Negli ultimi anni, i gruppi di ransomware hanno cercato modi innovativi per massimizzare i profitti durante il loro picco operativo. Tuttavia, secondo l'ultimo rapporto di ESET, si è verificato un cambiamento significativo: la distribuzione di ransomware è ora guidata da attori finanziati dallo Stato e gruppi di minacce avanzate, molti dei quali operano sotto direttive governative. I loro obiettivi principali sono duplice: causare disordini diffusi e generare fondi per alimentare ambizioni geopolitiche.

Motivi Finanziari e Spionaggio

Uno dei motivi più evidenti è finanziario. I criminali informatici sostenuti dallo Stato sfruttano il ransomware per estorcere denaro alle vittime, utilizzando i proventi per finanziare obiettivi strategici, come il progresso dei programmi nucleari o l'elusione delle sanzioni internazionali. Questi attacchi mirano anche a instillare panico e caos tra le popolazioni. Un altro impulso è lo spionaggio. Gli hacker appoggiati dal governo spesso generano redditi collaterali impegnandosi in raccolte di informazioni o prendendo una parte dei pagamenti di riscatto. Curiosamente, molti gruppi di hacker operano con costi infrastrutturali minimi. Alcuni addirittura affittano le loro risorse ad altri, garantendo continuità operativa e tenendo occupati i loro team.

Difficoltà Crescenti

Nonostante le loro tattiche in evoluzione, le bande di ransomware affrontano crescenti difficoltà nel raggiungere il successo. ESET evidenzia l'impatto crescente delle misure di applicazione della legge a livello globale. Inoltre, l'ascesa di aziende specializzate nella sorveglianza delle criptovalute ha reso più difficile per i criminali condurre transazioni finanziarie anonime. Questi strumenti consentono alle autorità di tracciare i pagamenti attraverso le reti blockchain, rendendo più difficile per i gruppi di ransomware operare inosservati.

Risposta delle Agenzie di Polizia

Le agenzie di polizia internazionali hanno intensificato gli sforzi per smantellare le reti di ransomware. Operazioni come "Cronos" mirano all'infrastruttura di questi gruppi criminali, inclusi strumenti come il browser TOR utilizzato per la comunicazione anonima e il monitoraggio della blockchain. Tuttavia, la lotta è tutt'altro che finita. Per ogni gruppo smantellato, ne emergono di nuovi, spesso più sofisticati dei loro predecessori. Esempi notevoli includono LockBit e BlackCat, che hanno ribattezzato e rilanciato il loro ransomware come versioni "2.0" e "3.0", rispettivamente.

Approccio Proattivo e Multilivello

L'unico modo efficace per combattere il ransomware è attraverso un approccio proattivo e multilivello. Le organizzazioni devono aumentare la consapevolezza, formare i dipendenti per riconoscere e evitare attacchi di ingegneria sociale, rafforzare l'autenticazione utilizzando password lunghe e alfanumeriche e implementare l'autenticazione a più fattori (MFA) per tutti gli account. Devono anche sfruttare l'intelligence sulle minacce, distribuendo soluzioni avanzate per identificare e neutralizzare le minacce prima che si espandano, oltre a prepararsi per il recupero stabilendo piani di recupero robusti, compresi backup regolari dei dati e protocolli di sicurezza completi.