Due APT e un ransomware sono state le minacce più diffuse nel 2022, a indicazione di quanto sono cambiati gli equilibri con la guerra in Ucraina e la crisi economica.
Difensori e potenziali vittime si chiedono in continuazione quali sono le minacce più attive e come fare a riconoscerle. Una indicazione chiara la fornisce Unit 42, il Threat Intelligence Team di Palo Alto Networks, che ha stilato la Top 3 dei malware più rilevanti del 2022, che vede al primo posto il Ransomware BlackCat, al secondo il gruppo APT Gallium e al terzo Brute Ratel C4.
Andando per ordine, BlackCat è una famiglia di malware emersa a novembre 2021 che ha rapidamente guadagnato notorietà per la sua sofisticatezza e innovazione. Operando con un modello di business ransomware-as-a-service (RaaS), BlackCat ha reclutato affiliati nei forum più popolari del darkweb promettendo loro l'80%-90% dei riscatti, riservando agli autori solo una minima parte dei proventi. Questo ha permesso di aumentare velocemente le fila degli affiliati e di conseguenza di moltiplicare il numero degli attacchi. Inoltre, BlackCat si contraddistingue per l’approccio aggressivo nei confronti delle vittime, che vengono spesso derise pubblicamente.
Passiamo alla seconda posizione: gallium. È un noto gruppo APT che si è fatto conoscere prendendo di mira società di telecomunicazioni operanti nel Sud-Est asiatico, in Europa e Africa. Sulla base dell'orientamento geografico del gruppo, del suo focus settoriale e della sua competenza tecnica, combinata con l'uso di malware e TTP tipiche soprattutto degli attori cinesi, si ritiene che questo APT sia sponsorizzato dallo Stato cinese, anche se non ci sono certezze. Ricordiamo che l’attribuzione certa degli attacchi è difficilissima e per questo molto rara.
In terza posizione c'è Brute Ratel C4, un tool di simulazione di red teaming e di attacco particolarmente pericoloso. È stato progettato specificamente per evitare il rilevamento da parte delle soluzioni di detection e response e la sua efficacia è chiaramente testimoniata dall'assenza di rilevamenti da parte di tutti i fornitori presenti su VirusTotal. Il campione iniziale è stato inoltre confezionato in modo coerente con le tecniche note di APT29, il gruppo sponsorizzato dal Cremlino noto anche come The Dukes o Cozy Bear.
Il fatto che due minacce su tre della top 3 siano costituite da APT fa comprendere come siano cambiati gli equilibri delle minacce cyber in concomitanza con il conflitto ucraino e la crisi economica. L’altro aspetto preoccupante è il fatto che i gruppi sponsorizzati dagli stati nazionali usano sempre più spesso armi proprie del cybercrime, come i ransomware, e viceversa: attaccanti con ogni livello di competenza possono ora accedere a strumenti pericolosi.
Anche se il cybercrime figura in un solo gruppo su tre, molti esperti evidenziano la tendenza a non costituire più grandi e potenti gruppi del cybercrime. Per aggirare più facilmente i controlli delle Forze dell’Ordine stanno prendendo piede moltissimi gruppi piccoli, molto agili e difficili da tracciare. Per i difensori questa non è una buona notizia.