Le forme più attive di ransomware sono state GandCrab, Babuk e Cerber.
Secondo un rapporto di VirusTotal basato su un’analisi di oltre 80 milioni di campioni di ransomware caricati sul servizio durante questo periodo, almeno 130 diverse famiglie di ransomware erano attive per tutto il 2020 e la prima metà del 2021.
Allo stesso tempo, i campioni venivano caricati più spesso da Israele, Corea del Sud, Vietnam, Cina, Singapore, India, Kazakistan, Filippine, Iran e Gran Bretagna. Come ha spiegato l’ingegnere della sicurezza di VirusTotal Vincente Diaz, l’alto numero di download non significa che i paesi sopra indicati siano i più attaccati. Ad esempio, gli alti tassi di Israele (il numero di download di campioni di ransomware da questo paese è aumentato del 600%) potrebbe essere dovuto al fatto che “molte aziende [nel paese] stanno automatizzando i download” sul servizio.
Le principali famiglie di ransomware più attive erano capeggiate da GandCrab (78,5% dei campioni), principalmente a causa dell’elevata attività nel periodo da gennaio a luglio 2020 (nella seconda metà dell’anno, l’attività del gruppo è diminuita in modo significativo). Il secondo posto è stato preso dal ransomware Babuk (7,61%), seguito da Cerber (3,11%), Matsnu (2,63%), Wannacry (2,41%), Congur (1,52%), Locky (1,29%), Teslacrypt (1,12%). ), Rkor (1,11%) e Reveton (0,70%).
“Tra le prime 10 famiglie di ransomware, vediamo la presenza di Wannacry. Forse questi sono i resti di vecchi rilevamenti che sono ancora rilevanti per alcune delle attuali famiglie di ransomware. Tuttavia, non crediamo che ciò sia indicativo di una nuova ondata di attacchi provocatori”, afferma il rapporto.
Per quanto riguarda i sistemi più attaccati, il primo di questa categoria appartiene al sistema operativo Windows: il 95% dei campioni rilevati erano file eseguibili per Windows o librerie DLL. Allo stesso tempo, la quota di malware per Android è stata solo del 2,09%. Inoltre, a metà del 2020, è stato rilevato il malware EvilQuest che attaccava Apple Mac.
Come notato, circa il 5% dei campioni analizzati è stato associato a exploit, principalmente per l’escalation dei privilegi o vulnerabilità dell’esecuzione di codice in modalità remota in Windows.
Quasi tutte e dieci le famiglie di ransomware più attive hanno coinvolto vari malware come Emotet, Zbot, Dridex, Gozi o Danabot, oltre a strumenti per spostarsi nella rete (Mimikatz e Cobaltstrike) e decine di Trojan per l’accesso remoto (Phorpiex, Smokeloader, Nanocore , Ladro di cavalli ecc.).
VirusTotal è un servizio gratuito, di proprietà di Google, che fornisce informazioni sulla reputazione e il contesto delle minacce per aiutare ad analizzare file, URL, domini e indirizzi IP sospetti per identificare le minacce informatiche.
