I recenti report di analisi delle minacce dei Quick Heal Security Labs suggeriscono un significativo calo degli attacchi ransomware: la minaccia che quindi ha tenuto banco negli ultimi anni sta "perdendo smalto", sostituita nella top10 da altri tipi di attacchi valutati più profittevoli dai cyber criminali. I ransomware però, è bene ribadirlo, sono ancora in attività e sempre nuovi esemplari vengono messi in diffusione: basti ricordare le innumerevoli campagne di distribuzione del ransomware GandCrab, che sono state ricorrenti per quasi tutto il 2018.
ù cosa si deve la riduzione delle infezioni ransomware?
Le ragioni di un declino tanto subitaneo quando significativo può attribuirsi alla crescita, oltre l'esponenziale, della diffusione dei malware per il mining di criptovalute (cyroptojacking) quali Bitcoin, Monero, Ethereum ecc... Inoltre, ci suono nuovi malware "di punta", sempre più sofisticati ed efficaci (per i cyber attaccanti): uno di questi è Emotet, che unisce funzioni di trojan bancario a funzioni di mining di criptovaluta.
Per approfondire: Emotet
Fase 1 --> l'attacco ai siti web;
Fase 2 --> l'attacco ai computer delle vittime
Perchè i cyber attaccanti preferiscono i miner?
I motivi potrebbero essere molteplici, sicuramente due sono i principali. Il primo è legato al potenziale di guadagno di questo tipo di attacchi: non è affatto un segreto che il prezzo delle valute digitali sia cresciuto a ritmi impressionanti negli ultimi due anni, spostando drasticamente l'attenzione sul mondo delle criptovalute. Un miner di criptovaluta che infetti un numero sufficiente di computer può garantire un flusso costante di reddito all'attaccante, almeno finchél'infezione non viene scoperta. Cosa non facile: i miner agiscono in background e non necessitano di alcuna interazione da parte della vittima.
Il secondo motivo è legato al lato tecnico: i miner sono mezzi relativamente semplici per estrarre denaro illecito con la garanzia dell'anonimato. Così nell'ultimo anno e mezzo abbiamo assistito non solo all'emergere di una vastissima gamma di malware per il mining (tra i capostipiti ricordiamo CoinHive. Vedi qui la nostra infografica ), ma anche a svariate tecniche di diffusione degli stessi: malvertising, spear phishing, browser injection ecc...
Anche i ransomware sono evoluti...
Come detto, i ransomware però sono tutt'altro che scomparsi: al contrario sono emerse nuove varianti e anche nuove tipologie di attacco. Recentemente abbiamo osservato molteplici attacchi ransomware di Brute-Force contro l'RDP. In questo tipo di attacco, l'attaccante semplicemente esegue una scansione di una lista di indirizzi IP per trovare quelli che hanno la porta RDP aperta e tentano un attacco di brute force, che altro non è che un prova&ritenta per indovinare Username e Password. Ottenuto l'accesso, l'attaccante può facilmente bypassare i sistemi antivirus e infettare il sistema.
Per approfondire >> Il tuo sistema di Desktop Remoto è al sicuro da attacchi di tipo brute-force?
Per quanto riguarda il ransomware GandCrab, arrivato alla v.5.0.05, è stato uno dei ransomware più diffuso nel 2018, riuscendo a infettare più di 50.000 nodi: distribuito a partire da Gennaio 2018 ha, nel corso del tempo, subito svariate modifiche e riadattamenti per renderlo un'arma ancora più temibile. Vogliamo ricordarlo perchè è necessario non sottovalutare la minaccia dei ransomware.