Nel 2021 la richiesta media di riscatto ha raggiunto 2,2 milioni di dollari, in crescita del 144% rispetto al 2020. Il calcolo è degli esperti della Unit 42 di Palo Alto Networks, secondo cui il pagamento medio del riscatto è cresciuto del 78%, a quota 541.010 dollari. I dati sono contenuti nel 2022 Unit 42 Ransomware Threat Report -Understand trends and tactics to bolster defenses, che elabora le informazioni di tutti i casi gestiti direttamente da Unit 42.

A questo dato se ne affianca uno che conferma quanto rilevato più volte anche da altre fonti: praticamente nessun paese o industria è uscito indenne dagli attacchi ransomware nel 2021. Premesso questo, ci sono regioni e settori colpiti più duramente di altri: al primo posto gli Stati Uniti, con circa il 60% degli attacchi, seguiti a stretto giro dall'Europa, dove si è verificato il 31% degli attacchi.

Un altro dato confermato da quanto visto nel 2021 è che gli attaccanti stanno mettendo in campo tattiche sempre più sofisticate che mettono in seria difficoltà la capacità difensiva delle aziende di tutte le dimensioni, complice anche la diffusione del RaaS e la consolidata tecnica della doppia estorsione.

Complessivamente, nel 2021 Unit 42 ha assistito alla pubblicazione sui siti di rivendicazione dei dati rubati a 2.566 vittime, che equivalgono all'85% in più rispetto al 2020. Il gruppo ransomware che ha perpetrato il maggior numero di attacchi con pubblicazione dei dati è stato Conti, con 511 vittime, seguito da LockBit 2.0 con 406.

La tendenza attuale è quella di andare verso la tripla estorsione, già applicata ad esempio da BlackCat: gli attaccanti rubano i dati di un'organizzazione, bloccano i sistemi con il ransomware, e per convincere le vittime a pagare prima pubblicano le informazioni, poi avviano attacchi DDoS se il riscatto non viene pagato.

Detto questo, BlackCat non è il gruppo più prolifico in fatto di attacchi. Al primo posto è saldamente in testa Conti, con una richiesta media di riscatto di 1,78 milioni di dollari e un attivo di circa 600 vittime dal 2020 ad ora. Peculiarità di Conti è la capacità di sfruttare le vulnerabilità note e zero-day in tempi molto brevi. Il secondo gruppo più attivo nel 2021 è stato un altro di matrice russa: REvil, che è arrivato a chiedere cifre medie di 2,2 milioni di dollari di riscatti, con punte fino a 5,4 milioni.

Contrasto al ransomware

Unit 42 non manca di elargire consigli per contrastare l'attività ransomware. Quello principale è di ostacolare in tutti i modi possibili il pagamento dei riscatti, dato che gli attacchi sono motivati finanziariamente. Fino a quando i proventi saranno garantiti, le attività continueranno. Per questo è richiesta a gran voce un'azione dei governi atta a rendere fuorilegge il pagamento dei riscatti.

Inoltre, sono funzionali a una difesa efficace l'applicazione tempestiva delle patch, l'utilizzo dell'autenticazione a più fattori, la conservazione di dettagliati inventari hardware e software, l'uso di password complesse, la conservazione di backup offline e la crittografia dei dati sensibili.