Report del 2022 di ThreatLabz "Ultimi dati sui ransomware"

In base a un'analisi dei carichi utili di ransomware osservati nel cloud Zscaler, gli attacchi ransomware sono aumentati di un ulteriore 80% tra febbraio del 2021 e marzo del 2022. Gli attacchi a doppia estorsione, che in aggiunta alla crittografia includono l'esfiltrazione dei dati, stanno aumentando persino più rapidamente, con un incremento del 117% rispetto all'anno precedente.

Il report del 2022 di ThreatLabz, Ultimi dati sui ransomware, analizza tantissime informazioni raccolte nell'arco dell'anno e provenienti da diverse fonti, tra cui oltre 200 miliardi di transazioni giornaliere e 150 milioni di minacce bloccate ogni giorno attraverso Zero Trust Exchange di Zscaler, e rivela che i ransomware stanno diventando sempre più interessanti per i criminali. Gli aggressori sono in grado di condurre campagne sempre più redditizie sfruttando tre tendenze principali: 

• Gli attacchi alla catena di approvvigionamento, che sfruttano le relazioni di fiducia con i fornitori per violare le organizzazioni, moltiplicare i danni degli attacchi e colpire più vittime (a volte centinaia o migliaia) contemporaneamente.
• I ransomware-as-a-service, che utilizzano reti di affiliati per distribuire ransomware su vasta scala; in questo modo, gli hacker esperti di violazione delle reti condividono i profitti con i gruppi di ransomware più avanzati.
• Gli attacchi a estorsione multipla, che utilizzano il furto di dati, gli attacchi DDoS (Distributed Denial of Service), le comunicazioni con i clienti e altro come tattiche di estorsione stratificate per aumentare gli introiti dei riscatti. Gli attacchi alla catena di approvvigionamento, gli ecosistemi ransomware-as-a-service e le tattiche di estorsione multipla hanno aumentato il volume e la percentuale di successo degli attacchi. 

In questo report, ThreatLabz fornisce una panoramica completa sullo scenario delle minacce ransomware, con dati sulle tendenze, previsioni e suggerimenti per difendersi. Il report comprende inoltre un'analisi approfondita delle sequenze di attacco, dei profili delle vittime e dell'impatto delle undici principali famiglie di ransomware sulle aziende. Le famiglie includono:

• Conti   
• LockBit   
• PYSA/Mespinoza   
• REvil/Sodinokibi   
• Avaddon   
• Clop   
• Grief   
• Hive   
• BlackByte   
• AvosLocker   
• BlackCat/ALPHV

Variazione percentuale degli attacchi a doppia estorsione per settore

 

 Risultati principali

 

• Gli attacchi ransomware sono aumentati dell'80% dall'anno precedente, e corrispondono a tutti i carichi utili di ransomware osservati nel cloud Zscaler.
   
• I ransomware a doppia estorsione sono aumentati del 117%. Questi attacchi sono aumentati in modo particolarmente significativo in alcuni settori, tra cui l'assistenza sanitaria (643%), la ristorazione (460%), l'estrazione mineraria (229%), l'istruzione (225%), i media (200%) e il settore manifatturiero (190%).

• Il settore manifatturiero è stato quello più colpito per il secondo anno consecutivo, e rappresenta quasi il 20% del totale degli attacchi ransomware a doppia estorsione.
   
• Gli attacchi ransomware alla catena di approvvigionamento sono in aumento. Sfruttando i fornitori di fiducia, gli aggressori sono in grado di violare contemporaneamente un gran numero di organizzazioni, comprese quelle che dispongono di difese solide contro gli attacchi esterni. Gli attacchi ransomware alla catena di approvvigionamento che si sono verificati nel corso dell'anno includono le campagne dannose contro Kaseya e Quanta e una serie di attacchi che hanno sfruttato la vulnerabilità Log4j.
   
• I ransomware as a service contribuiscono ad aumentare il numero di attacchi. I gruppi di ransomware continuano a fare proseliti attraverso forum criminali illegali. Queste reti di affiliati compromettono le grandi organizzazioni e distribuiscono i ransomware del gruppo, generalmente in cambio di circa l'80% degli incassi ottenuti dai riscatti pagati dalle vittime. La maggior parte (8 su 11) delle principali famiglie di ransomware dell'ultimo anno si è diffusa sfruttando modelli di ransomware-as-a-service.
   
• Le autorità stanno inasprendo i controlli. Alcune delle principali famiglie di ransomware dello scorso anno, in particolare quelle che hanno preso di mira i servizi critici, hanno attirato l'attenzione delle autorità di tutto il mondo, e tre delle famiglie di ransomware più famose degli ultimi due anni hanno subito il sequestro dei beni nel corso 2021.

• Le famiglie di ransomware non stanno scomparendo, hanno solo cambiato nome. A causa dell'aumento dei controlli delle autorità, molti gruppi di ransomware si sono sciolti e riformati con altri nomi, e continuano a impiegare le stesse tattiche (o molto simili). 
   
• Il conflitto tra Russia e Ucraina ha messo in allerta il mondo intero. Ci sono stati diversi attacchi associati al conflitto tra Russia e Ucraina, alcuni dei quali hanno combinato più tattiche, come i ransomware HermeticWiper e PartyTicket. Finora, la maggior parte di questa attività ha avuto come target l'Ucraina. Tuttavia, le agenzie governative hanno avvertito le aziende a prepararsi ad attacchi più diffusi con il persistere del conflitto.
   
• Lo zero trust rimane la migliore forma di difesa. Per ridurre al minimo le possibilità di una violazione e i potenziali danni di un attacco, le aziende devono utilizzare strategie difensive che includano la riduzione della superficie di attacco, l'applicazione di un controllo degli accessi che usi il principio dei privilegi minimi e il monitoraggio e l'ispezione continua dei dati in tutto l'ambiente.

 

 

Come proteggersi dai ransomware

Che si tratti di un semplice attacco ransomware, di un attacco a doppia o tripla estorsione, di una famiglia di minacce indipendente o di un attacco RaaS eseguito tramite una rete di affiliati, la strategia di difesa è la stessa: utilizzare i principi dello zero trust per limitare le vulnerabilità, prevenire e rilevare gli attacchi e limitare il raggio di azione delle violazioni andate a buon fine. Di seguito sono riportati alcuni consigli sulle strategie da seguire per proteggere le organizzazioni dai ransomware:

1. Eliminare le applicazioni da Internet. Gli aggressori iniziano i loro attacchi eseguendo una ricognizione dell'ambiente, cercando le vulnerabilità da sfruttare e adattando l'approccio alla situazione specifica. Se le applicazioni sono visibili su Internet, sono anche più facili da attaccare. È bene quindi adottare un'architettura zero trust per proteggere le applicazioni interne e renderle invisibili agli aggressori.
2. Applicare una policy di sicurezza uniforme per prevenire la compromissione iniziale. Con una forza lavoro distribuita, è importante implementare un'architettura di tipo Security Service Edge (SSE) in grado di applicare policy di sicurezza uniformi, indipendentemente dalla posizione degli utenti (in ufficio o da remoto). 
3. Utilizzare sandbox per rilevare i carichi utili sconosciuti. Il rilevamento basato sulla firma non è sufficiente di fronte alla rapida evoluzione delle varianti di ransomware e dei carichi utili. Tuttavia, per proteggersi da attacchi sconosciuti ed elusivi, è bene adottare una sandbox inline basata sull'intelligenza artificiale che analizzi il comportamento di un file piuttosto che il suo aspetto esterno.
4. Implementare un'architettura ZTNA (Zero Trust Network Access). Implementare una segmentazione granulare da utente ad applicazione e da applicazione ad applicazione eseguendo il brokering dell'accesso con controlli dinamici a privilegi minimi per eliminare il movimento laterale, ridurre al minimo i dati che possono essere criptati o rubati e ridurre il raggio di azione di un attacco. 
5. Distribuire la prevenzione dalla perdita di dati inline. Impedire l'esfiltrazione delle informazioni sensibili impiegando strumenti e policy di prevenzione della perdita di dati basati sull'attendibilità per contrastare le tecniche a doppia estorsione.
6. Aggiornare i software e investire nella formazione continua del personale. Applicare patch di sicurezza ai software e accrescere regolarmente la consapevolezza dei dipendenti sulle tematiche relative alla sicurezza attraverso programmi di formazione per ridurre le vulnerabilità che possono essere sfruttate dai criminali informatici.
7. Predisporre un piano di risposta. È necessario essere pronti al peggio attraverso un'assicurazione informatica, un piano di backup dei dati e un piano di risposta, che devono far parte del programma globale di continuità operativa e di ripristino in caso di emergenza.

Per proteggersi al meglio contro i ransomware, è necessario adottare difese stratificate in grado di bloccare l'attacco in ogni sua fase: dalla ricognizione, alla compromissione iniziale, al movimento laterale, al furto di dati e all'esecuzione del ransomware.

Zero Trust Exchange di Zscaler è una piattaforma SSE (Security Service Edge) d'avanguardia nel settore, che offre una protezione dai ransomware senza eguali, in ogni fase della catena di attacco, per ridurre drasticamente le possibilità di essere attaccati e mitigare i potenziali danni.

Zscaler integra in modo nativo le funzionalità zero trust più avanzate del settore che:

• Riducono al minimo la superficie di attacco: l'architettura nativa del cloud e basata su proxy di Zscaler riduce la superficie di attacco rendendo le app interne invisibili a Internet, eliminando così i potenziali vettori di attacco. 
• Prevengono le compromissioni: Zscaler offre l'ispezione completa e l'autenticazione di tutto il traffico, compreso quello criptato, per tenere lontani i malintenzionati sfruttando strumenti come l'isolamento del browser e le sandbox inline, e proteggendo così gli utenti da minacce sconosciute ed elusive.
• Eliminano i movimenti laterali: Zscaler collega in modo sicuro utenti ed entità direttamente alle applicazioni, w non alla rete, eliminando così possibilità di movimento laterale; inoltre, circonda le applicazioni più importanti con esche realistiche per incrementare la sicurezza.
  Bloccano la perdita di dati: Zscaler ispeziona tutto il traffico in uscita verso le applicazioni cloud per prevenire il furto di dati e utilizza le funzionalità CASB (Cloud Access Security Broker) per identificare e risolvere le vulnerabilità dei dati inattivi.

Per saperne di più sulle principali minacce ransomware di oggi e su come proteggere l'organizzazione, scarica una copia gratuita del report del 2022 di ThreatLabz Ultimi dati sui ransomware.

 

Informazioni su ThreatLabz

ThreatLabz è il team di ricerca sulla sicurezza di Zscaler. Questo team di esperti di alto livello è responsabile della ricerca di nuove minacce e della protezione costante delle migliaia di aziende che utilizzano la piattaforma globale di Zscaler. Oltre alla ricerca sui malware e all'analisi comportamentale, i membri del team sono coinvolti nella ricerca e nello sviluppo di nuovi moduli prototipo per la protezione dalle minacce avanzate sulla piattaforma Zscaler. Inoltre, conducono costantemente controlli di sicurezza interni per garantire che i prodotti e l'infrastruttura di Zscaler siano sempre in linea con gli standard di conformità della sicurezza. ThreatLabz pubblica regolarmente analisi approfondite sulle minacce nuove ed emergenti sul suo portale: research.zscaler.com.

 

Per non perdere gli ultimi aggiornamenti sulle ricerche di ThreatLabz, iscriviti oggi stesso alla nostra newsletter Trust Issues.