In un rapporto attuale, Trend Micro analizza il panorama dei ransomware e fornisce una prospettiva sull’impatto che l’interruzione delle attività di LockBit ha su di esso. LockBit non è stato completamente smantellato, ma la sua attività è stata severamente repressa e sono stati scoperti nuovi sviluppi di codici dannosi che sono stati quindi resi inutilizzabili.
In collaborazione con la British National Crime Agency (NCA), Trend Micro è riuscita a fornire analisi dettagliate delle attività del gruppo ransomware e a interrompere permanentemente l'intera funzionalità del malware. Dal 2022, LockBit e BlackCat sono costantemente tra i fornitori di Ransomware-as-a-Service (RaaS) con il maggior numero di scoperte. A livello globale si può osservare un aumento dei gruppi RaaS attivi parallelamente al crescente numero di vittime.
🔎 Le pagine leak sotto diversi indirizzi LockBit Tor sono state prese in consegna dalle autorità. Tuttavia, il gruppo APT è tornato con nuovi indirizzi (Immagine: Trend Micro).
La ricerca degli esperti di sicurezza mostra che molti autori di minacce ransomware-as-a-service si concentrano particolarmente sulle organizzazioni più piccole, che ritengono dispongano di minori risorse per la sicurezza IT. Nella seconda metà del 2023, le aziende con meno di 200 dipendenti rappresentavano la maggior parte delle vittime di LockBit (61%) e una quota significativa di vittime di BlackCat (50%) in tutto il mondo. Nel caso del gruppo ransomware Clop, oltre la metà degli attacchi avvenuti nel periodo in esame (62%) sono stati diretti contro PMI di questo tipo.
Quarto trimestre 4: il numero degli attacchi continua ad aumentare
Il rapporto rivela che Trend Micro ha rilevato e bloccato un totale di quasi 2023 milioni di minacce ransomware in tutto il mondo a livello di e-mail, URL e file nella seconda metà del 7,5. Ciò rappresenta un aumento di oltre l'11% rispetto ai primi sei mesi dell'anno. Gli autori di ransomware hanno pubblicato sui loro siti di fuga i dati di un totale di circa 2.500 aziende che presumibilmente si sarebbero rifiutate di pagare il riscatto dopo un attacco riuscito.
Ciò corrisponde a un aumento di oltre il 26% delle presunte vittime di ransomware in tutto il mondo rispetto alla prima metà del 2023. Anche il numero di gruppi RaaS attivi è aumentato di oltre il 15% nella seconda metà dell’anno.
LockBit è stata la famiglia di ransomware leader a livello mondiale, rappresentando il 18% del numero totale di vittime nel terzo trimestre e il 22% nel quarto trimestre. La loro attenzione per tutto il 2023 si è concentrata sul Nord America. Nella seconda metà del 2023, il 45% degli attacchi hanno preso di mira questa regione, seguita dall’Europa (26%) e dalla regione Asia-Pacifico (12%).
Anche il gruppo ransomware BlackCat ha preso di mira il Nord America con il 58% dei suoi attacchi nella seconda metà del 2023. Seguono ancora l’Europa (17%) e la regione Asia-Pacifico (14%). Gli attori di Clop mostrano preferenze geografiche simili. Con quasi il 70%, il Nord America è stato al centro dell’attenzione nel terzo trimestre del 2023. Nel quarto trimestre gli incidenti si sono concentrati esclusivamente in questa regione. La Germania è al primo posto in Europa per attacchi ransomware, anche se i numeri sono leggermente diminuiti nell’ultimo trimestre.
Operazione Cronos contro LockBit
LockBit è stato coinvolto in un quarto di tutte le fughe di ransomware nel 2023 e ha continuato a evolvere il suo ransomware per rimanere all'avanguardia della tecnologia. Lavorando a stretto contatto con la National Crime Agency (NCA) del Regno Unito, Trend Micro è stata in grado di fornire informazioni sulle minacce per un'analisi dettagliata di LockBit-NG-Dev, la prossima versione del ransomware LockBit ancora in fase di sviluppo. L'analisi ha reso l'intera linea di prodotti LockBit inadatta a scopi criminali. Questa interruzione collettiva di uno dei principali attori del ransomware chiamata “Operazione Cronos”, segna un passo significativo nella lotta globale contro le minacce informatiche.
I principali risultati dell'operazione Cronos contro LockBit
- Danni alla reputazione degli attori principali: Data la sua reputazione offuscata, LockBit deve affrontare sfide significative nella ricostruzione delle proprie operazioni e delle reti di affiliazione.
- Interruzione delle infrastrutture strategiche: L'approccio approfondito dell'operazione ha reso estremamente difficile e dispendioso in termini di tempo per gli attori ricostruire i propri sistemi e riorganizzarsi.
- Deterrente efficace: Le informazioni sulle attività criminali degli affiliati e i successivi avvertimenti probabilmente hanno smantellato tutti i programmi di affiliazione di LockBit e indebolito ulteriormente la capacità operativa del gruppo.
- Più sicurezza per le aziende: Le aziende beneficiano delle informazioni fornite dall’operazione e della riduzione del rischio di essere attaccate da uno dei principali attori del mercato dei ransomware.
"Siamo molto lieti di essere riusciti a supportare con successo le autorità di contrasto internazionali nel loro lavoro contro il gruppo LockBit con le nostre analisi della nuova versione pianificata", spiega Robert McArdle, direttore del Forward Looking Threat Research Team presso Trend Micro. “Rimanendo un passo avanti rispetto a questi autori di minacce con la nostra analisi, siamo stati in grado non solo di condividere informazioni con le forze dell’ordine, ma anche di rafforzare la protezione della nostra base di clienti globale. Una valutazione dell’operazione di disturbo mostra che l’intelligence globale sulle minacce fornisce un prezioso contributo all’aumento del livello di sicurezza”.
Anche BlackCat ha avuto enormi sconvolgimenti
Similmente a LockBit, anche un'operazione di polizia internazionale guidata dall'FBI è riuscita a infiltrarsi e a distruggere l'infrastruttura di BlackCat. A dicembre, l'operazione è penetrata nei server di BlackCat e ha chiuso il sito di fuga dopo aver sequestrato con successo centinaia di coppie di chiavi per i siti Tor di BlackCat.
Altro su TrendMicro.com
Informazioni su TrendMicro In qualità di uno dei principali fornitori mondiali di sicurezza IT, Trend Micro contribuisce a creare un mondo sicuro per lo scambio di dati digitali. Con oltre 30 anni di esperienza nella sicurezza, ricerca sulle minacce globali e costante innovazione, Trend Micro offre protezione per aziende, agenzie governative e consumatori. Grazie alla nostra strategia di sicurezza XGen™, le nostre soluzioni beneficiano di una combinazione intergenerazionale di tecniche di difesa ottimizzate per ambienti all'avanguardia. Le informazioni sulle minacce in rete consentono una protezione migliore e più rapida. Ottimizzate per carichi di lavoro cloud, endpoint, e-mail, IIoT e reti, le nostre soluzioni connesse forniscono visibilità centralizzata in tutta l'azienda per un rilevamento e una risposta più rapidi alle minacce.