Come di consueto, facciamo una panoramica sugli attacchi ransomware avvenuti nei vari quarter dell’anno. In particolare, ci occupiamo del Q4 del 2020, analizzato da Coveware, nel quale si è potuto constatare un calo dei pagamenti per il riscatto dei propri dati da parte delle aziende colpite.
Come si può vedere, sia il pagamento medio che la cifra mediana risultano in discesa rispetto al Q3 dello scorso anno. A livello di cifre si passa quindi da oltre 200mila dollari a poco più di 150mila (-34%) per i pagamenti e, per la cifra mediana, da oltre 100mila dollari a circa 50mila (-55%).
Le motivazioni, secondo Coveware, risiedono nella ferma volontà delle aziende a smettere di cedere alle richieste degli hacker e questo vale anche per gli attacchi con esfiltrazione di dati. Per gli esperti, quello dei ransomware è un mercato che si auto-alimenta, ciò significa che maggiore è il numero di aziende che pagano e maggiore sarà il numero degli attacchi. Questo è ancor più vero dopo che Coveware ha verificato come, dopo il pagamento del riscatto, i cybercriminali non procedano alla cancellazione dei dati rubati.
Passando ai ransomware più rilevati, vediamo la classifica stilata da Coveware:
Come si può notare, sono molte le new entry di questa particolare graduatoria. Torna ad affacciarsi anche Ryuk, che come visto in molti articoli è ormai una delle minacce più frequenti. Sodinokibi, rilevato nel 17,5% dei casi, resta sempre tra le minacce principali, mentre Maze e Phobos fanno denotare un calo. Tra le new entry sovracitate è necessario citare anche Egregor, che si trova al secondo punto col 12,7% dei casi rilevati.
Passando alle modalità più comuni per veicolare i ransomware, vediamo un grafico riassuntivo della situazione degli ultimi quarter:
Com’è evidente, gli attacchi maggiormente perpetrati sono quelli via email, che coprono oltre il 50% dei rilevamenti, seguiti dalle vulnerabilità dei Desktop Remoti (RDP). Gli altri vettori presi in considerazione restano invece abbastanza stabili ed in posizione nettamente minoritaria.
Uniamo adesso i dati sui vettori e sulle principali minacce per vedere come vengono diffusi tre principali ransomware della classifica del Q4 2020.
Sodinokibi è un ransomware che si diffonde utilizzando più vettori in modo quasi intercambiabile, con una certa predilezione per i desktop remoti (RDP). Egregor e Ryuk invece sembrano muoversi allo stesso modo, ovvero tramite email phishing. L’unica differenza tra i due è che Ryuk viene diffuso esclusivamente via email e via RDP, mentre per il primo vengono utilizzati anche altri vettori.
Un dato interessante da osservare è come sono distribuiti gli attacchi in base alle dimensioni dell’azienda. In questo caso è possibile vedere come le medie imprese, ovvero quelle che vanno da 10 a 1000 dipendenti coprano larga parte della quota totale.
Il dato sulla maggior vulnerabilità delle PMI risiede nella minore attenzione e strutturazione nella lotta alle minacce. Molto spesso, infatti, le aziende di grandi dimensioni si “armano” con maggiore efficienza per arginare i pericoli grazie alla presenza di uno staff IT al loro interno.
Le realtà più colpite dagli attacchi ransomware nel Q4 del 2020, infine, sono state il settore sanitario (17,9%), i Servizi Professionali (16,3%) ed il Settore Pubblico (9,5%).
Fonte: 1