Statistiche sul Ransomware del 2023: Uno sguardo al passato per pianificare il futuro.

L’anno scorso non è stato un anno per i deboli di cuore. Organizzazioni di ogni dimensione si sono trovate di fronte ad attacchi di ransomware a vari livelli di sofisticazione, ma ognuno di essi è stato dannoso. E mentre entriamo nel 2024, i primi casi di attacchi ransomware sono già stati segnalati. Cosa possono dirci le statistiche del ransomware del 2023 riguardo all’anno appena trascorso e come possiamo utilizzarle per pianificare il futuro?

In questo blog analizzeremo le molteplici dimensioni degli attacchi di ransomware osservati nel 2023, fornendo approfondimenti e proiettando uno sguardo su ciò che il 2024 potrebbe portare. Per le nostre analisi dei dati, facciamo uso di dati pubblicamente disponibili (come i post dei gruppi di ransomware stessi) e dei dati sugli incidenti di ransomware del 2023 provenienti dal nostro team MDR, entrambi arricchiti con il contesto dei dati raccolti in Rapid7 Labs.

Il Paesaggio del Ransomware nel 2023

La maggior parte dei gruppi di ransomware dispone di siti di divulgazione dove annunciano le vittime delle loro campagne. Questi siti sono una tattica per esercitare ulteriore pressione sulle vittime affinché paghino il riscatto; se il riscatto non viene pagato, verranno divulgati i dati compromessi tramite quel sito. La frequenza delle pubblicazioni è un buon indicatore di quanto spesso e quali gruppi sono attivi, ma il panorama del ransomware è più ampio di così.

Il numero di famiglie di ransomware uniche utilizzate da questi gruppi nel 2023 è diminuito di più della metà, passando da 95 nuove famiglie nel 2022 a 43 nel 2023. Questo ci dice che le famiglie e i modelli di ransomware “attuali” stanno funzionando/risultano redditizi e non c’è bisogno di sviluppare qualcosa di completamente nuovo.

Le nostre fonti combinate hanno scoperto quasi 5200 casi di ransomware segnalati nel corso del 2023. In realtà, riteniamo che quel numero fosse effettivamente più alto poiché non tiene conto dei numerosi attacchi che probabilmente sono rimasti non segnalati.

Coveware, una società di consulenza sulla sicurezza, ha scoperto che il pagamento medio del riscatto per il terzo trimestre del 2023 era di 850,700 USD. Questo è solo l’importo pagato per il riscatto; i veri costi per il recupero di un incidente di ransomware si basano su una serie di fattori che includono:

– Tempo di inattività
– Danno alla reputazione
– Business perso
– Ore lavorative
– Aumento dei costi di copertura assicurativa
– Consulenza legale e spese di transazione
– Lo stesso rapporto ha menzionato che un impressionante 41% delle vittime ha scelto di pagare il riscatto.

Il grafico a dispersione sottostante mostra il numero di incidenti di ransomware attribuiti ai primi 20 gruppi di ransomware per il 2023, basato su comunicazioni dei siti di divulgazione, divulgazioni pubbliche e dati di risposta agli incidenti di Rapid7.

Riducendo al dettaglio i gruppi più attivi (supportati da un ampio ecosistema di broker di accesso iniziale), i primi 5 gruppi identificati sono:

1. Alphv alias ransomware BlackCat
2. BianLian
3. Cl0P
4. Lockbit(3)
5. Play

Il grafico a barre polari sottostante visualizza la frequenza di pubblicazioni mensili di questi gruppi sui loro siti di divulgazione:

Attacchi di Ransomware del 2023

Rapid7 Labs ha condotto un’analisi degli attacchi di ransomware del 2023 utilizzando dati provenienti da rapporti esterni ed interni. Abbiamo confrontato il modus operandi di questi attacchi e li abbiamo mappati sul modello MITRE ATT&CK. I risultati sono visualizzati nel diagramma seguente:

Questo diagramma racchiude efficacemente i modelli e le metodologie comuni osservati nella maggior parte degli attacchi di ransomware. Serve come rappresentazione visiva, delineando la sequenza di passaggi seguita tipicamente dagli aggressori, dall’accesso iniziale fino alla richiesta finale di riscatto. Nelle nostre statistiche, sfruttare un’applicazione pubblicamente accessibile e disporre di un account valido sono i principali vettori di attacco iniziali che abbiamo osservato negli attacchi focalizzati sul ransomware nel 2023.

Gruppi di Ransomware che Sono Apparsi e Scomparsi

Nel 2023, diversi gruppi di ransomware hanno interrotto le loro operazioni o subito significative trasformazioni. Hive ransomware ha segnato l’inizio dell’anno con la sua interruzione a gennaio. BlackByte, dopo essere riapparso brevemente con un nuovo logo bianco, è andato offline per gli ultimi due mesi del 2023.

Il ransomware Royal si è rinominato Black Suit, come dimostrato dai binari corrispondenti. Hanno chiuso il loro portale delle vittime e hanno iniziato a pubblicare di più sul loro sito di divulgazione Black Suit.

Vice Society, un altro gruppo, è diventato inattivo per oltre tre mesi, chiudendo i loro siti di divulgazione principale e di backup.

NoEscape, precedentemente noto come Avaddon, ha eseguito uno “exit scam”, indicando ulteriormente il panorama volatile e in evoluzione dei gruppi di ransomware nel 2023. Uno “exit scam” è uno schema fraudolento in cui un’azienda o un individuo raccoglie fondi o asset da clienti o investitori e poi cessa improvvisamente le operazioni, scomparendo con i fondi raccolti.

Chi tenere d’occhio nel 2024

Prevediamo che i primi 5 gruppi menzionati saranno ancora attivi nel 2024; tuttavia, nel corso del 2023, sono emersi nuovi gruppi che sono interessanti da monitorare. In ordine casuale: Cactus, Rhysida, 8base, Hunters International, Akira e il recentemente emerso gruppo Werewolves sono quelli da tenere d’occhio.

Articolo originale

Scopri la pagina del vendor sul nostro sito

PUBBLICATO DA:<br>Sara Guglielmi
PUBBLICATO DA:
Sara Guglielmi
Marketing

ARTICOLI CORRELATI

Battaglia al Ransomware, un tag alla volta

Battaglia al Ransomware, un tag alla volta

Nell'ottobre 2023, nell'ambito del Ransomware Vulnerability Warning Pilot  (RVWP), il CISA ha iniziato a contrassegnare voci nel loro catalogo di Known Exploited Vulnerabilities (KEV). Questo campo indica se sono noti exploit per una determinata vulnerabilità che...