Gli attacchi ransomware diminuiscono nel 2024, ma l’economia criminale rimane in espansione

Secondo un rapporto pubblicato di recente dal Financial Crimes Enforcement Network (FinCEN), l’attività globale del ransomware ha raggiunto il picco nel 2023, per poi crollare nel 2024. Questo calo è attribuito ai successivi attacchi ai gruppi ransomware su larga scala, tra cui ALPHV (BlackCat) e LockBit, attraverso indagini collaborative a livello internazionale.

Il FinCEN ha analizzato migliaia di segnalazioni ai sensi del Bank Secrecy Act (BSA) presentate da istituti finanziari tra gennaio 2022 e dicembre 2024, identificando 4.194 casi di ransomware e oltre 2,1 miliardi di dollari in riscatti. Questa cifra è quasi pari al totale segnalato negli otto anni dal 2013 al 2021.

4,5 miliardi di dollari: l’economia del ransomware tra il 2013 e il 2014

Considerando l’intero periodo (2013-2024), si arriva a circa 4,5 miliardi di dollari, il che dimostra che l’enorme economia criminale del settore ransomware è ancora in piena espansione. Secondo il rapporto, il 2023 è stato “l’anno più redditizio mai registrato” per i gruppi ransomware, con 1.512 attacchi e 1,1 miliardi di dollari in pagamenti di riscatto segnalati, con un aumento del 77% rispetto all’anno precedente.

Ma questa tendenza si è invertita nel 2024.

Mentre il numero di incidenti è leggermente diminuito a 1.476, il riscatto totale pagato è crollato a 734 milioni di dollari. Il rapporto attribuisce questo calo alle operazioni su larga scala condotte dalle autorità statunitensi ed europee contro Black Cat (fine 2023) e Lockbit (inizio 2024). In effetti, entrambi i gruppi sarebbero stati tra i gruppi di attacco “più attivi” all’epoca e, a quanto pare, stanno faticando a riorganizzarsi dopo la distruzione delle loro infrastrutture.

“La maggior parte dei pagamenti di riscatto era inferiore a 250.000 dollari”, ha affermato FinCEN, sottolineando che le piccole e medie imprese, così come le grandi aziende, continuano a subire perdite. I settori più colpiti sono quello manifatturiero, finanziario e sanitario.

I settori più colpiti dagli attacchi ransomware tra il 2022 e il 2024 sono:

• Produzione: 456 casse
• Servizi finanziari: 432 casi
• Settore medico: 389 casi
• Distribuzione al dettaglio: 337 casse
• Servizi legali: 334 casi

In termini di entità dei danni, il settore finanziario è stato quello che ha subito i maggiori danni, seguito da quello medico e da quello manifatturiero.

• Servizi finanziari: circa 365,6 milioni di dollari
• Settore sanitario: circa 305,4 milioni di dollari
• Produzione: circa 284,6 milioni di dollari
• Scienza e tecnologia: circa 186,7 milioni di dollari
• Vendite al dettaglio: circa 181,3 milioni di dollari

In particolare, si è scoperto che gli istituti finanziari rappresentano il settore più grande non solo in termini di portata degli attacchi, ma anche in termini di riscatto totale pagato. Sono attive 267 famiglie di ransomware, tra cui “Akira” è quella che compare più frequentemente.

I Ceppi dei ransomware

FinCEN ha riferito che tra il 2022 e il 2024 sono state segnalate in totale 267 diverse famiglie di ransomware.

Un piccolo numero di gruppi ha guidato l’attacco generale, e le seguenti famiglie sono quelle menzionate più frequentemente:

• Akira: al primo posto per numero di incidenti segnalati con 376 casi.
• Alphabet/BlackCat (ALPHV/BlackCat): al primo posto per ricavi derivanti dai riscatti, con circa 395 milioni di dollari.
• LockBit: circa 252,4 milioni di dollari

Tra gli altri personaggi ai vertici della classifica ci sono Black Basta, Royal, BianLian, Hive, Medusa e Phobos. Solo queste prime 10 organizzazioni hanno pagato riscatti per oltre 1,5 miliardi di dollari tra il 2022 e il 2024.

Circa il 97% dei pagamenti dei riscatti è stato effettuato in Bitcoin, a conferma che la criptovaluta rimane un mezzo di transazione fondamentale nell’economia del ransomware. Un colpo decisivo per le agenzie investigative: “Il riscatto diminuirà, ma gli attacchi continueranno.”

La cooperazione internazionale il punto di svolta

Il rapporto ha citato la cooperazione internazionale tra le agenzie investigative negli Stati Uniti e in Europa come fattore chiave nella significativa riduzione dei riscatti nel 2024. Con l’infrastruttura di Black Cat e Lockbit neutralizzata, la redditività degli aggressori è diminuita drasticamente e si ritiene che diverse organizzazioni stiano vivendo una fase di confusione durante la riorganizzazione.

Tuttavia, il fatto che il numero di attacchi non sia diminuito è un altro messaggio di allarme. Anche con riscatti più bassi, il numero di tentativi di attacco continua ad aumentare. Il rapporto prevede che “nuovi gruppi più piccoli continueranno a emergere e a riempire il mercato”.

FinCEN esorta tutte le organizzazioni a “segnalare immediatamente qualsiasi attacco ransomware all’FBI e a FinCEN”, sottolineando che è fondamentale monitorare le reti criminali e bloccare i fondi attraverso la condivisione di informazioni finanziarie.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Pietro Melillo

Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"

Aree di competenza: Cyber Threat Intelligence, Ransomware, Sicurezza nazionale, Formazione