I rilevamenti di ransomware nel primo trimestre 2022 hanno raddoppiato il volume totale registrato nel 2021; la botnet Emotet è tornata in grande stile: la vulnerabilità di Log4Shell ha triplicato i suoi sforzi di attacco, e si registra un’attività di cryptomining malevola. Sono questi, in estrema sintesi, i dati salienti contenuti nell’Internet Security Report edito da WatchGuard Technologies e riferito al primo trimestre del 2022.

Gli esperti del WatchGuard Threat Lab parlano espressamente di esplosione degli attacchi ransomware. Non è difficile intuirne i motivi: gli elevati proventi dei riscatti, uniti all’uso dei Bitcoin il cui valore è aumentato esponenzialmente nel tempo, hanno arricchito i gruppi criminali dando loro la possibilità di investire in nuove tecniche di attacco sempre più sofisticate. Queste ultime hanno consentito di causare danni tali da permettere agli autori di chiedere riscatti milionari. Nonostante le aziende di cyber security e molti Governi sconsiglino apertamente di pagare i riscatti, nel 2021 quasi due terzi delle vittime ha pagato, alimentando il cybercrime.

Sul fronte delle aziende, i difensori faticano a tenere il passo evolutivo degli attacchi, e spesso non riescono a implementare difese efficaci per mancanza di strumenti adeguati, automatizzazione, figure professionali. Per questo motivo Corey Nachreiner, chief security officer di WatchGuard, esorta “le aziende non solo a impegnarsi nell'implementazione di misure semplici ma di fondamentale importanza, ma anche ad adottare un vero approccio di sicurezza unificato in grado di adattarsi in modo rapido ed efficiente alle minacce in crescita e in evoluzione".

Sempre in ambito ransomware, è anche da tenere a mente che la caduta di un gruppo non implica necessariamente la sparizione dalle scende cyber dei suoi affiliati. È il caso di REvil, che ha cessato l’attività nel quarto trimestre del 2021 favorendo l’ascesa del gruppo LAPSUS$.

Legata al ransomware, ma più in generale agli attacchi cyber, è la scottante questione delle tecniche di attacco in continua evoluzione. Una volta i vettori erano file malevoli, a questo giro a tenere banco negli attacchi agli endpoint sono gli script PowerShell. I rilevamenti del primo trimestre rivelano un aumento di circa il 38% rispetto al trimestre precedente e il vettore dominante sono appunto gli script di PowerShell, che da soli hanno rappresentato l'88% di tutti i rilevamenti e sono ritenuti responsabili del 99,6% dei rilevamenti di script. È la chiara indicazione – sempre che ce ne fosse bisogno - che gli attaccanti si stiano spostando sempre di più verso attacchi fileless e living-off-the-land utilizzando strumenti legittimi.

Ci sono cattive notizie anche sul fronte geografico. Dai dati risulta infatti che l'EMEA continua a essere un hotspot per le minacce malware. In particolare, risulta che le trappole di WatchGuard collocate in Europa, Medio Oriente e Africa sono state bersagliate maggiormente rispetto a quelle in Nord, Centro e Sud America (AMER) e in nell’area Asia-Pacifico.

Chiudiamo questa carrellata di informazioni con i ritorni di fiamma e le conferme indesiderate. Il ritorno ormai conclamato è quello di Emotet, che nonostante gli sforzi delle forze dell'ordine all'inizio del 2021, è stato il malware più diffuso nel primo trimestre 2022 dopo la sua rinascita nel quarto trimestre del 2021.

La riconferma è invece quella di Log4Shell. Nonostante la sua scoperta risalga al quarto trimestre del 2021, la firma di Log4Shell è quasi triplicata nel primo trimestre di quest'anno.