Il panorama degli attacchi informatici non accenna a liberarsi dalle principali minacce nemmeno durante l’emergenza sanitaria. Nel report che analizziamo in questo articolo vediamo la situazione relativa ai ransomware nel Q1 del 2020 (gennaio – marzo).
I ransomware più diffusi in assoluto sono stati Sodinokibi, Ryuk e Phobos confermando il trend del Q4 del 2019. Il primo sfrutta una vulnerabilità presente nei sistemi Windows, ormai conosciuta dagli analisti, per entrare in possesso dei dati ritenuti più importanti; Ryuk invece non attacca qualsiasi vittima, bensì sceglie accuratamente solo le aziende di grandi dimensioni e con un gran numero di dipendenti utilizzando lo spear phishing, di modo da poter chiedere anche riscatti maggiori. Phobos infine attacca principalmente via desktop remoto RDP. I metodi utilizzati per perpetrare questi tre ransomware sono anche quelli più utilizzati dagli hacker, con i RDP in testa seguiti da email e vulnerabilità nei software.
Fonte: Coveware
Andando avanti, il report analizza la grandezza delle aziende colpite dai tre ransomware sopracitati nel Q1 del 2020. Phobos ha innalzato un po’ l’asticella passando da aziende con circa 80 dipendenti a fronte dei circa 38 del Q4 del 2019. Ryuk, come abbiamo detto, colpisce realtà molto più grandi da circa 1000 dipendenti, ma i dati mostrano come il numero sia in grande ribasso rispetto al periodo precedentemente analizzato (1680 dipendenti circa). Infine, Sodinokibi ha iniziato ad attaccare aziende da circa 370 dipendenti, quindi di dimensioni molto maggiori rispetto al dato del Q4 del 2019 (70 dipendenti circa).
Queste cifre vanno abbastanza di pari passo anche per le cifre ottenute per i riscatti. Ryuk si conferma un ransomware potente, poiché solo nel periodo analizzato è arrivato ad estorcere alle sue vittime una cifra media che supera largamente il milione di dollari. Sodinokibi e soprattutto Phobos si fermano a cifre molto inferiori ma questo, come abbiamo detto, dipende anche dagli obiettivi degli hacker.
Un dato molto interessante a riguardo è proprio quello dei tipi di business che vengono maggiormente attaccati. Come si può vedere nell’immagine in basso, sono i servizi professionali quelli più colpiti con il 18,1% dei casi, mentre al secondo posto vediamo il settore della sanità col 13,8% degli attacchi subiti, molti dei quali perpetrati proprio durante l’emergenza Coronavirus e per questo ancora più dannosi. Lo stesso si può dire per il settore pubblico, che occupa la terza posizione col 12%.
Fonte: Coveware
Passando a coloro che hanno deciso di pagare il riscatto, nel Q1 del 2020 la cifra media pagata per la decriptazione dei propri file è stata di 111.605 dollari in Bitcoin. Nel 99% dei casi (+1% rispetto al Q4 del 2019), dopo il pagamento è anche seguito l’effettivo “rilascio degli ostaggi”.
Coveware però sottolinea che, lavorando solo con aziende di grandi dimensioni e non con piccole imprese o singoli individui, il dato si innalza particolarmente. Va sottolineato con forza che comunque il consiglio è sempre lo stesso: mai pagare il riscatto. Questo perché non si può mai essere sicuri sull’integrità dei propri sistemi anche dopo la decriptazione dei dati, cosa che metterebbe a serio rischio tutti i sistemi e che potrebbe nuovamente portare ad un attacco, visto che ci si è dimostrati anche propensi a pagare.
L’ultimo dato presentato dal report del Q1 mostra la durata media del downtime, che è di 15 giorni circa. Questo ovviamente affligge realtà diverse in modi del tutto differenti, basti pensare a cosa significherebbe bloccare un ospedale o un intero sistema sanitario per tutto questo tempo, specialmente in un momento di emergenza. Sebbene molti hacker dichiarino di non avere tra i loro obiettivi le strutture sanitarie, altri non si fermano davanti a nulla e lo abbiamo visto anche in alcuni dei nostri articoli. Tornando alla durata media, nel Q1 si registra comunque un ribasso rispetto agli anni scorsi, durante i quali il dato medio è stato costantemente in aumento.
Fonte: Coveware
Fonti: 1
