Report KSN: il Ransomware nel periodo 2016-2017

Il presente report è stato preparato utilizzando dati spersonalizzati, raccolti ed elaborati in forma anonima tramite il Kaspersky Security Network (KSN). I parametri in esso contenuti si basano sul numero di utenti unici dei prodotti Kaspersky Lab, con funzione KSN abilitata, che nel periodo sopra indicato si sono imbattuti, perlomeno una volta, in programmi ransomware; il report presenta ugualmente i risultati delle ricerche e delle analisi condotte dagli esperti di Kaspersky Lab riguardo al temibile e già ampio panorama delle minacce ransomware.

Precisiamo, infine, che il report copre l’evoluzione di tale famigerata minaccia IT dal mese di aprile 2016 al mese di marzo 2017, effettuando le debite comparazioni con il periodo intercorrente tra aprile 2015 e marzo 2016.

Un breve sguardo all’evoluzione del ransomware intervenuta nel corso di un anno

L’ascesa del modello Ransomware-as-a-Service

Nel mese di maggio 2016 Kaspersky Lab ha scoperto il Petya, il quale non solo codifica i dati custoditi sul computer dell’utente, ma sovrascrive ugualmente l’MBR (Master Boot Record) dell’unità hard disk, in modo tale che i computer infetti non sono più in grado di avviare il sistema operativo.

Questo malware è un evidente esempio di modello Ransomware-as-a-Service, nell’ambito del quale gli autori del ransomware offrono la loro creatura maligna “su richiesta”, diffondendo il prodotto dannoso attraverso molteplici distributori, ed ottenendo poi una parte dei profitti illeciti realizzati. Per essere sicuri di mettere le mani sulla loro quota di profitto, coloro che hanno creato Petya hanno inserito all’interno di quest’ultimo appositi “meccanismi di protezione”, i quali non consentono un impiego non autorizzato dei sample del malware Petya.

Il cosiddetto “Ransomware-as-a-Service”, come è noto, non costituisce di sicuro una nuova tendenza; questo singolare modello di propagazione continua tuttavia a svilupparsi sensibilmente, con un numero sempre maggiore di autori di ransomware intenti ad offrire “on demand” il loro prodotto malevolo. Un simile approccio si è dimostrato incredibilmente attraente per quei criminali che non possiedono le necessarie competenze tecniche, o magari non dispongono delle risorse occorrenti, oppure non sono in alcun modo inclini a sviluppare un proprio programma ransomware.

Esempi particolarmente degni di nota, per quel che riguarda il ransomware apparso sulla scena nel 2016, e che ha fatto uso del modello qui sopra menzionato, sono di sicuro Petya/Mischa e Shark, in seguito ribattezzato con il nome di Atom.

Sensibile crescita del numero di attacchi mirati

All’inizio del 2017, i ricercatori di Kaspersky Lab hanno scoperto una tendenza emergente e quantomai pericolosa: un numero sempre maggiore di cybercriminali sta spostando le proprie “attenzioni” dagli attacchi contro gli utenti privati agli attacchi ransomware di natura mirata, condotti nei confronti di imprese ed organizzazioni di vario genere.

Tali attacchi, eseguiti su scala globale, si focalizzano principalmente sulle organizzazioni che operano nella sfera finanziaria. Gli esperti di Kaspersky Lab si sono ad esempio imbattuti in casi in cui l’entità della richiesta di pagamento del riscatto ammontava ad oltre mezzo milione di dollari.

Si tratta di una tendenza particolarmente allarmante, visto che gli attori del ransomware hanno di fatto iniziato una nuova “crociata”, diretta ad una nuova tipologia di vittime, ancor più “redditizia”, la quale può offrire ai malintenzionati l’opportunità di realizzare guadagni ben più consistenti. Per quel che riguarda il ransomware, vi sono, purtroppo, “in the wild”, molti altri target potenziali; nella circostanza, gli attacchi sferrati possono produrre conseguenze ancor più disastrose.

Le analisi contenute in questo report intendono mettere in luce e valutare l’effettiva portata del problema; si cercherà, allo stesso modo, di porre in evidenza le specifiche ragioni che possono determinare, a livello globale, nuovi sviluppi e sfaccettature della minaccia ransomware.

Le cifre più significative

  • Il numero totale degli utenti che si sono imbattuti in programmi ransomware nel corso del periodo di 12 mesi intercorrente tra aprile 2016 e marzo 2017, è cresciuto dell’11,4% rispetto ai 12 mesi precedenti (aprile 2015 – marzo 2016); si è difatti passati da 2.315.931 a 2.581.026 utenti attaccati in tutto il mondo.
  • L’interessante quota relativa al numero di utenti che hanno avuto a che fare con la minaccia ransomware perlomeno una volta, rispetto al numero totale di utenti sottoposti ad attacco da parte di software nocivi, ha fatto segnare un decremento pari a quasi 0,8 punti percentuali, passando dal 4,34% – nel 2015-2016 – al 3,88% del periodo 2016-2017.
  • L’indice inerente agli utenti che si sono imbattuti nei cryptor, rispetto al numero totale di coloro che sono stati attaccati dal ransomware, è cresciuto di ben 13,6 punti percentuali, ovvero dal 31% del periodo 2015-2016 al 44,6% fatto registrare nel periodo 2016-2017.
  • Il numero complessivo degli utenti attaccati dai cryptor è quasi raddoppiato, ed è quindi passato dai 718.536 nel 2015-2016 ad 1.152.299 utenti, per quel che riguarda il periodo 2016-2017.
  • Il numero degli utenti sottoposti ad attacco da parte di programmi ransomware destinati ai dispositivi mobile ha fatto registrare un decremento pari al 4,62%; si è difatti passati da 136.532 utenti, nel periodo 2015-2016, ai 130.232 utenti del successivo periodo aprile 2016 – marzo 2017.

Conclusioni e previsioni

Sulla base dei dati statistici raccolti, e delle tendenze descritte nel presente report, siamo giunti alle seguenti conclusioni:

  • Gli attori della minaccia ransomware stanno iniziando a “divorarsi” l’un l’altro. È, questo, un evidente segno del crescente livello di competizione che si sta sviluppando tra le varie gang cybercriminali specializzate nel ransomware.
  • Le statistiche geografiche evidenziano come gli attacker stiano spostando sempre di più le loro attenzioni verso paesi che non sono stati presi di mira in precedenza, paesi in cui gli utenti non sono in possesso della preparazione occorrente per combattere il ransomware, e dove la concorrenza tra criminali informatici non è così forte ed esasperata.
  • Ciò che preoccupa maggiormente, ad ogni caso, è il fatto che gli attacchi ransomware stanno divenendo sempre più mirati, e colpiscono infrastrutture del mondo finanziario più o meno in tutto il pianeta. Il motivo di una simile tendenza è ben chiaro: i criminali considerano gli attacchi ransomware di natura mirata, diretti a società ed organizzazioni, ben più redditizi – potenzialmente – rispetto agli attacchi di massa condotti nei confronti di utenti privati.
  • Le cifre mostrano in maniera netta come il ransomware destinato ai PC continui ad essere in fase di espansione, sebbene il tasso di crescita si sia rivelato più contenuto rispetto al recente passato.
  • Per contro, risulta lievemente diminuito, nel periodo oggetto del nostro report, il numero degli utenti attaccati dal ransomware mobile. Questo potrebbe essere un segno tangibile dei successi ottenuti grazie alla collaborazione instaurata tra vendor di soluzioni di sicurezza IT, forze dell’ordine di vari paesi ed altri attori competenti in materia. In tal senso, inoltre, può di sicuro svolgere un ruolo di primaria importanza la maggiore consapevolezza acquisita, in generale, riguardo alla temibile minaccia informatica qui esaminata, una consapevolezza indubbiamente alimentata dalla copertura globale che i mass media hanno via via dedicato alle campagne ransomware più estese e “cruente”.
  • Un altro motivo è poi da ricercare nel continuo sviluppo degli sforzi congiunti che l’industria della sicurezza IT sta profondendo allo scopo di proteggere gli utenti nei confronti dei crypto-ransomware, i famigerati malware cifratori.
  • Sebbene i dati statistici dimostrino come gli attacchi informatici in cui viene dispiegato il ransomware operino davvero su vasta scala, la responsabilità della maggior parte degli attacchi di tipo mobile è da imputare a pochi gruppi di cybercriminali dediti alla diffusione di tale genere di malware, il quale viene distribuito, nella maggior parte dei casi, attraverso appositi programmi di affiliazione. Allo stesso tempo, il ransomware per PC mette in risalto una situazione quasi diametralmente opposta, in cui numerosi attori dediti al cybercrimine conducono, in the wild, attacchi “ad hoc”.

In aggiunta alle conclusioni qui sopra espresse, riteniamo che l’attuale panorama delle minacce ransomware fornisca una valida base per effettuare diverse previsioni riguardo alla possibile evoluzione, in futuro, di tale preoccupante minaccia informatica.

Previsioni

  • Il modello che alimenta le pratiche estorsive realizzate dai cybercriminali è destinato a permanere. La crescita da esso evidenziata, sempre più stabile e costante, e che ormai si situa su valori mediamente più elevati, rispetto ai periodi analizzati in precedenza, potrebbe indicare una tendenza decisamente allarmante: un evidente passaggio dai caotici e sporadici tentativi realizzati, inizialmente, da vari attori del malware allo scopo di mettere piede all’interno del torbido panorama disegnato da tale minaccia IT, a volumi di attacco indiscutibilmente più consistenti e stabili.
  • In ragione dei chiari segnali riguardanti la crescente ed aspra competizione tra cybercriminali che si sta attualmente manifestando sul mercato del ransomware, sta acquisendo un livello di popolarità sempre maggiore il modello RaaS (Ransomware-as-a-Service), il quale attrae costantemente nuovi attori.
  • Il ransomware sta crescendo in termini di sofisticatezza e varietà, ed offre un elevato numero di soluzioni pronte all’uso anche a coloro che dispongono di minori “competenze”, risorse o tempo: tutto questo si realizza attraverso un ecosistema underground in decisa crescita, e che appare, inoltre, sempre più efficiente.
  • Lo sviluppo di specifiche infrastrutture “criminal-to-criminal” sta indubbiamente alimentando il sorgere di strumenti ad hoc, di facile utilizzo, attraverso i quali possono essere condotti attacchi mirati, ed essere quindi estorte cospicue somme di denaro; una simile situazione, di fatto, conferisce una caratteristica di maggiore “estensione” agli attacchi. Tale tendenza ha già preso piede e, probabilmente, continuerà a manifestarsi anche in futuro.
  • Continueranno a rafforzarsi ed acquisire sempre maggiore slancio le iniziative globali volte a proteggere gli utenti nei confronti dei temibili crypto-ransomware.

Come reagire e combattere il ransomware

Attraverso la tecnologia: Kaspersky Lab fornisce, per tutte le società, un tool anti-ransomware gratuito, da scaricare ed utilizzare, indipendentemente dalla soluzione di sicurezza di cui le stesse fanno uso.

Attraverso la collaborazione: L’Iniziativa No More Ransom. Il 25 luglio 2016, la Nationale Politie (polizia nazionale) olandese, Europol, Intel Security e Kaspersky Lab annunciavano il lancio del progetto No More Ransom, un’iniziativa congiunta condotta a fini non commerciali, la quale riunisce organizzazioni pubbliche e private, e si prefigge, oltre ad informare le persone riguardo ai pericoli generati dal ransomware, di aiutare gli utenti-vittima a recuperare i loro dati. Il relativo portale online conta, attualmente, ben 50 tool di decodifica, sette dei quali sono stati realizzati da Kaspersky Lab. Dal lancio dell’iniziativa NMR, oltre 29.000 vittime del ransomware, situate in tutto il mondo, sono state in grado di poter sbloccare e ripristinare gratuitamente i loro file – compromessi dal malware – grazie agli strumenti messi a disposizione da Kaspersky Lab. Il portale NMR è attualmente disponibile in 14 lingue diverse: inglese, olandese, francese, italiano e portoghese, tedesco, spagnolo, sloveno, finlandese, ebraico, ucraino, coreano e giapponese.

Report KSN: Il Ransomware nel periodo 2016-2017 (report completo, in Inglese):

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *