Le tecniche ransomware stanno evolvendo. Gli MSP sono pronti a questo cambiamento?
Il ransomware si sta evolvendo ‒ non scomparendo.
Nonostante un calo nelle rilevazioni di attacchi basate sulla telemetria di WatchGuard Firebox, i dati provenienti dai siti di estorsione e dai report dei media raccontano una storia diversa: l’attività di ransomware è in realtà in aumento, sia trimestre su trimestre che anno su anno. Anche il numero di gruppi ransomware attivi è in crescita, così come la richiesta media di riscatto. Infatti, il pagamento tipico è passato da 400.000 dollari nel 2023 a 2 milioni di dollari nel 2024 ‒ un incredibile aumento del 500%.
Invece di lanciare una rete più ampia, gli attaccanti stanno diventando più selettivi e strategici. Molti gruppi ora operano con il modello ransomware-as-a-service (RaaS), perfezionando le proprie tattiche per massimizzare i profitti con un numero inferiore ‒ ma più impattante ‒ di vittime. Il furto di dati senza crittografia sta inoltre diventando una comune tattica di pressione. Incidenti come l’exploit alla supply chain MOVEit del gruppo Clop evidenziano quanto le operazioni ransomware odierne siano diventate furtive, mirate e complesse.
Il nuovo approccio al ransomware
Gli attaccanti stanno adottando nuove pratiche che ridefiniscono il modo in cui scelgono i loro obiettivi ed eseguono le campagne ransomware.
Per i Managed Service Provider (MSP), comprendere questo cambiamento consente di adeguare le strategie difensive e proteggere i propri clienti. I principali sviluppi includono:
- Crescita del modello ransomware-as-a-service (RaaS): questo metodo continua a diffondersi, consentendo ad attori malevoli privi di conoscenze tecniche avanzate di accedere a kit e servizi pronti per lanciare campagne ransomware, contribuendo così alla diversificazione degli attacchi.
- Maggiore rilievo di gruppi come Ransomhub e Clop: dopo la scomparsa di LockBit, queste gang si sono affermate come i player più attivi, puntando a grandi organizzazioni.
- Attacchi alla supply chain: sfruttare vulnerabilità in soluzioni ampiamente utilizzate permette ai cybercriminali di compromettere numerose aziende da un unico punto di accesso. L’attacco MOVEit ne è un esempio lampante.
- Esfiltrazione dei dati come tecnica di estorsione dominante: i gruppi danno sempre più priorità al furto di informazioni sensibili e riservate, minacciando di divulgarle per fare pressione sulle vittime. Questo ha relegato in secondo piano la tradizionale crittografia dei sistemi.
- Crittografia del traffico di rete sempre più sfruttata dagli attaccanti: come confermato dal più recente Internet Security Report, il 71% del malware odierno viene distribuito tramite connessioni cifrate (TLS). Questo rende tecnologie come la deep packet inspection (DPI) e l’analisi comportamentale essenziali per individuare minacce che altrimenti resterebbero invisibili.
Di fronte a un panorama ransomware sempre più sofisticato, che punta a massimizzare l’impatto colpendo un numero più ridotto di vittime, gli MSP devono adottare un approccio che consenta di isolare rapidamente gli incidenti e impedirne la propagazione.
Implementate insieme a solide soluzioni di sicurezza di rete e degli endpoint, misure come micro-segmentazione della rete, controllo rigoroso del traffico interno e protezione individuale di ogni endpoint sono fondamentali per rafforzare la capacità di risposta e ridurre l’impatto di questi attacchi.
L’adozione di strumenti che bilancino efficienza e flessibilità, in linea con le reali esigenze di sicurezza e con la logica di business, può fare una grande differenza per gli MSP. Questa strategia consente di mantenere un livello di protezione costante e di anticipare le tecniche di minaccia più recenti, salvaguardando la business continuity delle organizzazioni che si affidano ai loro servizi.
Se vuoi saperne di più sul ransomware e su come proteggere i tuoi clienti, consulta i seguenti post sul nostro blog: