Se ci si sofferma solo sui numeri principali che descrivono il fenomeno ransomware nel 2022, si rischia di tirare un sospiro di sollievo illusorio. Gli esperti, infatti, segnalano che, dietro a un lieve calo quantitativo, si nascondono dinamiche da non trascurare.

Dal report annuale pubblicato da X-Force di IBM, “Threat Intelligence Index”, emerge che le nostre difese stanno migliorando nel bloccare gli attacchi ransomware. IBM ha infatti rilevato che, rispetto all’anno precedente, è lievemente diminuita la percentuale di cyber criminali che ha attaccato con successo. John Dwyer, responsabile di questa ricerca di IBM X-Force, fa notare che si tratta del primo calo mai visto in cinque anni.

Coveware, un provider di ransomware incident response services, a gennaio ha registrato un calo considerevole nella percentuale di vittime che decidono di pagare il riscatto del ransomware. Si è passati dall’85% del primo trimestre del 2019 al 37% del quarto trimestre del 2022. A questo si aggiunge che, sempre nel 2022, Mandiant ha registrato un calo del 15% nelle risposte a incidenti ransomware e un calo del 7% nel numero di vittime monitorate sui siti di data lake.

Nel febbraio 2023, il Wall Street Journal ha pubblicato un articolo su un possibile declino del ransomware che univa i dati di Mandiant e quelli di CrowdStrike. Se ne dovrebbe aggiungere un altro, rilevato da questi ultimi: la diminuzione della richiesta media di pagamento di ransomware. Sembrerebbe che nell’ultimo anno sia passata da 5,7 milioni di dollari a 4,1 milioni di dollari.

Jeremy Kennelly, senior manager di Mandiant specializzato nell’analisi dei crimini finanziari presso Google Cloud, ritiene che le statistiche sui ransomware siano il risultato di una serie di cambiamenti avvenuti nell’intero ecosistema. Per esempio, gli sforzi in corso da parte delle forze dell’ordine per colpire i cyber criminali, l’invasione dell’Ucraina da parte della Russia e l’adeguamento delle operazioni di accesso “a un mondo in cui le macro di Microsoft Office possono spesso essere disabilitate per impostazione predefinita”.

Il ransomware resta una minaccia

I dati del 2022 fanno sperare molti, ma non tutti, non la gran parte degli esperti che continua a ritenere i ransomware una minaccia preoccupante e complessa.

Innanzitutto, non si tratta di un unico problema sempre identico: le caratteristiche possono essere diverse al variare del settore. Nel rapporto “Year in Review 2022”, Dragos, OT security provider, sostiene che gli attacchi ransomware contro le organizzazioni industriali siano aumentati dell’87% rispetto all’anno precedente. Nello stesso arco di tempo, è stato anche riscontrato un aumento del 35% del numero di gruppi di ransomware che hanno attaccato le organizzazioni che utilizzano OT.

Un’altra possibile spiegazione per il leggero calo del ransomware registrato, potrebbe essere il cambiamento di tattica da parte degli attaccanti. CrowdStrike ha recentemente segnalato un aumento del 20% rispetto all’anno precedente del numero di coloro che utilizzano il furto di dati e l’estorsione, senza ricorrere a un cripto-ransomware.

Secondo Adam Meyers, senior vice president of intelligence di CrowdStrike, il calo del ransomware è un segno della crescente capacità dei criminali di “adattarsi, dividersi, riorganizzarsi e prosperare, a fronte delle misure difensive attivate”. CrowdStrike ha notato una diminuzione dei pagamenti dei riscatti nel 2022, ma anche un “enorme aumento” dell’estorsione dei dati e del ransomware-as-a-service.

Christopher Budd, senior manager di Sophos, si mostra prudente di fronte all’apparente diminuzione degli eventi ransomware. Riferendosi al proprio report sulle minacce del 2023 in cui si rileva un volume di attacchi relativamente stabile anno dopo anno, afferma che “i nostri incident responders continuano a reagire e a porre rimedio ad attività significative di ransomware, in tutto il mondo”.

“Vietato abbassare la guardia di fronte a questa ‘riduzione percepita’ degli attacchi”, aggiunge Budd. “Anzi, si dovrebbero intensificare le difese, perché qualsiasi calo di un certo tipo di attacco informatico, solitamente indica che i criminali stanno lavorando a qualche altra forma di attacco. Oppure stanno modificando tattiche, tecniche e procedure per essere più efficaci”. Il volume degli attacchi è rimasto costantemente alto dal 2020 in poi e, in futuro, non si prevede un rallentamento sostanziale degli attacchi ransomware.

Qualche nota ottimistica sul ransomware

Qualche motivo per essere ottimisti esiste. Facendo eco alle statistiche di X-Force di IBM, Kennelly afferma che anche le difese anti-ransomware sono sempre più efficaci.

“Si migliora continuamente nel rilevamento e nella prevenzione di tattiche, tecniche e procedure. Questo determina un ciclo parallelo di empowerment dell’ecosistema criminale. Alcune strategie di difesa possono causare più problemi di altre, contribuendo a una diminuzione complessiva dell’attività dei criminali. È però difficile correlare direttamente l’azione a un risultato particolare”.

Elizabeth Cookson, incident response director di Coveware, è ottimista nei confronti del ransomware. “Lo sono da quando ho iniziato a occuparmi di trattative sui riscatti, quasi otto anni fa”. Ciò è dovuto ai passi avanti compiuti dalle forze dell’ordine e dai difensori, ma anche dal fatto che le imprese hanno imparato dagli errori del passato, propri e altrui.

A tal proposito, il governo USA ha adottato un approccio più aggressivo al ransomware. Nelle scorse settimane, la Casa Bianca ha pubblicato una Strategia nazionale di sicurezza informatica di 39 pagine, in cui dichiara di volerlo combattere alacremente. La sua strategia sarebbe quella di promuovere la cooperazione internazionale e utilizzare le autorità per interrompere le operazioni criminali.

Questo tipo di piano, già a gennaio ha portato all’arresto della banda di ransomware Hive. La notizia è stata resa nota dopo il sequestro dei server contenenti le informazioni critiche di Hive, comprese le chiavi di decrittazione delle vittime, attuali e passate. D’altro canto, la presentazione della strategia è arrivata poco dopo la conferma dell’attacco ransomware da parte dell’U.S. Marshall’s Service.

Negli ultimi anni le imprese hanno costantemente migliorato la loro postura di sicurezza informatica. Nonostante questo, Cookson è convinto che il ransomware continui a essere una minaccia attuale. Detto ciò, è vero anche che gli autori delle minacce, per avere successo, ora sono costretti a “spendere molte più risorse per gli attacchi e a sviluppare meccanismi di ingresso e persistenza più creativi”. “Più creativi” significa anche scegliere di abbandonare il ransomware vero e proprio.

“Credo sia corretto dire che oggi, per le aziende, è più probabile rilevare e sventare un attacco imminente prima che inizi. Oppure limitare un attacco attivo, in modo che abbia un impatto operativo minimo” ha dichiarato. “La risposta dei criminali a queste misure di resilienza, è stata quello di orientarsi maggiormente verso attacchi di sola infiltrazione dei dati, senza più interruzione dell’attività. Meglio puntare sulla minaccia di danni reputazionali derivanti da una fuga di dati pubblica”.

Secondo Cookson questo “shift” non li rende meno pericolosi: “anche le aziende più ben protette sono suscettibili a questo nuovo genere di attacchi”.

Potenziale calo degli attacchi in arrivo

Nel già citato Threat Intelligence Index, X-Force di IBM ha rilevato che due terzi delle attività di backdoor tracciate nel 2022, avevano le caratteristiche di un attacco ransomware. Le stesse erano però state sventate con successo, per lo meno prima che la situazione evolvesse in un attacco su larga scala.

Dwyer sostiene che le statistiche positive di X-Force non debbano essere prese come un invito a dormire sonni tranquilli. Il ransomware è ancora alla base di gran parte dell’ecosistema della criminalità informatica. Piuttosto, quei dati forniscono interessanti informazioni sulle diverse direzioni che il ransomware potrebbe prendere in futuro.

“Ci sono due trend opposti. Se l’individuazione e la risposta alle minacce continueranno a migliorare, si assisterà a una diminuzione del guadagno del cybercrime e a una riduzione della percentuale di attacchi ransomware riusciti. Saranno costretti a innovare”, ha affermato. “In alternativa, se il rilevamento e la risposta si stabilizzeranno, i criminali tenderanno a portare a termine un numero ancora maggiore di attacchi”. E aggiunge: “Il 2023 potrebbe registrare un potenziale calo dei ransomware. Il 2022 è stato un anno molto interessante, anche se penso che molte persone possano guardare queste statistiche e affermare che nulla è cambiato. Invece sono successe molte cose e ciò non fa che rendermi molto curioso riguardo al futuro del ransomware”.