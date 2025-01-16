Avvicinandoci alla fine del 2024, il ransomware rimane una minaccia dominante e in evoluzione contro qualsiasi organizzazione. I criminali informatici sono più sofisticati e creativi che mai. Integrano nuove tecnologie, utilizzano le tensioni geopolitiche e utilizzano persino le normative legali a proprio vantaggio.
Ciò che un tempo sembrava un crimine dirompente ma relativamente semplice si è evoluto in una sfida globale a più livelli che continua a minacciare sia le aziende che i governi.
Diamo un'occhiata allo stato attuale del ransomware. Ci concentreremo su come i criminali informatici stanno cambiando tattiche, facendo affidamento sulla tecnologia AI, sfruttando i framework normativi e altro ancora.
Uno degli sviluppi più significativi nel landscape ransomware è stato l'uso dell'AI per potenziare attacchi di phishing e ingegneria sociale. Storicamente, le e-mail di phishing spesso contenevano evidenti segni di frode: parole scritte male, grammatica scorretta e messaggi generici. Tuttavia, i nuovi strumenti di AI generativa possono creare e-mail altamente personalizzate e dall'aspetto professionale, il che ha cambiato drasticamente le regole del gioco. Questo probabilmente spiega perché i numeri e i tassi di successo degli attacchi di phishing sono aumentati, poiché le campagne di phishing sono più facili da generare e più convincenti che mai.
L'AI consente agli attori delle minacce di estrarre enormi quantità di dati per creare e-mail convincenti rivolte a individui o organizzazioni specifiche. Queste e-mail possono contenere informazioni contestuali che le fanno sembrare legittime, aumentando significativamente la probabilità di successo. La capacità di infliggere attacchi così precisi è il motivo per cui il ransomware è stato particolarmente devastante per settori come quello sanitario, dove qualsiasi interruzione può avere conseguenze che mettono a rischio la vita.
Inoltre, la tecnologia deepfake generata dall'AI ha iniziato a svolgere un ruolo nell'ingegneria sociale. I criminali informatici possono ora creare deepfake audio e video di dirigenti aziendali per indurre i dipendenti a trasferire denaro o a rivelare informazioni sensibili. Questo ha reso molto più difficile individuare le frodi, e le organizzazioni trovano sempre più difficile proteggersi da tali attacchi.
I gruppi ransomware non si affidano solo a mezzi tecnici per fare pressione sulle vittime affinché paghino il riscatto, ma manipolano anche le normative legali a proprio vantaggio. Uno degli sviluppi più sorprendenti nel 2024 è stato l'uso delle regole di divulgazione, in particolare quelle emanate dalla U.S. Securities and Exchange Commission (SEC).
Un recente caso di grande rilievo ha coinvolto il gruppo ransomware BlackCat/ALPHV che ha presentato un reclamo formale presso la SEC contro un fornitore di servizi di prestito digitale. Dopo aver esfiltrato i file dell'azienda, il gruppo avrebbe riferito alla SEC che il fornitore non ha rispettato le normative che impongono alle organizzazioni di rivelare qualsiasi incidente di cybersecurity entro quattro giorni lavorativi. Questa tattica "legale" aggiuntiva è stata concepita per spingere le vittime a pagare il riscatto, evitando sanzioni finanziarie o danni alla reputazione.
Questo inquietante incidente dimostra che i gruppi di ransomware sono disposti a utilizzare qualsiasi cosa, persino il governo. "Gli attori delle minacce stanno utilizzando le normative per esercitare maggiore pressione sulle vittime. Questa è una tendenza piuttosto interessante", ha detto Ifigeneia Lella, un'esperta di cybersecurity presso l'Agenzia dell'Unione Europea per la cybersecurity (ENISA). Si tratta di un agghiacciante promemoria del fatto che i framework normativi, pur essendo destinati a proteggere il pubblico e a promuovere la trasparenza, possono essere manipolati da attori malintenzionati per promuovere i loro programmi maligni.
Secondo il report ENISA Threat Landscape 2024, lo scorso anno si è assistito a un crescente utilizzo di tecniche "living-off-the-land" (LOTL) da parte dei criminali informatici. Gli attacchi LOTL prevedono l'uso di strumenti e software già presenti nel sistema della vittima, rendendo più difficile per i team di sicurezza rilevare attività malevole. Invece di affidarsi a malware esterni che possono essere segnalati da un software antivirus, gli aggressori utilizzano strumenti amministrativi legittimi come PowerShell o Windows Management Instrumentation (WMI) per eseguire i loro attacchi.
Ad esempio, PLAY, un gruppo ransomware multi-estorsione, utilizza spesso strumenti standard come Cobalt Strike, Empire e Mimikatz per la scoperta e il movimento laterale all'interno della rete del bersaglio. Evitando l'introduzione di nuovi software sospetti, gli aggressori possono eludere il rilevamento per periodi più lunghi, spesso fino a quando non è troppo tardi perché la vittima possa rispondere in modo efficace. Questo passaggio alle tecniche LOTL rappresenta una sfida costante per i professionisti della cybersecurity, poiché le soluzioni antivirus tradizionali stanno diventando meno efficaci contro questi attacchi sottili.
Oltre ai progressi tecnologici, il ransomware viene sempre più utilizzato come arma di influenza geopolitica e di hacktivismo. I criminali informatici non sono più motivati solo dal guadagno economico; alcuni usano malware per promuovere agende politiche, destabilizzare governi o creare caos in alcune regioni.
Il rapporto ENISA ha sottolineato come le tensioni geopolitiche si stiano confondendo con attacchi ransomware. Ad esempio, durante il conflitto tra Russia e Ucraina, gruppi ransomware hanno preso di mira infrastrutture critiche in Ucraina e in altri paesi alleati dell'Ucraina. Questi attacchi non erano necessariamente motivati da ragioni finanziarie, ma piuttosto da ragioni politiche. L'obiettivo era interrompere le operazioni nazionali o paralizzare settori chiave come energia, stato di salute e trasporti.
I gruppi hacktivisti si stanno anche alleando con le gang di ransomware per promuovere i propri obiettivi ideologici. Ad esempio, sono aumentati gli attacchi ai settori della pubblica amministrazione e dei trasporti, spesso legati a specifici eventi politici o movimenti globali. Man mano che il crimine informatico diventa sempre più politico, organizzazioni e governi devono riconoscere che il ransomware non è più solo una minaccia finanziaria, ma anche uno strumento di disgregazione sulla scena globale. E dato l'aumento delle tensioni geopolitiche in tutto il mondo, questo tipo di attacchi è sempre più comune.
Nonostante gli sforzi globali per limitare il ransomware, il numero di attacchi ransomware continua a crescere. Secondo il Ransomware Tracker, il numero di vittime pubblicate su siti di estorsione è aumentato a maggio 2024 a 450, rispetto ai 328 di aprile, rendendolo uno dei mesi più attivi degli ultimi anni.
Settori come l'assistenza sanitaria, la pubblica amministrazione, i trasporti e la finanza sono tra i più presi di mira. Questi settori sono particolarmente vulnerabili a causa della loro dipendenza dalle infrastrutture digitali e delle gravi conseguenze dei tempi di inattività operativa. Ad esempio, il Dipartimento dei servizi sanitari e sociali degli Stati Uniti ha segnalato un aumento del 256% delle violazioni legate all'hacking nel settore sanitario negli ultimi cinque anni, sottolineando la maggiore vulnerabilità del settore.
L'impatto finanziario del ransomware continua a crescere nel 2024, con costi che vanno oltre i pagamenti di riscatto. Secondo un report del settore, il costo medio di recupero per le vittime di ransomware nei governi statali e locali è di 2,73 milioni di USD, più del doppio dell'importo riportato nel 2023. Questi costi comprendono non solo il pagamento del riscatto, ma anche le spese relative a tempi di inattività, perdita di dati, interruzioni operative e danni alla reputazione.
Anche le richieste di riscatto stanno aumentando vertiginosamente. Il rapporto afferma che la richiesta media di riscatto per i governi statali e locali ammonta attualmente a 3,3 milioni di USD, con alcune richieste che superano i 5 milioni di USD. A livello globale, settori come sanità, energia e formazione stanno registrando tendenze simili. Peggio ancora, le alte richieste di riscatto e i costi di recupero significativi possono paralizzare o addirittura chiudere le organizzazioni più piccole.
Il landscape del ransomware nel 2024 è sempre più complesso. Con campagne di phishing basate su AI, tecniche living-off-the-land, sfruttamento di framework e fusione di tensioni geopolitiche, la posta in gioco non è mai stata così alta. Tuttavia, i progressi negli strumenti di cybersecurity basati su AI e una crescente consapevolezza di queste tattiche offrono percorsi per migliorare le difese.
Man mano che i criminali informatici si adattano e innovano, anche i professionisti e le organizzazioni della cybersecurity devono farlo. Misure proattive come la gestione delle vulnerabilità, impiegando strategie di backup robuste e investendo in funzionalità di risposta agli incidenti, sono essenziali per combattere questa minaccia costante. Il ransomware può continuare a evolversi, ma lo stesso vale per gli strumenti e le strategie utilizzati per combatterlo.