I team di sicurezza aziendale possono aggiungere altre tre varianti di ransomware all'elenco in costante crescita di minacce ransomware che devono monitorare.
Le tre varianti - Vohuk, ScareCrow e AESRT - come la maggior parte degli strumenti ransomware, prendono di mira i sistemi Windows e sembrano proliferare in modo relativamente rapido sui sistemi appartenenti a utenti in più paesi. I ricercatori di sicurezza dei FortiGuard Labs di Fortinet che stanno monitorando le minacce questa settimana hanno descritto che i campioni di ransomware stanno guadagnando terreno all'interno del database dei ransomware dell'azienda.
L'analisi di Fortinet delle tre minacce si sono rivelate strumenti ransomware standard del tipo che tuttavia è stato molto efficace nel crittografare i dati su sistemi compromessi. L'avviso di Fortinet non ha identificato il modo in cui gli operatori dei nuovi campioni di ransomware stanno distribuendo il loro malware, ma ha rilevato che le e-mail di phishing sono state in genere il vettore più comune per le infezioni da ransomware.
Un numero crescente di varianti
"Se la crescita del ransomware nel 2022 indica cosa riserva il futuro, i team di sicurezza di tutto il mondo dovrebbero aspettarsi di vedere questo vettore di attacco diventare ancora più popolare nel 2023", afferma Fred Gutierrez, senior security engineer, presso i FortiGuard Labs di Fortinet.
Solo nella prima metà del 2022, il numero di nuove varianti di ransomware identificate da FortiGuard Labs è aumentato di quasi il 100% rispetto al semestre precedente, afferma. Il team di FortiGuard Labs ha documentato 10,666 nuove varianti di ransomware nella prima metà del 2022 rispetto alle sole 5,400 nella seconda metà del 2021.
"Questa crescita di nuove varianti di ransomware è principalmente dovuta a un maggior numero di aggressori che sfruttano il ransomware-as-a-service (RaaS) sul Dark Web", afferma.
Aggiunge: "Inoltre, forse l'aspetto più inquietante è che stiamo assistendo a un aumento di attacchi ransomware più distruttivi su larga scala e praticamente in tutti i tipi di settore, che prevediamo continui nel 2023".
Ceppi di ransomware standard ma efficaci
La variante del ransomware Vohuk analizzata dai ricercatori di Fortinet sembrava essere alla sua terza iterazione, indicando che i suoi autori la stanno attivamente sviluppando.
Il malware rilascia una richiesta di riscatto, "README.txt", sui sistemi compromessi che chiede alle vittime di contattare l'attaccante via e-mail con un ID univoco, ha affermato Fortinet. La nota informa la vittima che l'aggressore non è motivato politicamente ma è interessato solo a un guadagno finanziario, presumibilmente per rassicurare le vittime che avrebbero recuperato i loro dati se avessero pagato il riscatto richiesto.
Nel frattempo, "ScareCrow è un altro tipico ransomware che crittografa i file sui computer delle vittime", ha affermato Fortinet. "La sua richiesta di riscatto, anch'essa intitolata 'readme.txt', contiene tre canali Telegram che le vittime possono utilizzare per parlare con l'aggressore."
Sebbene la richiesta di riscatto non contenga richieste finanziarie specifiche, è lecito ritenere che le vittime dovranno pagare un riscatto per recuperare i file che sono stati crittografati, ha affermato Fortinet.
La ricerca del venditore di sicurezza ha anche mostrato alcune sovrapposizioni tra ScareCrow e il famigerato Variante del ransomware Conti, uno degli strumenti ransomware più prolifici di sempre. Entrambi, ad esempio, utilizzano lo stesso algoritmo per crittografare i file e, proprio come Conti, ScareCrow elimina le copie shadow utilizzando l'utilità della riga di comando WMI (wmic) per rendere i dati irrecuperabili sui sistemi infetti.
Gli invii a VirusTotal suggeriscono che ScareCrow abbia infettato sistemi negli Stati Uniti, Germania, Italia, India, Filippine e Russia.
Infine, AESRT, la terza nuova famiglia di ransomware individuata di recente da Fortinet, ha funzionalità simili alle altre due minacce. La differenza principale è che invece di lasciare una richiesta di riscatto, il malware fornisce una finestra popup con l'indirizzo e-mail dell'aggressore e un campo che mostra una chiave per decrittografare i file crittografati una volta che la vittima ha pagato il riscatto richiesto.
Crypto-Collapse rallenterà la minaccia ransomware?
Le nuove varianti si aggiungono al lungo e in costante aumento elenco di minacce ransomware che le organizzazioni devono ora affrontare quotidianamente, poiché gli operatori di ransomware continuano a martellare incessantemente le organizzazioni aziendali.
I dati sugli attacchi ransomware che LookingGlass ha analizzato all'inizio di quest'anno hanno mostrato che ce ne sono stati alcuni 1,133 attacchi ransomware confermati solo nella prima metà del 2022, più della metà (52%) dei quali ha interessato le società statunitensi. LookingGlass ha scoperto che il gruppo ransomware più attivo era quello dietro la variante LockBit, seguito dai gruppi dietro Conti, Black Basta e Alphy ransomware.
Tuttavia, il tasso di attività non è costante. Alcuni fornitori di sicurezza hanno riferito di aver osservato un leggero rallentamento dell'attività dei ransomware durante alcune parti dell'anno.
In un rapporto di metà anno, SecureWorks, ad esempio, ha affermato che i suoi impegni di risposta agli incidenti a maggio e giugno suggerivano che la velocità con cui si stavano verificando nuovi attacchi ransomware di successo era leggermente rallentata.
SecureWorks ha identificato la tendenza come probabilmente dovuta, almeno in parte, all'interruzione delle operazioni di Conti RaaS quest'anno e ad altri fattori come il effetto dirompente della guerra in Ucraina sulle bande di ransomware.
Un altro rapporto, dall'Identity Theft Resource Center (ITRC), ha riportato un calo del 20% degli attacchi ransomware che ha comportato una violazione nel secondo trimestre del 2022 rispetto al primo trimestre dell'anno. ITRC, come SecureWorks, ha identificato il declino come legato alla guerra in Ucraina e, in modo significativo, al crollo delle criptovalute che gli operatori di ransomware preferiscono per i pagamenti.
Bryan Ware, CEO di LookingGlass, afferma di ritenere che il collasso delle criptovalute potrebbe ostacolare gli operatori di ransomware nel 2023.
"Il recente scandalo FTX ha fatto crollare le criptovalute, e questo influisce sulla monetizzazione del ransomware e lo rende essenzialmente imprevedibile", afferma. "Questo non è di buon auspicio per gli operatori di ransomware in quanto dovranno prendere in considerazione altre forme di monetizzazione a lungo termine".
Ware dice il tendenze intorno alle criptovalute ha alcuni gruppi di ransomware che prendono in considerazione l'utilizzo delle proprie criptovalute: "Non siamo sicuri che ciò si materializzerà, ma nel complesso, i gruppi di ransomware sono preoccupati per come monetizzeranno e manterranno un certo livello di anonimato in futuro".
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
