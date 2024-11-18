Ogni buona notizia è benvenuta quando si valutano le tendenze del crimine informatico anno per anno. Negli ultimi due anni, i Threat Index Report di IBM hanno consentito un piccolo sospiro di sollievo in questo ambito, mostrando un graduale calo della diffusione degli attacchi ransomware, che al momento rappresentano solo il 17% di tutti gli incidenti di cybersecurity rispetto al 21% del 2021.
Purtroppo è troppo presto per sapere se questa tendenza continuerà. Un recente rapporto pubblicato da Searchlight Cyber mostra che nella prima metà del 2024 c'è stato un aumento del 56% dei gruppi ransomware attivi, dimostrando che la lotta contro il ransomware è tutt'altro che conclusa.
Searchlight Cyber è una società di dark web intelligence che fornisce strumenti di monitoraggio e piattaforme utilizzate da agenzie di polizia, imprese e MSSP per aiutare a identificare, tracciare e prevenire minacce informatiche in atto.
La società ha recentemente pubblicato un report di metà anno intitolato "Ransomware in H1 2024: Trends from the Dark Web" che ha fatto luce sullo stato attuale del ransomware, concentrandosi in particolare sull'attività dei gruppi ransomware più prolifici.
In questo report, le statistiche raccolte da Searchlight Cyber mostrano che 73 gruppi ransomware attivi sono monitorati sul dark web a metà 2024, rispetto ai 46 gruppi dell'anno scorso, il che rappresenta un aumento del 56%.
Alcuni altri risultati principali del report includono:
Newsletter di settore
Resta al passo con le tendenze più importanti e interessanti del settore relative ad AI, automazione, dati e oltre con la newsletter Think. Leggi l' Informativa sulla privacy IBM.
L'abbonamento sarà fornito in lingua inglese. Troverai un link per annullare l'iscrizione in tutte le newsletter. Puoi gestire i tuoi abbonamenti o annullarli qui. Per ulteriori informazioni, consulta l'Informativa sulla privacy IBM.
Luke Donovan, Head of Threat Intelligence di Searchlight Cyber, è stato recentemente intervistato per avere una prospettiva aggiuntiva sui risultati di questo report. Commentando il reporting delle metriche di Searchlight Cyber, Donovan chiarisce:
"I nostri numeri delle vittime di ransomware sono in gran parte determinati dalle organizzazioni che i gruppi di ransomware elencano sui loro siti di divulgazione di informazioni riservate sul dark web... Queste cifre presentano alcune limitazioni, in quanto i gruppi di ransomware potrebbero aver attaccato molte altre organizzazioni ma aver deciso di non elencare pubblicamente la vittima.
D'altra parte, c'è sempre la possibilità che i gruppi ransomware riportino organizzazioni che in realtà non hanno attaccato per aumentare la loro reputazione. Tuttavia, queste cifre forniscono in linea di massima una buona indicazione dei gruppi ransomware più attivi che operano sul dark web."
I modelli RaaS sono in uso ormai da diversi anni. Tuttavia, man mano che altri gruppi di ransomware vengono alla luce e le soluzioni RaaS diventano sempre più disponibili, i pericoli associati sono destinati a crescere.
Alla domanda sul perché il modello RaaS abbia avuto così tanto successo negli ultimi anni, Donovan ha commentato: "Il successo del modello RaaS risiede in realtà nella sua capacità di scalare. Se l'operatore del ransomware è anche la stessa persona che si occupa degli attacchi, esiste un limite naturale al numero di vittime che può reclamare in un dato momento. Esternalizzare l'attacco stesso a diversi affiliati (alcune delle gang più grandi ne hanno dozzine) permette alle bande di ransomware di aumentare notevolmente il numero di organizzazioni che possono tenere in ostaggio".
A prima vista, può sembrare che alcuni operatori RaaS stiano cercando un certo livello di protezione dalle conseguenze legali trasferendo la responsabilità agli affiliati autori degli attacchi. Tuttavia, molti Paesi hanno leggi che ritengono sia gli operatori RaaS che i loro affiliati ugualmente responsabili dell'organizzazione e dell'esecuzione degli attacchi informatici.
"La popolarità del modello RaaS è dovuta più alla redditività che allo spostamento della responsabilità legale. Anzi, svolgere un'operazione RaaS aumenta il rischio per gli autori del ransomware, poiché queste gang di solito hanno più vittime, il che le rende un bersaglio maggiore per le forze dell'ordine" afferma Donovan.
Considerando le implicazioni della fornitura di toolkit RaaS ad affiliati non formati o indisciplinati, il continuo utilizzo di questo modello è sorprendente poiché può creare attenzioni indesiderate per le gang stesse. Questo è emerso in modo evidente nella recente interruzione delle operazioni di LockBit da parte della National Crime Agency (NCA) nel febbraio 2024.
Tuttavia, i guadagni finanziari derivanti dall'espansione delle attività criminali su scala di massa sono rischi che molti gruppi ransomware hanno già dimostrato di essere disposti a correre.
Come accennato di recente, sono già stati pubblicati resoconti secondo cui negli ultimi anni il numero delle vittime di ransomware è diminuito. Quindi, l'ascesa dei gruppi ransomware dovrebbe essere un motivo di cui le aziende dovrebbero preoccuparsi? Sì e no.
Le recenti interruzioni di grandi gruppi RaaS come LockBit e BlackCat hanno sicuramente contribuito alla recente diminuzione degli attacchi ransomware. Un altro fattore potenziale può essere attribuito alla generale carenza di competenze nei settori legati al cyber, che hanno un impatto sia sulla cybersecurity che sui gruppi di crimine informatico. Tuttavia, questo non significa che una recrudescenza degli attacchi ransomware non sia all'orizzonte.
"Quello che osserviamo in questo momento è un ecosistema ransomware più frammentato... Quando grandi gruppi RaaS vengono fermati, in genere vediamo emergere numerosi gruppi più piccoli che imitano gli attacchi", afferma Donovan.
Come evidenzia il rapporto di Searchlight Cyber, molti nuovi gruppi ransomware stanno utilizzando metodi di attacco altamente sofisticati e sono sempre più motivati a detenere una quota del mercato RaaS. Si tratta di una combinazione pericolosa, il che significa che le aziende devono rimanere vigili e valutare continuamente le loro strategie difensive per ridurre al minimo l'esposizione al ransomware.