Nel Luglio 2019 avevamo ritenuto importante pubblicare questa notizia:
In breve, ci era sembrato importante perchè rendeva oggettivamente l'inizio di un importante cambiamento nel mondo dei ransomware, ovvero quello del passaggio da attacchi "nel mucchio" ad attacchi mirati, più specifici e sopratutto ben più remunerativi dell'utente home ricattato per riavere in chiaro le foto delle vacanze. Protagonisti di questo cambiamento erano i ransomware Sodinokibi e Ryuk, le cui richieste di riscatto contro aziende ed enti pubblici avevano fatto segnare un boom: da 12.700 dollari nel 1° trimestre 2019 a 36.000 dollari nel 2° trimestre.
A distanza di mesi ritorniamo sul tema perchè nuovi dati non hanno fatto altro che confermare questo infausto trend: ad oggi il riscatto medio, sempre spinto da Sodinokibi e Ryuk (che si confermano con Maze i top player del mondo ransomware), si attesta a 111.000 dollari. Stando ai dati pubblicati in un report di BleepingComputer insieme all'azienda di cyberisicyrezza Coveware, il primo trimestre dell'anno ha registrato un aumento dei riscatti medi del 33% circa rispetto al trimestre precedente.
Da grandi responsabilità derivano grandi riscatti
Sono state colpite sia aziende piccole che medio-grandi, anche se le prime con riscatti più bassi. La media dei riscatti richiesti alle piccole aziende oscilla intorno ai 44.021 dollari, un aumento di circa 3.000 dollari rispetto al 4° trimestre 2019. Il rapporto di Coveware parla chiaro:
"i pagamenti di riscatto di grandi imprese sono la minoranza in termini di volume, ma la dimensione dei pagamenti ha notevolmente aumentato il riscatto medio".
Fonte: Bleepingcomputer |
Inoltre, un fattore che contribuisce notevolmente a queste cifre, senza precedenti nel mondo dei ransomware, è la nuova tattica (che ha visto come capofila il ransomware Maze) di esfiltrare i dati dalla rete prima di criptare i sistemi di renderli pubblici / metterli in vendita in caso in cui l'azienda o l'ente vittima si rifiutino di pagare il riscatto.
Sono molteplici ormai gli operatori ransomware che, pur con diverse fortune, hanno creato siti per rendere pubblici o mettere in vendita parte o anche tutti i dati rubati. Tra questi troviamo i ransomware Maze, Sodinokibi, DopplePaymer, Clop, Sekhmet, Mespinoza, Nemty ecc...
Per approfondire >> Come si ricatta un'azienda: il ransomware Maze colpisce la più grande azienda di sicurezza U.S.A e inizia l'incubo.
Per approfondire >> Come si ricatta un'azienda: il ransomware Maze colpisce la più grande azienda di sicurezza U.S.A e inizia l'incubo.
La top 10 dei ransomware
Intanto il "mercato" dei ransomware si conferma bloccato, nel senso assolutamente dominato da alcuni protagonisti che ormai ne fungono da capofila da molto tempo.
Fonte: Bleepingcomputer |
La top 3 rimane invariata: Sodinokibi registra il 26.7% delle infezioni, Ryuk il 19.6% , Phobos e Dharma il 7.8%. Recupera posti e si fa preoccupante una nuova famiglia di ransomware, quella di Mamba, che guadagna 4 posizioni rispetto al trimestre precedente. Ad ora è in distribuzione una nuova variante del ransomware Mamba, individuata nella seconda metà del 2019, che usa il tool open-source DiskCryptor per criptare i file e scrivere un boot loader personalizzato nel master boot record (per approfondire leggi qui).
Questi ransomware variano però atteggiamento riguardo un punto specifico: come accedere e alle reti delle vittime. Ad ora si conferma molto diffusa la pratica di acquistare le credenziali di desktop remoto delle vittime nel darkweb. In alcuni casi però troviamo approcci di distribuzione molto più complessi che si basano su modelli spear-phishing o di movimenti-laterali in cerca di target di valore. Questo è lo stile di Ryuk e Sodinokibi: attaccano i provider di servizi (MSP) e tramite questi colpiscono aziende precise.
Gli attacchi di Ryuk e Sodinokibi si confermano i più terribili quindi, anche in termini di riscatto: ad ora Ryuk guida la classifica con oltre 1.3 milioni di dollari. Sodinokibi sta a buona distanza, con una media di poco più di 300.000 dollari. Phobos invece continua a preferire le piccole imprese, ritenendole meno organizzate a subire attacchi ransomware: sono anche quelle che più spesso lasciando i servizi RDP aperti. In questo caso il pagamento medio è di 16.000 dollari.
Gli attacchi di Ryuk e Sodinokibi si confermano i più terribili quindi, anche in termini di riscatto: ad ora Ryuk guida la classifica con oltre 1.3 milioni di dollari. Sodinokibi sta a buona distanza, con una media di poco più di 300.000 dollari. Phobos invece continua a preferire le piccole imprese, ritenendole meno organizzate a subire attacchi ransomware: sono anche quelle che più spesso lasciando i servizi RDP aperti. In questo caso il pagamento medio è di 16.000 dollari.
Coveware riporta inoltre come il tasso di recupero dei file dopo il pagamento del riscatto abbia subito una piccola flessione, riducendosi al 96%, 1 punto percentuale in meno: la cosa si deve al fatto che sono aumentati i casi in cui la criptazione corrompe i file rendendoli irrecuperabili anche con il tool ricevuto dai criminali dopo il pagamento del riscatto.
Nessun commento:
Posta un commento