Aprile 2022 è stato un mese importante per il panorama ransomware, perché ha visto il ritorno in attività del temuto gruppo REvil, la riconferma della supremazia di gruppi noti come LockBit, Conti e ALPHV e l’ingresso in scena di tre gruppi ransomware-as-a-service (RaaS) emergenti: Onyx, Mindware e Black Basta.

REvil e gli altri gruppi noti non hanno bisogno di presentazioni. Concentriamo quindi l’attenzione sulle new entry. Black Basta si è fatto rapidamente un nome spuntando dal nulla. Solo ad aprile 2022 risulta responsabile di almeno undici violazioni andate a buon fine. Questo successo lampo fa presupporre che questo gruppo dal nome inedito possa in realtà essere un re-brand di un gruppo esistente che aveva già una folta serie di affiliati. Non resta che attendere l'analisi del codice sorgente per riscontrare eventuali affinità con qualche predecessore.

Mindware sembra essere in attività da metà marzo 2022. Si sa che sfrutta un noto ceppo ransomware chiamato SFile2 (aka Escal), e che solo da aprile ha iniziato ad applicare la nota tecnica della doppia estorsione. Onyx è l'incognita maggiore. Nonostante sia nuovo sulla scena del crimine, gli abbiamo già dedicato un articolo per via di alcune informazioni inquietanti diffuse dai ricercatori del ricercatori del MalwareHunterTeam.

Risulta che gli affiliati sfruttino il vecchio codice di Chaos e che in realtà potrebbe non trattarsi di un ransomware in senso stretto, ma di un wiper, dato che distrugge file più grandi di 2 MB invece di crittografarli. L'altra ipotesi sul piatto è che questo comportamento peculiare possa essere il risultato di un bug nel codice ransomware, il che implicherebbe che l'autore abbia poca esperienza.

L'andamento degli attacchi

I ricercatori della Threat Intelligence di Malwarebytes monitorano costantemente gli attacchi riconosciuti sui siti di rivendicazione dei threat actor, e formulano report mensili sull'andamento delle attività ransomware. Ad aprile risulta che, nonostante il grande successo dei gruppi emergenti, le loro attività siano ancora lungi dal raggiungere i livelli dei gruppi consolidati.

Ecco che quindi LockBit, Conti e ALPHV hanno generato da soli il 60% di tutte le violazioni note. In particolare, a LockBit sono riconosciuti 93 attacchi in un solo mese, 43 a Conti e 32 a ALPHV. Gli altri 18 gruppi monitorati hanno generato cumulativamente poco più di cento attacchi.

Interessante è la ripartizione degli attacchi per Paese: non stupisce il fatto che il più colpito sia il Nord America, mentre lascia perplessi la terza posizione dell'Italia, che precede paesi economicamente più rilevanti come Regno Unito, Canada e Francia. Lo stesso dato era stato pubblicato qualche tempo fa da Trend Micro Research e ha una sola spiegazione plausibile: riflette l'incapacità del nostro Paese di affrontare, gestire e bloccare le minacce informatiche.

Ultima nota riguarda i settori industriali più colpiti a livello globale: Servizi, Tecnologia e Manifacturing sono sul podio, a indicazione del fatto che queste aziende, spesso di piccole e medie dimensioni, necessitano di una migliore protezione contro gli attacchi informatici.