I gruppi ransomware continuano ad aggiornare i loro strumenti e le loro tecniche per raggiungere obiettivi più ampi e ottenere un'estrazione efficiente di dati. All'inizio di quest'anno, il nuovo soggetto Mimic ha abusato del legittimo strumento di ricerca Everything per interrogare estensioni e nomi di file con l'obiettivo di determinare quali file crittografare e quali evitare. Nel frattempo, il ransomware Royal ha ampliato i suoi obiettivi con un aggiornamento mirato alle piattaforme Linux.

Le nostre indagini su Royal e Mimic hanno suggerito connessioni con il più grande e famigerato gruppo ransomware Conti, mentre la nostra indagine su TargetCompany ha mostrato i suoi legami con altre famiglie di ransomware come BlueSky e GlobeImposter. Queste connessioni sono coerenti con il nostro approfondimento sulla rivoluzione ransomware, che spiegava come le diverse collaborazioni avrebbero potuto portare a costi inferiori e a una maggiore presenza sul mercato, mantenendo al tempo stesso l'efficacia delle attività criminali.

Nel frattempo, il guadagno potrebbe non essere l'unica motivazione per i gruppi ransomware, poiché alcuni enti governativi potrebbero offrire opportunità di reclutamento agli operatori, in alternativa ad azioni penali. Nel nostro rapporto di maggio sulla backdoor RomCom, abbiamo dibattuto di come l'utilizzo storico della backdoor negli attacchi a sfondo geopolitico contro l'Ucraina, almeno da ottobre 2022, suggerisca uno spostamento degli obiettivi di Void Rabisu. I recenti attacchi ransomware sono ora paragonabili a quelli dei gruppi APT, in termini di competenze, approccio e capacità.

I gruppi dediti al ransomware che continuano a operare per denaro potrebbero anche orientare i loro sforzi di esfiltrazione di dati verso il furto di criptovaluta, gli attacchi Business Email Compromise (BEC) e l'implementazione di schemi short-and-distort per la manipolazione del mercato azionario. Le criptovalute hanno inoltre reso più efficienti gli schemi di pagamento a favore dei criminali, sottolineando la necessità di spostare la protezione a monte, ovvero implementare quante più misure possibili per impedire innanzitutto di accedere alla rete, anticipando gli attacchi ransomware che innescano l'estorsione.

Secondo un sondaggio condotto su oltre 3.700 imprese in quattro aree globali, l'Indice di rischio informatico (Cyber Risk Index, CRI) è sceso a un livello moderato con un punteggio di +0,01 nel secondo semestre del 2022. Tuttavia, i dettagli del nostro rapporto mostrano che il CRI del Nord America è il più elevato tra le regioni, con un indice di preparazione informatica (Cyber Preparedness Index) che peggiora da 5,30 a 5,29 e un indice relativo alle minacce cyber (Cyber Threat Index) che scende da 5,63 a 5,39. Per quanto riguarda gli avvisi di vulnerabilità, nel primo semestre del 2023 ne sono stati pubblicati 894, solo 50 in meno rispetto a quelli pubblicati nel primo semestre dell'anno precedente.

Nel frattempo, i criminali tessono una rete più ampia sfruttando le vulnerabilità di piattaforme di dimensioni minori alla ricerca di obiettivi più specifici, come il servizio di trasferimento di file MOVEit, il software di comunicazione aziendale 3CX e le soluzioni software per la gestione della stampa PaperCut. A giugno il ransomware Clop ha sfruttato una vulnerabilità in MOVEit e, all'inizio di quest'anno, ha compromesso varie agenzie governative negli Stati Uniti, in particolare il Dipartimento dell'Energia, alcuni sistemi universitari in diversi stati e aziende private.

A maggio, Google ha lanciato otto nuovi domini di primo livello (TLD), inclusi .zip e .mov. Questo può comportare rischi per la sicurezza, nel momento in cui i cyber criminali li possono sfruttare per nascondere URL dannosi dietro siti web legittimi e distribuire malware o altri attacchi: una tecnica collaudata che rimane efficace ancora oggi.

Mentre le innovazioni continuano a evolvere e coinvolgono più dati, i criminali stanno trovando sempre più modi per mietere nuove vittime. Ad esempio, le connected car di oggi contengono oltre 100 milioni di righe di codice, forniscono funzionalità intelligenti agli utenti ma aprono anche le porte agli hacker. Man mano che auto più intelligenti andranno a saturare il mercato, i cybercriminali cercheranno di ottenere l'accesso ai dati dell'account utente e sfruttarli per commettere i crimini.

Queste minacce sottolineano la necessità di una gestione proattiva del rischio informatico che renda operativi gli elementi di una strategia zero-trust e garantisca strumenti di visibilità e valutazione continue durante l'intero ciclo di vita del rischio che include scoperta, valutazione e mitigazione. Gli investimenti in rilevamento e risposta estesi si potrebbero tradurre in dati, analisi e integrazioni sufficienti da cui i team di sicurezza e i ricercatori possono raccogliere informazioni sull'attività delle minacce e sul modo in cui le difese le stanno affrontando.