Kaspersky: 3 nuove tendenze del ransomware. Scopriamole assieme

Redazione RHC : 14 Maggio 2022 08:52

Gli esperti di Kaspersky Lab hanno pubblicato un rapporto sulle nuove tendenze tra i ransomware nel 2022. I ricercatori osservano una tendenza nello sviluppo di ransomware multipiattaforma, notano che i gruppi di black hacker continuano a svilupparsi e assomigliano più a normali attività commerciali e rispondono attivamente anche agli eventi geopolitici e alla situazione sul territorio dell’Ucraina.

Un cryptolocker multipiattaforma la chiave del successo

Gli esperti vedono nell’uso delle capacità multipiattaforma una prima tendenza. Infrastrutture sempre più complesse in grado di connettere un’ampia varietà di sistemi stanno diventando bersagli per gli aggressori. Per infliggere il massimo danno e rendere quasi impossibile il ripristino, il malware deve essere in grado di attaccare diverse architetture e crittografare i dati su diversi sistemi operativi. 

Per raggiungere questo obiettivo, gli aggressori possono utilizzare linguaggi di programmazione multipiattaforma come Rust o Golang. Inoltre, questo approccio aiuta a utilizzare ciò che è già scritto su altre piattaforme.

Ad esempio, da dicembre 2021, il gruppo BlackCat ha attaccato più di 60 organizzazioni utilizzando malware di nuova generazione scritto in Rust. A sua volta, DeadBolt ransomware, un gruppo noto per gli attacchi a Qnap, ha utilizzato Golang. 

Conti, uno dei gruppi ransomware più attivi, ha sviluppato una variante mirata per Linux che poteva essere utilizzata solo da pochi partner selezionati degli aggressori.

La formazione di ecosistemi su larga scala

La seconda tendenza è stata la formazione di ecosistemi su larga scala. Tra la fine del 2021 e l’inizio del 2022, i gruppi di hacker hanno continuato a sviluppare strumenti e tattiche per se stessi e per i loro clienti e per facilitare i processi aziendali. Ad esempio, alcuni strumenti di esfiltrazione dei dati sono stati migliorati. Tali modifiche consentono di distogliere l’attenzione da parte delle autorità e dei ricercatori.

Gli esperti definiscono il gruppo Lockbit un esempio davvero notevole dell’evoluzione del ransomware. Negli ultimi mesi ha stabilito aggiornamenti regolari alla propria infrastruttura, creato “pagine di attesa” che reindirizzano gli utenti ai mirror disponibili e introdotto StealBIT, uno speciale strumento di esfiltrazione che consente di rubare dati alla massima velocità. È stato sviluppato anche lo strumento di esfiltrazione Fendr (o Exmatter), utilizzato in alcuni attacchi BlackMatter, Conti e BlackCat.

La reazione del cybercrime agli eventi geopolitici

Un’altra tendenza interessante è la reazione dei black hacker agli eventi geopolitici. A causa della situazione sul territorio dell’Ucraina, sono emerse attività significative in forum specializzati. Poco dopo l’inizio del conflitto, alcuni gruppi di estorsioni hanno iniziato a sostenere attivamente una delle deu parti. Di conseguenza, si è verificata una spaccatura nel cybercrime e sono iniziati gli attacchi a sostegno della Russia o dell’Ucraina.

Ad esempio, uno dei malware scoperti di recente era Freeud, una wiper sviluppato da sostenitori filo-ucraini. Anche il cybergruppo Stormous ha fatto conoscere la sua posizione.

“Anche quest’anno l’attività ransomware che abbiamo visto l’anno scorso ha continuato a svilupparsi. Ci sono tutte le ragioni per credere che questa tendenza continuerà in futuro. Oggi questo si esprime non in un aumento del numero di attacchi, ma nella loro sofisticazione. Nel 2021 alcuni gruppi sono stati costretti a sospendere le loro attività, ma oggi nuovi attori con tecnologie più avanzate hanno già preso il loro posto”

afferma Dmitry Galov, esperto di cybersecurity di Kaspersky Lab.

È interessante notare che, secondo Group-IB, dopo il 24 febbraio 2022, c’è stato un triplice aumento degli attacchi ransomware in Russia. Ad esempio, subito dopo l’inizio dell’“operazione speciale”, il gruppo Conti ha cominciato a essere sospettato di avere legami con la Russia (soprattutto dopo le sue dichiarazioni di sostegno al governo del Paese).

“Dopodiché, il partner, che lavorava dal territorio dell’Ucraina, ha pubblicato informazioni sulle identità dei partecipanti di Conti, nonché il codice sorgente del programma ransomware, che ha consentito agli hacktivisti di utilizzare questa famiglia di programmi contro le organizzazioni in Russia”

afferma il capo del laboratorio di analisi legale digitale del Gruppo-IB Oleg Skulkin.