Il threat intelligence team ha pubblicato una nuova ricerca, Ransomware Retrospective 2024, che prende in esame gruppi nuovi, chiusi e principali attività che hanno coinvolto aziende in tutto il mondo durante lo scorso anno
Il 2023 ha portato il ransomware in modo ancor più evidente all’attenzione del mercato ponendo alle aziende sfide particolarmente impegnative. Lo scorso anno, infatti, le vittime segnalate dai siti di leak sono aumentate del 49%, con un totale di 3.998 post indicati nei vari gruppi ransomware.
Cosa ha provocato questa impennata di attività? Nel 2023 sono state registrate vulnerabilità di alto profilo come l’injection SQL per i servizi MOVEit e GoAnywhere MFT. Gli exploit zero-day per queste vulnerabilità hanno portato a picchi di infezioni ransomware da parte di gruppi come CL0P, LockBit – sgominato ieri grazie a un’imponente operazione delle forze dell’ordine britanniche e statunitensi – e ALPHV (BlackCat) prima che i difensori potessero aggiornare il software vulnerabile.
Le analisi effettuate da Unit 42 rivelano la comparsa di almeno 25 nuovi gruppi di ransomware nel 2023, un dato che sottolinea la continua attrazione del ransomware come attività criminale redditizia. Nonostante la comparsa di nuovi gruppi come Darkrace, CryptNet e U-Bomb, molti di questi nuovi attori di minacce ransomware non hanno resistito e sono scomparsi nella seconda metà dell’anno.
Il 2023 è stato un anno particolarmente attivo per le forze dell’ordine internazionali, che hanno intensificato l’attenzione rivolta al ransomware, portando al declino di gruppi come Hive e Ragnar Locker e al quasi collasso di ALPHV (BlackCat).
Il set di dati a disposizione di Unit 42 rivela l’evoluzione registrata dai gruppi di ransomware nel 2023, insieme ai settori interessati e alla distribuzione geografica degli attacchi.
Una minaccia rivolta a tutti i settori e a tutte le regioni
Nel corso dell’anno, gli attori delle minacce ransomware hanno preso di mira un’ampia gamma di organizzazioni senza prediligere settori specifici. Detto questo, i dati raccolti da Unit 42 sui siti di leak indicano che l’industria manifatturiera è stata la più colpita lo scorso anno, con significative vulnerabilità registrate. La motivazione? Le aziende di questo settore hanno generalmente una visibilità limitata sui propri sistemi di tecnologia operativa (OT), spesso non hanno un monitoraggio adeguato della rete e talvolta non implementano le migliori pratiche di sicurezza.
Sebbene aziende di almeno 120 Paesi diversi siano state colpite dall’estorsione di ransomware, gli Stati Uniti si sono distinti come obiettivo principale del ransomware, con il 47% dei post sui siti di leak che coinvolgevano aziende statunitensi. Seguono seguiti Regno Unito (6,5%), Canada (4,6%) e Germania (4%), con l’Italia che si colloca al 6° posto, con il 3%.
In totale, nel 2023, i ricercatori hanno osservato 3.998 post da siti di leak, rispetto ai 2.679 post del 2022, dato che segna un aumento di circa il 49%.
Il primo DLS (Dedicated Leak Site) è stato aperto nel 2019 dal gruppo Maze, quando ha iniziato a utilizzare la tattica di doppia estorsione. Rubando i file della vittima prima di crittografarli, Maze è stato il primo gruppo noto a creare un sito di leak per costringere la vittima a pagare un riscatto per “liberare” i dati rubati. Questi attori delle minacce spingono le vittime a pagare, non solo per decifrare i file, ma anche per impedire che questi vengano esposti pubblicamente. Dal 2019, i gruppi di ransomware hanno adottato sempre più spesso siti di leak come parte delle loro operazioni.
A causa degli elevati pagamenti ottenuti dalle vittime negli ultimi anni, i criminali informatici sono spesso allettati dall’idea del ransomware come fonte di guadagno. Quando formano nuove gang, non tutti i tentativi hanno successo o sono sostenibili. Un nuovo gruppo deve considerare diverse sfide non applicabili ad altri malware, come la comunicazione con le vittime e una maggiore sicurezza operativa. La natura pubblica delle operazioni pericolose aumenta il rischio di rilevamento da parte di forze dell’ordine, fornitori di sicurezza e altri difensori.
I gruppi ransomware devono anche considerare la concorrenza. La condivisione dei profitti, le capacità del software e il supporto degli affiliati possono avere un impatto significativo sulla posizione di un nuovo gruppo in un mercato criminale altamente competitivo come questo. Nonostante queste sfide, i dati rivelano 25 nuovi siti di leak nel 2023, con il lancio di almeno un’offerta di ransomware-as-a-service (RaaS), con la speranza di diventare un concorrente nel mercato del ransomware. Il più attivo è stato Akira con quasi 200 post sul DLS ed è stato collegato a Conti attraverso transazioni di criptovaluta associate al gruppo dirigente del ransomware.
Gruppi ransomware che hanno interrotto le attività
Il 2023 ha visto anche il declino di diversi gruppi ransomware di spicco per motivi differenti, tra cui sovraesposizione e tattiche aggressive, che hanno attirato l’attenzione delle forze dell’ordine e di aziende di cybersicurezza. Finire sotto i riflettori ha comportato un aumento della pressione e delle sfide operative.
Uno dei gruppi più prolifici del 2022, Hive è stato smantellato nell’ambito di un’operazione condotta dalle forze dell’ordine riportata a gennaio 2023, ottenendo le chiavi di decrittografia del gruppo, condividendole con tutte le vittime nel mondo, facendo risparmiare loro oltre 130 milioni di dollari in potenziali pagamenti di riscatti. Anche Ragnar Locker, Ransomed.Vc, Trigona hanno subito lo stesso destino.
Per quanto riguarda invece ALPHV, conosciuto anche come BlackCat, il gruppo è stato colpito duramente nel corso del 2023. A dicembre, l’FBI ha interrotto le sue operazioni e rilasciato uno strumento di decodifica che ha permesso alle vittime compromesse di recuperare i propri dati. Si è trattato di un’enorme battuta d’arresto per ALPHV, che ha offerto incentivi per evitare che i suoi affiliati criminali fossero spaventati dall’FBI. Nel frattempo, altri gruppi di ransomware, come LockBit, hanno iniziato a braccarli. Da allora, il gruppo ALPHV ha risposto all’interruzione e si è opposto all’azione delle forze dell’ordine. Tuttavia, non riuscirà a migliorare la propria reputazione, potrebbe chiudere i battenti e ribattezzarsi come una nuova gang ransomware.
Gruppi che si sono potenzialmente trasformati
Il 2023 ha visto anche l’improvvisa scomparsa del ransomware Royal e di Vice Society. Entrambi sono stati attivi nel 2022 e nella prima metà dello scorso anno con strategie di estorsione multipla, attirando l’attenzione delle forze dell’ordine. Royal è stato creato da ex membri di Conti ed è stato coinvolto in diversi attacchi di alto profilo contro infrastrutture critiche. Ha cessato le operazioni nel luglio 2023, ma diverse fonti hanno riferito di somiglianze nel codice tra Royal e il nuovo ransomware BlackSuit, indicando un possibile rebranding.
Vice Society aveva attirato l’attenzione del pubblico e delle forze dell’ordine prendendo di mira organizzazioni del settore sanitario e dell’istruzione. Questo gruppo ha smesso di postare sul suo sito di leak nel giugno 2023, ma potrebbe non essere scomparsa del tutto. Diversi ricercatori hanno collegato Vice Society al nuovo ransomware Rhysida, suggerendo un rebrand.
Distribuzione dei gruppi
Dei 3.998 post sui siti di leak del 2023, il gruppo ransomware LockBit è stato fino a ieri il più attivo, con 928 aziende colpite (23% del totale). Operativo dal 2019 con poche interruzioni, LockBit è stato il gruppo più prolifico per due anni consecutivi e con la caduta di gang come Conti, Hive e Ragnar Locker, era diventato il ransomware di riferimento per molti attori delle minacce che sono poi diventati suoi affiliati.
LockBit ha lanciato diverse varianti che colpiscono sistemi operativi Linux e Windows. Utilizzando strumenti software liberamente disponibili e sfruttando la rapida crittografia di LockBit, gli affiliati potevano adattare le operazioni di ransomware alle proprie esigenze individuali.
Al secondo posto per numero di messaggi di leak c’è ALPHV (BlackCat), con circa il 9,7% dei messaggi totali dei siti di leak nel 2023. Al terzo posto c’è il ransomware CL0P, con circa il 9,1% dei post. CL0P è noto per l’utilizzo di exploit zero-day di vulnerabilità critiche come quelle di MOVEit di Progress Software e GoAnywhere MFT di Fortra.