Dopo aver analizzato il report diffuso da Coveware riguardante gli attacchi ransomware nei primi tre mesi del 2020, ovvero quelli a cavallo dell’emergenza sanitaria, è il momento di vedere com’è stata la situazione osservata tra aprile e giugno.
Rispetto al Q1, tra i ransomware più diffusi c’è solo una piccola modifica, con Maze che adesso occupa la seconda posizione, prima occupata da Ryuk (ora in sesta). Gli altri due occupanti della top3 sono Sodinokibi al primo posto e Phobos al terzo. Di questi ultimi due abbiamo già parlato nell’articolo riguardante il precedente report mentre, per fare una rapida descrizione di Maze, è possibile dire che questo malware colpisce principalmente tramite email phishing, mentre gli altri due sono più specializzati negli attacchi via Desktop Remoto (RDP).
Per quel che riguarda i vettori, quelli in assoluto più utilizzati continuano ad essere gli RDP, seguiti dalle truffe via mail e le vulnerabilità dei software.
Guardando invece il dato riguardante le dimensioni delle aziende colpite, rispetto al Q1 del 2020 si possono notare alcune cruciali differenze. Questo perché se nel precedente report Sodinokibi si rivolgeva ad aziende mediamente più grandi, adesso è il solo Maze ad avere come obiettivo le imprese più strutturate, mentre Phobos, agendo principalmente tramite phishing, ha continuato a bersagliare piccole e medie imprese.
Per vedere il tutto da una prospettiva diversa, il numero mediano di dipendenti delle aziende colpite sta aumentando anche in questo trimestre, passando dai poco più di 60 a circa 100. Dividendo questo dato per fasce, i ransomware prendono maggiormente di mira le aziende che hanno tra 10 e 100 dipendenti (39% di attacchi subiti) e quelle tra i 100 ed i 1000 dipendenti (31%), mentre è più raro, anche per via dei sistemi di protezione più all’avanguardia, che le vittime siano realtà che superano le migliaia di lavoratori. Per dirla in modo molto più semplice, la stragrande maggioranza degli attacchi (75%) viene perpetrata ai danni di aziende che fatturano meno di 50 milioni di dollari all’anno.
Quanto ai tipi di business più colpiti dalle minacce degli hacker è possibile vedere nel grafico come i servizi professionali siano sempre i più colpiti, seguiti dal settore pubblico e la sanità, seppur con percentuali inferiori. La gran parte degli attacchi rivolti al pubblico riguardano le scuole, questo perché con la DAD (Didattica a Distanza) le loro attività si sono spostate tutte su piattaforme per il lavoro da remoto anticipando di qualche mese il periodo di chiusura, ovvero luglio ed agosto, durante il quale era più frequente registrare attacchi.
Aumentano in modo preoccupante, invece, i casi di attacchi ransomware con esfiltrazione di dati. In questi casi, diversi dal comune malware che cripta i dati, oltre al riscatto da pagare esiste anche una minaccia ben più grave, ovvero la pubblicazione di tutto ciò che viene rubato. Se nei casi normali con un semplice backup si può evitare di pagare gli hacker, nel caso appena spiegato questo non è più sufficiente e ci si troverà di fronte ad un esborso economico forzato, pena la divulgazione di tutto ciò che riguarda l’azienda. Nel Q2, questo genere di attacchi è cresciuto dell’8,7% arrivando al 22% dei casi totali.
Aumenta anche la media di giorni di downtime provocati alle aziende colpite, che arriva adesso a ben 16 giorni, uno in più rispetto al dato del Q1. Allo stesso modo è aumentata anche la cifra media di riscatto pagata dalle vittime, che fra gennaio e marzo era arrivata a circa 111.000 dollari ed ora sta per sfiorare quota 180.000 (+60%). Questo è il dato che fa più impressione, poiché da ormai diversi anni questa cifra sta continuando ad aumentare in modo spropositato anche per le motivazioni spiegate nel precedente paragrafo.
Fonti: 1