Secondo Kaspersky, gli attacchi ransomware mirati, come la variante Play, rappresentano ancora piccole percentuali, rispetto agli attacchi da malware, ma sono quasi raddoppiati.
“I dati del rapporto”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “ci confermano quanto assistiamo quotidianamente, un incremento importante degli attacchi ransomware”. Ecco come proteggersi dalle nuove tecniche di auto-propagazione.
Indice degli argomenti
In forte aumento gli attacchi ransomware mirati
Gli utenti colpiti da attacchi ransomware mirati sono passati dallo 0,016% del 2021 allo 0,026% di tutti gli utenti attaccati da malware nel 2022.
I cyber criminali stanno evolvendo. Dagli attacchi opportunistici, stanno passando ad attacchi ransomware mirati per mettere a segno i loro obiettivi. “Preoccupa la natura mirata degli attacchi”, mette in guardia Paganini, “dunque, per questa ragione sono più pericolosi essendo l’attaccante in possesso di maggiori informazioni sulle aziende prese di mira. Questo fenomeno è in parte attribuibile al proliferare di access broker”.
Le organizzazioni di ransomware stanno affinando le loro tecniche, sia quelle più note che le tecniche emergenti. “Altro aspetto significativo”, infatti, “è la continua evoluzione delle principali operazioni ransomware che migliorano i propri malware aumentandone le capacità di infezione ed evasione. Il quadro che ci troviamo dinanzi è molto preoccupante”, conclude Paganini.
Dall’ultimo report di Kaspersky sul crimeware del 2022 emerge che il gruppo LockBit ha introdotto nuove opzioni, mentre il gruppo Play sarà anche l’ultimo arrivato, ma è già in grado di usare tecniche di auto-propagazione.
Massima allerta per il nuovo ransomware Play
Il gruppo di ransomware Lockbit rappresenta una delle varianti di ransomware in uso più diffuse e in rapida evoluzione. Questo gruppo è così innovativo da aggiungere nuove funzionalità, a partire dal dumping delle credenziali, una pratica insidiosa per gli esperti della cyber security.
Nel corso del 2022, Kaspersky ha però scoperto oltre 21.400 varianti di ransomware. La rilevazione più recente è Play. La nuova variante di ransomware ha la peculiarità di essere offuscata per rendere più difficoltosa e complessa l’analisi.
Il codice di Play non assomiglia ad altri ransomware, ma fortunatamente è ancora in fase embrionale. Dal principio dell’indagine, non è stato possibile determinare la posizione della violazione. Inoltre i criminali hanno chiesto alle vittime di contattarli mediante un indirizzo email lasciato nella nota di
riscatto.
Ma, a catalizzare l’attenzione dei ricercatori a caccia di ransomware, è il fatto che la variante Play includa una proprietà già rilevata in altre varianti evolute di ransomware: l’auto propagazione.
Lo schema di attacco preevede che gli attaccanti, una volta scoperto un server message block (SMB), stabiliscano una connessione. In seguito, Play cerca di montare il SMB, per distribuire e proseguire con l’esecuzione del ransomware nel sistema remoto.
Come proteggersi
Per difendersi dai ransomware e dalla variante Play, occorre esporre i servizi di remote desktop (come RDP) alle reti pubbliche, a meno che non sia indispensabile. Inoltre è necessario servirsi sempre di password forti per usufruire di tali servizi.
Appena disponibili, bisogna iInstallare tempestivamente le patch per le soluzioni VPN commerciali che offrono accesso ai dipendenti remoti e funzionano da gateway nella rete.
La strategia di difesa deve focalizzarsi sul rilevamento dei movimenti laterali e dell’esfiltrazione dei dati verso Internet, concentrandosi sul traffico in
uscita per determinare le connessioni dei criminal hacker.
Oltre ai backup, è importante adottare non solo una semplice cifratura non dei dischi, installati su PC e server, ma una cifratura più profonda e raffinata, tale da raggiungere i dati nel database. Infatti, gli attacchi di tipo ransomware ormai cifrano, mentre esfiltrano il dato. La protezione del dato è dunque una priorità.
