2022, l'anno d'oro dei ransomware

Il 2022 ha confermato come le gang ransomware restino il pericolo numero uno per la cybersecurity. Il SOC di Swascan ha quindi deciso di analizzare dati riguardanti le vittime di alcune tra le gang più attive quest’anno, come LockBit 2.0, Conti o Stormous.

L’approccio all’analisi comprende l’identificazione dei siti sul Dark web delle diverse gang, l’individuazione delle vittime postate su questi siti, e una clusterizzazione delle informazioni secondo l’area geografica, il settore di appartenenza e il fatturato.

L’inizio del 2022

L’analisi del primo trimestre del 2022 ha portato alla luce 544 vittime, superando di circa un centinaio le vittime dell’anno precedente nello stesso periodo. Il paese più colpito restano gli USA: le vittime situate in questo paese sono ben 38,5%. Altri paesi tra i più colpiti sono il Regno Unito, la Germania, l’Italia e la Francia.

Dal mese di gennaio le vittime sono raddoppiate, con un aumento medio mensile del 47%, mentre sono diminuiti i threat actors attivi. Confrontando l’analisi con quella dell’anno precedente, notiamo che il 2022 è iniziato con molti più attacchi rispetto al 2021 e che la tendenza di crescita è sempre costante.

La gang più attiva in questo periodo è Lockbit, che ruba il posto a Conti, probabilmente in declino dopo il discorso @ContiLeaks. Il 58% degli attacchi è da attribuirsi a queste due gang. Secondo un tweet di vx-underground, il riscatto chiesto da Lockbit è stato pagato da più di 12mila organizzazioni, per un guadagno stimato di oltre un miliardo di dollari.

Riguardo la distribuzione geografica delle vittime, la maggior parte si trova negli Stati Uniti, con 289 attacchi; al secondo posto si trova il Regno Unito con 48 vittime, mentre l’Italia è al terzo posto con 40.

Il settore più colpito è di gran lunga quello manufatturiero, che comprende il 69% delle vittime. Gli altri settori colpiti sono quello tecnologico, quello dell’educazione, il food & beverage, quello sanitario e quello finanziario. Gli attacchi ai settori più critici sono aumentati dopo lo scoppio del conflitto tra Russia e Ucraina, che è già stato nominato “guerra cyber” più volte.

L’ultimo punto preso in analisi è quello della dimensione: le economie di scala stanno diventando il focus delle gang. Più un’azienda è grande, più il riscatto può essere alto. Nonostante ciò, anche aziende di piccole e medie dimensioni stanno iniziando ad essere incluse. In un’analisi di 100 aziende, il 58% è composto da aziende di piccole dimensioni: questo perché sono molto più suscettibili al pagamento del riscatto.

In conclusione, l’inizio del 2022 vede una diminuzione degli attacchi totali rispetto alla fine del 2021, probabilmente a causa della sparizione di uno dei principali gruppi ransomware, Pysa. In compenso, nell’anno nuovo è nato Stormous, che ha conquistato in brevissimo tempo il quarto posto. In generale, lo scenario è comunque controllato da Lockbit e Conti.

“Nel 2022 si è notato un netto spostamento verso le Piccole e Medie Imprese, questo potrebbe impattare notevolmente sulle Supply Chain”, ha commentato il Ceo di Swascan, Pierguido Iezzi. Sul piano geopolitico, invece, è sempre più evidente l'aumento enorme della connivenza tra Cyber Crime e Cyber war, con i due gruppi che si autoalimentano con la loro attività.

La difesa dal ransomware

Le gang continueranno sicuramente ad utilizzare i ransomware. Il funzionamento del ransomware si può riassumere con la cyber kill chain, divisa in sette fasi: Reconnaissance (ricognizione degli obiettivi), Weaponization (individuazione della vulnerabilità e del modo di sfruttarla), Delivery (distribuzione dell’exploit), Exploitation (sfruttamento vulnerabilità per entrare nei sistemi), Installation (creazione accesso ai sistemi), Command & Control e Actions on Objectives (svolgimento azioni mirate per l’attacco).

Il migliore approccio è seguire i tre pilastri della cyber security moderna, ovvero la Sicurezza Predittiva, Sicurezza Preventiva e Sicurezza Proattiva.

Questi tre elementi vanno a creare il Cyber Security Framework.

Per la Sicurezza Predittiva, sono disponibili i servizi di Domain Threat Intelligence, Cyber Threat Intelligence ed Early Warning Threat Intelligence. Questo tipo di approccio va a identificare le minacce a livello di web, dark web e deep web. Inoltre, ricerca minacce emergenti ed effettua attività di Early Warning.

Per la Sicurezza Preventiva, si possono eseguire dei Vulnerability Assessment o dei Penetration test. In più, è anche possibile eseguire uno Phishing/Smishing attack Simulation e organizzare corsi legati all’Awareness. Ultimo ma non per importanza, è disponibile anche un ICT Security Assessment. In questo ambito si misura il rischio cyber, si definiscono i piani di remediation e si indica il rischio esposto al Layer della sicurezza proattiva.

Per la Sicurezza Proattiva, vi sono due tipi di servizi: SOC (Security Operation Center ) e Incident Response Management. Con questi si contrastano e bloccano i cyber attacchi e si gestiscono i cyber incident.