Nuove Tendenze nel Ransomware: Crescita Record e Azioni Decisive delle Forze dell’Ordine

Il primo trimestre del 2024 ha segnato un record preoccupante per l’attività di ransomware, con un incremento significativo delle vittime rispetto all’anno precedente. Secondo il recente Ransomware Report di Corvus, 1.075 vittime sono state segnalate nei siti di DataLeak, rappresentando un aumento del 21% rispetto allo stesso periodo del 2023.

Nel primo trimestre del 2024, l’operazione Cronos ha rappresentato uno degli sforzi internazionali più significativi per combattere il ransomware, colpendo direttamente il gruppo LockBit, noto per la sua pervasività e per essere uno dei più attivi nel panorama del cybercrime. L’operazione ha visto la collaborazione di dieci paesi e ha portato a risultati concreti e tangibili: il sequestro di 34 server e l’immobilizzazione di 200 conti di criptovaluta. Inoltre, le forze dell’ordine hanno arrestato membri chiave del gruppo in Polonia e Ucraina, mostrando un’azione coordinata e decisa contro le infrastrutture di uno dei gruppi più temuti.

Nonostante il duro colpo subito, LockBit ha tentato di dimostrare la sua resilienza riorganizzandosi rapidamente. Pochi giorni dopo l’operazione, hanno istituito un nuovo sito di DataLeak, segnale evidente che cercavano di ripristinare i loro servizi e continuare le loro operazioni illecite. Tuttavia, un’analisi più attenta ha rivelato che circa il 40% dei dati pubblicati riguardava violazioni avvenute prima dell’operazione Cronos. Questo indica non solo una resilienza nell’infrastruttura e nelle operazioni di LockBit, ma anche una potenziale riduzione nella loro capacità di lanciare nuovi attacchi, almeno nel breve termine. La dipendenza da vecchie violazioni suggerisce che il colpo subito ha effettivamente intaccato la loro operatività.

Parallelamente, il gruppo ALPHV/BlackCat ha incontrato il suo epilogo in un contesto totalmente diverso. Dopo un attacco di alto profilo contro Change Healthcare, che ha colpito migliaia di pratiche mediche e farmacie, i leader di ALPHV/BlackCat hanno condotto una truffa all’uscita, trattenendo tutti i fondi raccolti dai pagamenti del riscatto, stimati in circa 20 milioni di dollari. In pratica questo gruppo non ha pagato i propri affiliati, per i quali è previsto generalmente uno share che va dal 75% all’80% del valore dell’estorsione. Quest’azione ha portato a un malcontento significativo tra gli affiliati, i quali si sono visti negare la loro quota dei profitti, causando una rottura interna e la cessazione delle operazioni del gruppo. D’altronde un ladro che truffa dei ladri non è un’evento inaspettato!

Nonostante queste interruzioni significative, l’ecosistema del ransomware non solo ha resistito, ma ha mostrato segni di crescita e adattamento. Secondo i dati forniti da Corvus, quest’attività nel primo trimestre del 2024 è stata superiore a quella di qualsiasi primo trimestre degli anni precedenti. Questo aumento di attività dimostra una notevole resilienza all’interno della comunità del ransomware e conferma quello che già sapevamo, ovvero una rapida redistribuzione delle forze tra nuovi gruppi emergenti.

Distribuzione verso nuovi gruppi

I dati di Corvus evidenziano un fenomeno già ampiamente conosciuto: nonostante la caduta o l’interruzione di gruppi storici, ci sono state significative ondate di crescita da parte di nuovi gruppi come BlackBasta, Akira, HuntersInternational e BianLian. Questi gruppi hanno rapidamente occupato lo spazio lasciato vuoto dai leader tradizionali, mostrando una notevole agilità nel reclamare una porzione del “mercato” del ransomware.

Per esempio, il report ha evidenziato che i nuovi gruppi emergenti hanno mostrato un incremento nelle loro attività complessive. BlackBasta e Akira, in particolare, sono stati segnalati per la loro aggressività e la crescente frequenza degli attacchi, riflettendo un trasferimento di potere all’interno della rete criminale. Nel dettaglio, si è osservato un aumento percentuale dell’attività di questi gruppi rispetto al trimestre precedente, suggerendo un adattamento e una crescita significativi nel loro raggio d’azione.

Questa tendenza di dispersione e crescita tra i nuovi gruppi rappresenta una sfida significativa. La loro capacità di adattarsi e riorganizzarsi rapidamente dopo le interruzioni indica che le strategie di contrasto devono essere altrettanto dinamiche e proattive. La minaccia non è statica, evolve costantemente con nuovi attori che emergono con tattiche diverse e, talvolta, più sofisticate.

Tutto questo evidenzia l’importanza della collaborazione internazionale nel monitoraggio e nella risposta agli attacchi informatici. Con il numero di siti di DataLeak che ha raggiunto un picco senza precedenti di 60 attivi nel primo trimestre del 2024, e 18 nuovi siti scoperti nello stesso periodo, è chiaro che il fenomeno del ransomware sta espandendosi a una velocità allarmante.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Antonio Capobianco

CEO e fondatore di Fata Informatica, collabora con università come Roma3 e Tor Vergata in master per ingegneri. Docente di Malware Analysis per l'Università Ecampus e conduttore del podcast "Cybersecurity & Cybercrime", ha lanciato CybersecurityUP nel 2017