Come sopravvivere alla sfida dei ransomware con la resilienza

Finora, il 2025 è stato un anno eccellente per il ransomware e mancano ancora quasi cinque mesi al suo termine. 🫠È stato un anno che ha portato scompiglio tra i retailer nel Regno Unito, che ha visto prendere di mira varie aziende sanitarie nell'area Asia-Pacifico, devastare i governi dell'America Latina e "ammaestrare" le istituzioni scolastiche dell'America del Nord.

Il ransomware rimane un modello considerato altamente redditizio da gruppi di criminali, hacktivisti e skiddies, anche se le motivazioni che li animano sono ben diverse da un gruppo all'altro (intendo dire che, ad esempio, i gruppi di ransomware sono riusciti ad estorcere un totale di 724 milioni di dollari in criptovalute solo tramite alcuni collegamenti a TrickBot. Proprio così!).

Non per fare la pessimista, ma le prospettive non sono rosee. I gruppi di ransomware non solo si basano su diversi metodi di estorsione per conseguire i loro obiettivi, ma sono diventati anche molto precisi nella scelta delle loro vittime, il che aumenta notevolmente la pericolosità delle loro minacce. Diversi gruppi possono prendere di mira contemporaneamente un'organizzazione e, se l'azienda opera in tutto il mondo, anche la minaccia può rivelarsi di portata globale.

A complicare le cose, i gruppi si mostrano estremamente intelligenti con i loro meccanismi di elusione, sia da un punto di vista tecnologico che nella capacità di schivare i controlli delle forze dell'ordine. Cambiando in continuazione i nomi dei gruppi e le associazioni, i criminali rendono 🎶complicato fermare i reati che commettono🎶.

Nel 2025 (e oltre), tuttavia, vale la pena focalizzarsi su una parola che inizia con la R: resilienza. Creare una cultura della resilienza tramite l'agilità e la focalizzazione sulla rapidità dell'identificazione delle minacce, della mitigazione e del recupero è l'unico modo per evitare di essere "spennati" da questi criminali digitali.

Il numero medio di giorni di downtime che hanno registrato le aziende dopo aver subito un attacco ransomware è più che maggiorenne: 21. Si tratta sicuramente di un periodo sufficiente per causare gravi danni economici e alla reputazione, nonché per minacciare vite umane se la vittima è un'azienda sanitaria.

Vi consigliamo vivamente di leggere tutto il rapporto SOTI, ma se ora avete tempo solo per una breve panoramica, ecco alcuni argomenti trattati in questo rapporto.

I criminali utilizzano l'AI e i grandi modelli linguistici (LLM) per rendere i loro attacchi più ampi, sofisticati ed efficienti. I gruppi di ransomware come FunkSec e i gruppi di APT (Advanced Persistent Threat) come Forest Blizzard o Emerald Sleet utilizzano l'AI generativa per automatizzare una serie di tattiche, dalla generazione di codice dannoso alla creazione di e-mail di phishing convincenti per sferrare attacchi di vishing in cui i criminali si spacciano per i dipendenti di aziende tramite le chatbot per negoziare con le vittime.

Alcuni strumenti emergenti, come WormGPT, DarkGPT e FraudGPT, riducono notevolmente gli ostacoli che impediscono l'accesso, pertanto è più semplice sferrare attacchi anche per i criminali meno esperti.

I criminali hanno abbandonato la tecnica della singola estorsione, in cui richiedono un solo riscatto per decrittografare i dati rubati. Ora le nuove tattiche della doppia, tripla e quadrupla estorsione aumentano la pressione sulle vittime minacciando di rendere visibili le informazioni dei loro clienti, di interrompere le operazioni aziendali con attacchi DDoS (Distributed Denial-Of-Service) e di inviare messaggi minatori a partner aziendali, clienti e altri tipi di utenti, ad esempio, per informare i media del verificarsi di una violazione.

Gli autori di ransomware sfruttano anche la conformità. Recentemente, si è osservata una tendenza a sferrare attacchi in grado di rivelare se un'azienda sta violando le normative in materia di sicurezza o di divulgazione delle violazioni, il che potrebbe esporre l'organizzazione presa di mira a multe che potrebbero superare di gran lunga il riscatto richiesto.

Il RaaS (Ransomware-as-a-Service) si è notevolmente evoluto dai primi attacchi REvil e Ryuk, rivoluzionando le operazioni del ransomware dai suoi esordi mediante una notevole riduzione degli ostacoli che impediscono l'accesso, il che ha consentito anche ai criminali meno esperti di sferrare gli attacchi di successo a cui oggi assistiamo.

Alcuni gruppi di ransomware rendono labile il confine tra le motivazioni alla base dell'hacktivismo e del profitto. Questi gruppi ibridi sfruttano le piattaforme RaaS non solo per ottenere profitti finanziari, ma anche per promuovere le loro ideologie o i loro programmi politici.

Alcuni gruppi RaaS come Stormous, DragonForce, KillSec, CyberVolk e Dragon hanno sferrato attacchi devastanti contro aziende private, istituzioni governative e infrastrutture di importanza critica nei paesi di tutto il mondo.

Il rapporto SOTI include anche speciali approfondimenti relativi alla sicurezza su specifici argomenti di interesse, stilati dai supereroi della sicurezza di Akamai: Or Zuckerman, Maor Dahan e James Casey, tra cui:

• Wizard Spider (noto anche come TrickBot), un gruppo di criminali informatici animati da motivazioni legate ai profitti finanziari che prendono di mira infrastrutture critiche, tra cui sistemi sanitari, e presenta legami con i servizi di intelligence russi

• Malware di cryptomining, o cryptojacker, che sfruttano in modo invisibile le risorse delle vittime per trarre profitto eseguendo il mining delle criptovalute; i cryptominer sono un componente fondamentale del crimine informatico in tutto il mondo.

• Ransomware e legislazione, ossia i legislatori e gli enti di controllo che creano i sistemi legali utili per risolvere le sfide legate alle strategie dei ransomware in rapida evoluzione, tra cui le misure legali atte a scoraggiare il pagamento del riscatto richiesto

Le polizze delle assicurazioni informatiche stanno crescendo notevolmente, insieme alla frequenza con cui vengono eseguiti gli audit dei sistemi di cybersecurity delle aziende, pertanto le organizzazioni devono sviluppare strategie tali da migliorare la loro resilienza ai ransomware, ossia prepararsi per gli scenari peggiori mettendo in atto policy e strategie chiare per affrontare e negoziare i pagamenti richiesti dai ransomware.

L'economia criminale legata ai ransomware è dinamica e difendersi da questa minaccia richiede un'uguale agilità. Per proteggersi, le organizzazioni devono ridefinire la resilienza informatica e implementare soluzioni pratiche per raggiungere un sistema di protezione completo Comprendere lo stato della minaccia rappresentata dai ransomware è il primo passo fondamentale di questo processo.