Gli attacchi ransomware sono in aumento

Dopo un recente calo, gli attacchi ransomware sono tornati in aumento. Secondo dati rilasciato da NCC Group, la rinascita è guidata da vecchi gruppi di ransomware-as-a-service (RaaS).

Con i dati raccolti "monitorando attivamente i siti di fuga utilizzati da ciascun gruppo di ransomware e analizzando i dettagli delle vittime man mano che vengono rilasciati", i ricercatori hanno stabilito che Lockbit era di gran lunga la banda di ransomware più prolifica a luglio, dietro a 62 attacchi. Sono dieci in più rispetto al mese precedente e più del doppio del secondo e del terzo gruppo più prolifico messi insieme. "Lockbit 3.0 mantiene il suo punto d'appoggio come il gruppo di ransomware più minaccioso", hanno scritto gli autori, "e uno di cui tutte le organizzazioni dovrebbero mirare a essere consapevoli".

Quel secondo e terzo gruppo più prolifico sono Hiveleaks – 27 attacchi – e BlackBasta – 24 attacchi. Queste cifre rappresentano un rapido aumento per ogni gruppo: da giugno, un aumento del 440% per Hiveleaks e un aumento del 50% per BlackBasta.

Può darsi che la recrudescenza degli attacchi ransomware e l'ascesa di questi due gruppi particolari siano intimamente collegati.

Perché il ransomware è rimbalzato

I ricercatori di NCC Group hanno contato 198 campagne ransomware di successo a luglio, con un aumento del 47% rispetto a giugno. Per quanto forte possa essere quella pendenza, è ancora in qualche modo al di sotto del livello massimo stabilito questa primavera, con quasi 300 campagne di questo tipo sia a marzo che ad aprile.

Perché il Flusso?

Ebbene, a maggio, il governo degli Stati Uniti ha intensificato i suoi sforzi contro la criminalità informatica russa offerta fino a 15 milioni di dollari per preziose informazioni su Conti, allora la banda di ransomware più importante del mondo. "È probabile che gli attori delle minacce che stavano subendo cambiamenti strutturali", hanno ipotizzato gli autori del rapporto, "e abbiano iniziato a stabilirsi nelle loro nuove modalità operative, con il risultato che i loro compromessi totali aumentano insieme".

Hiveleaks e BlackBasta sono il risultato di quella ristrutturazione. Entrambi i gruppi sono "associati a Conti", hanno osservato gli autori, Hiveleaks come affiliato e BlackBasta come ceppo sostitutivo. "In quanto tale, sembra che non ci sia voluto molto prima che la presenza di Conti rientri nel panorama delle minacce, anche se sotto una nuova identità".

Ora che Conti è adeguatamente diviso in due, hanno ipotizzato gli autori, "non sarebbe sorprendente vedere queste cifre aumentare ulteriormente mentre ci muoviamo verso agosto".