno trovato un modo per sfruttare questo modello di business. Armatura era in grado di identificare 6 nuovi MSP e / o fornitori di servizi cloud-based che sono stati compromessi da ransomware. In precedenza 2019, la società di informazioni sulle minacce scoperto 9 altri attacchi, per un totale il numero delle vittime MSP ransomware in 2019 a 13.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: