L'evoluzione del ransomware è al centro di un lavoro dei ricercatori di sicurezza di Proofpoint Threat Research, che hanno analizzato gli attacchi ransomware di alto profilo dello scorso anno e hanno osservato diverse tendenze comuni. L'analisi che ne segue è importante perché, a parte il numero delle vittime, dei riscatti e dei danni arrecati, permette di fare il punto sugli elementi su cui si basa l'attività oggi più importante: la prevenzione.

Posto che ogni attacco ransomware è unico, mirato contro target ben precisi, ci sono degli elementi comuni. Il primo è la collaborazione tra gli ecosistemi cybercriminali. È lo spartiacque fra il passato e il presente. Fra i piccoli attacchi in ordine sparso che costituivano un problema solo per le vittime; e una condivisione di strategie, armi e persone, che di fatto ha portato i crimini informatici a diventare un problema di sicurezza nazionale.

Non è un caso che a seguito della tempesta di attacchi piovuta durante la pandemia, Interpol, FBI, DOJ e tutti i Paesi partecipanti al G7 abbiamo compreso che serve un'azione globale unita per una lotta efficace contro il ransomware.
Un altro cambiamento che si potrebbe definire epocale è di natura tecnica. In passato esistevano solo gli attacchi ransomware a fase singola: in un colpo solo crittografava una singola macchina. I criminali informatici chiedevano piccoli riscatti per ripristinare l'accesso ai dati.

Il ransomware oggi

Oggi tutti gli attacchi ransomware sfruttano elaborati payload multistadio. Crittografano tutti i sistemi di un'azienda nello stesso momento e portano a richieste di riscatto anche milionarie. Criminali specializzati nell'accesso iniziale, i broker, compromettono le vittime con il payload iniziale, che è un downloader malware come The Trick (noto anche come Trickbot), Dridex o Buer Loader. I broker a loro volta vendono il loro accesso agli operatori di ransomware. Fra i loro clienti ci sono anche i gruppi APT.  

Un altro elemento comune che si è evoluto è la scelta della vittima. Un tempo vigeva il modello automatizzato "spray and pray": si scatenava l'attacco, sperando di colpire una vittima danarosa disposta a pagare. Oggi gli operatori ransomware spesso conducono attività di sorveglianza per identificare obiettivi di alto valore. E per determinare quali macchine siano più vulnerabili e chi è più propenso a pagare un riscatto.

Il motivo è nel passaggio precedente. Orchestrare un attacco ransomware è costoso: diverse persone lavorano agli strumenti per l'ingresso in rete, sviluppano soluzioni per la distribuzione dei payload, per i movimenti laterali, per l'offuscamento, per il furto di dati, per la contrattazione del riscatto. Nel caso dei RaaS c'è poi una ripartizione del bottino fra sviluppatori e affiliati. Tutti devono guadagnare, perché il cybercrime è fondato sul profitto. Capita di rimanere con un pugno di mosche, ma bisogna fare di tutto affinché non accada.
Da qui la sorveglianza e agli attacchi mirati, che sono l'altro comune denominatore. La caccia grossa, o la pesca a strascico come si chiamavano un tempo, hanno fatto il loro tempo. Oggi gli attaccanti danno meno peso al volume e più importanza all'efficacia. Mirano i mercati più grandi e promettenti, in particolare quelli che hanno implicazioni critiche nel caso di interruzioni del business per periodi prolungati. 

I classici esempi di questo sono l'azione contro Colonial Pipeline e JBS. La prima ha generato il panico tra i cittadini statunitensi che hanno svuotato gran parte delle stazioni di servizio in tutto il sud-est. Quella contro la società di lavorazione della carne JBS ha scatenato i timori di una carenza di fornitura di carne bovina nazionale.

I punti di ingresso

La pandemia ha appiattito la scelta di punti di ingresso nelle reti. In precedenza il mercato era diversificato. Oggi, grazie alla diffusione dello smart working è giocofacile bersagliare il protocollo RDP e le VPN per fare breccia nelle reti aziendali.

Gli exploit zero day (molto costosi) sono ancora usati dai gruppi più danarosi e avanzati e dagli APT. Gli altri arrivano in scia o sfruttano le vecchie vulnerabilità ormai chiuse, approfittando dell'ampia platea di aziende e istituzioni perennemente in ritardo con il patching.
La parte del leone in ambito vulnerabilità resta però appannaggio degli utenti finali, che continuano ad abboccare ai messaggi di phishing: un clic su un'email o su un link malevolo può sfociare in un arresto completo delle attività fino al pagamento di un riscatto.