In passato, i criminali informatici spesso operavano con l’intento di “do it for lulz“, impegnandosi in attività dannose esclusivamente per divertimento o per creare caos. Oggi sono guidati dal profitto e si trasformano in entità aziendali razionali alla ricerca di processi scalabili e ripetibili per un reddito costante. Questo cambiamento nella motivazione ha reso in qualche modo più semplice prevedere il loro comportamento, poiché le loro azioni sono ora basate su obiettivi strategici piuttosto che su capricci imprevedibili.
Nel 2024, prevediamo che la minaccia ransomware continuerà a prendere una svolta opportunistica: una tendenza che abbiamo evidenziato per la prima volta nel 2022 , che ha acquisito slancio nel corso del 2023 (caratterizzato da numerosi avvisi, culminati nell’attuale sfruttamento di CitrixBleed) e che si prevede raggiungerà la maturità quest’anno.
1. Accelerazione del ransomware opportunistico con exploit zero-day
Nel 2024, gli autori delle minacce ransomware continueranno ad adottare una mentalità più opportunistica , trasformando rapidamente in armi le vulnerabilità appena scoperte entro 24 ore. Dopo aver compromesso molte reti utilizzando scanner automatizzati, le valuteranno manualmente per determinare il metodo di monetizzazione ottimale e selezionare la modalità di attacco appropriata. Man mano che le aziende adottano sempre più patch prioritarie e risposte rapide, gruppi più sofisticati con risorse sostanziali inizieranno a investire in autentiche vulnerabilità zero-day, aggirando la necessità di attendere la disponibilità del codice proof-of-concept (PoC).
I gruppi di ransomware continueranno a concentrarsi sul software aziendale . Sia i fornitori aziendali che i clienti devono adattarsi a questa tendenza. Al di là della sua adozione diffusa, il software aziendale si distingue come un obiettivo primario grazie ai suoi cicli di manutenzione tradizionali. A differenza dei meccanismi di aggiornamento completamente automatizzati e senza soluzione di continuità prevalenti nel software consumer, come browser o applicazioni per ufficio, il software aziendale segue in genere un approccio più conservativo e graduale all’applicazione delle patch. Ciò crea una finestra di opportunità per gli autori delle minacce e i loro sforzi saranno probabilmente indirizzati ad espandere il più possibile la durata di questa finestra. Potrebbe essere necessario sottoporre il tradizionale approccio al ciclo di vita del software aziendale a una trasformazione per far fronte alle crescenti pressioni imposte dagli autori delle minacce.
Dato il tempo necessario per questo aggiustamento, potrebbe verificarsi uno squilibrio temporaneo tra capacità offensive e difensive. Dopo alcuni attacchi di alto profilo, si prevede che le aziende si concentreranno su soluzioni di gestione del rischio.
2. Razionalizzare la valutazione e il triage delle vittime
Gli attacchi opportunistici, eseguiti da broker di accesso iniziale o affiliati di ransomware, ottengono rapidamente l’accesso a centinaia o migliaia di reti. Dopo questa compromissione iniziale automatizzata, segue un processo di triage manuale, che richiede tempo aggiuntivo. Questo tempo di permanenza offre ai difensori l’opportunità di rilevare e mitigare la minaccia, in particolare con funzionalità di rilevamento e risposta efficaci (XDR o MDR).
Il triage è fondamentale per determinare il massimo potenziale di riscatto e il metodo più efficace, considerando fattori come il settore o le dimensioni dell’azienda. I settori manifatturieri e simili dipendenti dalle operazioni sono suscettibili all’implementazione di ransomware, mentre settori come la sanità o gli studi legali sono più inclini al furto di dati. I gruppi di ransomware sono sempre più abili nel comprendere le sfumature del settore . Gli studi di gioco, in particolare, devono stare attenti poiché prevediamo un aumento degli attacchi nel 2024.
Le piccole e medie imprese con un potenziale di riscatto limitato fungono da fonti per le connessioni aziendali per intensificare gli attacchi , spesso attraverso connessioni VPN/VDI o compromissione della posta elettronica aziendale. In questo scenario, la risorsa più preziosa per gli affiliati del ransomware potrebbe non essere ciò che possiedi, ma chi conosci. Lo sfruttamento iniziale di una vulnerabilità può compromettere un’azienda attraverso la catena di fornitura, anche se non utilizza direttamente il software interessato.
3. Modernizzazione del codice ransomware
Gli sviluppatori di ransomware stanno adottando sempre più Rust come linguaggio di programmazione principale. Rust consente agli sviluppatori di scrivere codice più sicuro , rendendo più difficile per i ricercatori di sicurezza decodificare e analizzare. Inoltre, consente lo sviluppo di codice che può essere compilato per diversi sistemi operativi. Sebbene non sia previsto lo sviluppo di veri e propri ransomware per macOS, si registra una tendenza crescente nel prendere di mira gli hypervisor e altri carichi di lavoro dei server.
Invece di crittografare completamente i file, il codice ransomware favorirà la crittografia intermittente e passerà gradualmente verso una crittografia resiliente quantistica come la crittografia NTRU. La crittografia intermittente prevede la crittografia solo di una parte di un file alla volta, offrendo due vantaggi chiave: in primo luogo, diventa più difficile per gli strumenti di sicurezza rilevare l’attacco a causa della somiglianza statistica tra il file parzialmente crittografato e l’originale; e in secondo luogo, il processo di crittografia è più veloce, consentendo al ransomware di crittografare più file entro un determinato periodo di tempo.
In sintesi, il codice ransomware di alta qualità sta diventando una merce. Il ransomware spesso colpisce un gran numero di sistemi e grandi quantità di dati. Tuttavia, nonostante lo sviluppo professionale, il recupero dei dati rimane impegnativo e non è mai garantito che sia al 100%. Sempre più gruppi di ransomware stanno passando al furto di dati come strategia, riconoscendo le persistenti difficoltà nel recupero dei dati, indipendentemente dalla qualità del codice.
4. Continua evoluzione verso il furto di dati tramite crittografia ransomware
La crittografia dei dati continuerà a far parte dell’arsenale dei sofisticati gruppi di ransomware, ma assumerà un ruolo supplementare. Continua uno spostamento verso il furto e l’esfiltrazione dei dati , allontanandosi dalla tradizionale attenzione alla crittografia ransomware (le eccezioni sono i settori in cui garantire la disponibilità è prioritario rispetto alla riservatezza, come la produzione). Alcuni esempi degni di nota sono CL0P, BianLian, Avos, BlackCat, Hunters International e Rhysida.
L’esfiltrazione dei dati può potenzialmente generare profitti più elevati rispetto agli attacchi ransomware. Dopo aver eseguito con successo l’esfiltrazione dei dati, le vittime si trovano di fronte a una decisione binaria: mantenere i dati riservati o consentire agli autori delle minacce di pubblicarli, in contrasto con i risultati più flessibili degli scenari di crittografia dei dati.
A differenza del ransomware, l’esfiltrazione dei dati evita di causare la distruzione, consentendo ai gruppi di ransomware di presentarsi come tester di penetrazione involontari. L’esfiltrazione dei dati consente alle vittime di mantenere la facciata di riservatezza dei dati, poiché gli autori delle minacce si offrono di gestire con discrezione le violazioni. I criminali informatici sfruttano la legislazione e le conoscenze in materia di conformità per costringere le vittime a soddisfare le crescenti richieste di riscatto e alcune vittime potrebbero scegliere di pagare un riscatto per eludere multe o un impatto negativo sul marchio.
