I gruppi ransomware crescono, di pari passo con il numero di gruppi attivi. Gli attacchi approfittano sempre di più delle vulnerabilità.
Autore: Redazione SecurityOpenLab
Nella prima metà del 2024 le vulnerabilità segnalate sono aumentate del 43% rispetto allo stesso periodo del 2023. Si parla di 23.668 falle segnalate contro le 16.556 del 2023, una media di 111 nuove vulnerabilità al giorno. Allo stesso modo, il numero di gruppi ransomware attivi è cresciuto del 55%, mentre gli attacchi ransomware sono aumentati del 6%, raggiungendo un totale di 3.085, di cui il 50% avvenuti negli Stati Uniti.
Sono cifre pubblicate nel report Forescout 2024H1 Threat Review pubblicato da Forescout Research, e sono solo la punta dell’iceberg di una minaccia crescente e sempre più diversificata. Infatti, le falle in questione sono distribuite tra una miriade di sistemi differenti fra IT, IoT e OT. Il focus riguarda le infrastrutture di rete e i dispositivi critici, come router e punti di accesso wireless; in particolare, il 20% delle vulnerabilità in questione ha interessato infrastrutture VPN e di rete, spesso sfruttando vulnerabilità zero-day o falle di sicurezza non ancora corrette. Tra i prodotti maggiormente bersagliati figurano quelli di Ivanti, Citrix, Fortinet, Cisco, Palo Alto Networks, Check Point e D-Link.
Come denotano le cronache recenti, il contesto appena presentato è terreno fertile per alimentare gli attacchi ransomware, che sono sempre maggiori. I gruppi si concentrano maggiormente su obiettivi quali organizzazioni governative, finanziarie e IT, negli USA. Una scelta scontata, dato che c’è una proporzione diretta fra digitalizzazione e propensione ad essere oggetto di attacchi cyber. Per questo è proprio Oltreoceano che gli analisti riscontrano un aumento dell'attività ransomware dal 48% del 2023 al 50% del 2024. Seguono a distanza Germania (che insieme a Francia e UK è il Paese europeo con una digitalizzazione più avanzata) e India.
Considerando invece tutte le attività malevole, quindi anche hacktivismo, APT e affini, l’Italia si trova in quarta posizione dietro a Canada, Giappone e Cina, migliorando rispetto al 2023 quando era in seconda piazza.
Notoriamente giustificato da un interesse economico, il ransomware è ormai un’attività talmente remunerativa da giustificare la continua nascita di gruppi che lo praticano. In particolare, rispetto allo scorso anno il loro numero è cresciuto del 55%. Si tratta di collettivi che operano come aziende a tutti gli effetti, e che spesso sfruttano le vulnerabilità nelle infrastrutture critiche per bloccare le operazioni e richiedere ingenti riscatti in cambio del ripristino dei sistemi.
Oltre al profitto, l’altro motivo scatenante per gli attacchi cyber è quello politico, che è fiorente in questo momento storico per ovvie ragioni socio-politiche relative per lo più all’Europa e all’area mediterranea, visti i conflitti in Ucraina e Israele. Secondo i dati di Forescout, nel 2024 i gruppi APT sono stati responsabili del 40% degli attacchi e hanno iniziato a sfruttare sempre più frequentemente gli hacktivisti come travestimento per le loro operazioni.
Dall’invasione russa in Ucraina l’hacktivismo sta vivendo un forte ritorno di fiamma, come testimoniato dal recente Rapporto Clusit. Quasi sempre le attività di questi gruppi sono dimostrative e provocano solo danni temporanei: si pensi per esempio al defacement dei siti o agli attacchi DDoS. Ma alcuni APT, quali ad esempio Predatory Sparrow e Karma Power, si presentano come hacktivisti ma poi conducono attacchi rilevanti contro infrastrutture critiche, orchestrati da attori sponsorizzati da Paesi come Cina, Russia e Iran.