La minaccia ransomware dopo un breve calo, è di nuovo in aumento. È probabilmente opera di Conti

Dopo un recente calo, gli attacchi ransomware sono tornati in aumento. Questo secondo i dati rilasciati da NCC Group, la rinascita è guidata dai vecchi gruppi di ransomware-as-a-service (RaaS) che riemergono sotto altre nuove forme.

NCC Group riporta che con i dati raccolti 

“monitorando attivamente i siti di fuga utilizzati da ciascun gruppo di ransomware e analizzando i dettagli delle vittime man mano che vengono rilasciati”

i ricercatori hanno stabilito che Lockbit era di gran lunga la banda di ransomware più prolifica a luglio, con 62 attacchi documentati.

Sono dieci in più rispetto al mese precedente e più del doppio del secondo e del terzo gruppo più prolifico messi insieme. 

“Lockbit 3.0 mantiene il primato come il gruppo di ransomware più minaccioso”

hanno scritto gli autori del rapporto “e un gruppo del quale tutte le organizzazioni dovrebbero esserne consapevoli”.

Il secondo e terzo gruppo più prolifico è Hiveleaks – 27 attacchi – e BlackBasta – 24 attacchi. 

Queste cifre rappresentano un aumento per ogni gruppo: da giugno, un aumento del 440% è stato segnalato per Hiveleaks e un aumento del 50% per BlackBasta.

Può darsi che la recrudescenza degli attacchi ransomware e l’ascesa di questi due gruppi particolari siano intimamente collegati.

I ricercatori di NCC Group hanno contato 198 campagne ransomware di successo a luglio, con un aumento del 47% rispetto a giugno. 

Sebbene queste informazioni siano inquietanti, il picco massimo è stato raggiunto questa primavera, con quasi 300 campagne ransomware individuate sia a marzo che ad aprile.

A maggio, il governo degli Stati Uniti ha intensificato i suoi sforzi contro la criminalità informatica russa offrendo fino a 15 milioni di dollari per informazioni sul collettivo Conti, allora la più importante banda di ransomware al mondo.

Gli autori del rapporto hanno ipotizzato che i veterani del gruppo Conti, “abbiano iniziato a stabilirsi nella loro nuova modalità operative, con il risultato di controllare ulteriori gruppi” e Hiveleaks e BlackBasta sono il risultato di questa grande opera di ristrutturazione. 

Entrambi i gruppi sono “associati a Conti“, hanno osservato gli autori, Hiveleaks come affiliato e BlackBasta come ceppo di malware. 

“In quanto tale, sembra che non ci sia voluto molto prima che la presenza di Conti sia nuovamente rilevata nel panorama delle minacce, anche se sotto una nuova forma di controllo”.

Ora che Conti è adeguatamente diviso in due, hanno ipotizzato gli autori, “non sarebbe sorprendente vedere queste cifre aumentare ulteriormente nel prossimo futuro”.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Pietro Melillo

Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"

Aree di competenza: Cyber Threat Intelligence, Ransomware, Sicurezza nazionale, Formazione