Allarme degli esperti per i 4 maggiori gruppi ransomware attivi

I gruppi LockBit 2.0, HelloKitty, AvosLocker e Hive rappresentano una seria minaccia per le imprese e le infrastrutture critiche.

I ricercatori di sicurezza informatica dell’Unità 42 di Palo Alto Networks hanno segnalato quattro gruppi di ransomware che potrebbero rappresentare una minaccia significativa per le imprese e le infrastrutture critiche.

“Mentre la crisi del ransomware sembra peggiorare, la composizione dei gruppi di criminali informatici che causano danni ingenti è in continua evoluzione. I gruppi a volte passano nell’ombra quando la loro importanza attira l’attenzione delle forze dell’ordine. Altri stanno ridisegnando le loro operazioni per renderle più redditizie, rivedendo tattiche, metodi e procedure, aggiornando software e lanciando campagne di marketing per reclutare nuovi partner “, hanno affermato gli esperti.

Il leader tra i nuovi rappresentanti del ransomware è AvosLocker, che opera secondo il modello di business RaaS. Il gruppo ha iniziato le sue attività alla fine di giugno di quest’anno con l’aiuto di “comunicati stampa” contrassegnati da un logo blu dello scarabeo per reclutare nuovi partner. AvosLocker ha anche un sito di violazione dei dati e secondo quanto riferito ha violato sei organizzazioni negli Stati Uniti, nel Regno Unito, negli Emirati Arabi Uniti, in Belgio, Spagna e Libano con richieste di riscatto che vanno da 50mila a 75mila dollari.

Il gruppo Hive ha già attaccato diversi fornitori e organizzazioni sanitarie, tra cui una compagnia aerea europea e tre compagnie negli Stati Uniti. Altre vittime di questi ransomware si trovano in Australia, Cina, India, Paesi Bassi, Norvegia, Perù, Portogallo, Svizzera, Thailandia e Regno Unito.

È stata anche scoperta una variante del ransomware HelloKitty per Linux che attacca i server Linux che eseguono l’hypervisor VMware ESXi. Gli operatori di ransomware hanno attaccato cinque organizzazioni in Italia, Australia, Germania, Paesi Bassi e Stati Uniti. Il riscatto più grande richiesto è stato di 10 milioni di dollari.

L’ultimo della lista è il raggruppamento LockBit. Nel giugno di quest’anno, gli operatori di ransomware hanno presentato una nuova versione del loro programma partner LockBit 2.0, pubblicizzando “vantaggi senza precedenti della velocità di crittografia e della funzionalità di auto-propagazione”, aggiunge infatti in tempi rapidissimi 4 KB di crittografia a ogni file interessato.

Da giugno 2021, LockBit ha compromesso 52 organizzazioni in contabilità, automotive, consulenza, ingegneria, finanza, alta tecnologia, ospitalità, assicurazioni, forze dell’ordine, servizi legali, produzione, energia senza scopo di lucro, vendita al dettaglio, trasporti e logistica in Argentina, Australia, Austria, Belgio, Brasile, Germania, Italia, Malesia, Messico, Romania, Svizzera, Regno Unito e USA.

L’emergere di nuove varianti di ransomware mostra che i criminali informatici stanno raddoppiando i loro attacchi, evidenziando la natura estremamente redditizia di tali attività.