Ecco cosa ha scoperto VirusTotal dall'analisi di 80 milioni di campioni ransomware

La società di sicurezza Virus Total ha redatto un nuovo rapporto sullo stato dei ransomware nel mondo, con un'analisi che ha coperto circa 80 milioni di campioni di ransomware provenienti da 140 paesi. L'opera di indagine ha evidenziato come Israele sia stato il paese più colpito da questa minaccia informatica.

La classifica dei primi dieci paesi più colpiti vede, dopo il primo posto di Israele, paesi quali Corea del Sud, Vietnam, Cina, Singapore, India, Kazakistan, Filippine, Iran e Regno Unito. Nel periodo preso in esame, che copre la finestra temporale dall'inizio del 2020 fino a settembre 2021, Israele ha visto un incremento di oltre il 600% rispetto alla normalità. Virus Total, però, non indica i valori assoluti del fenomeno.

L'attività legata ai ransomware ha raggiunto il suo apice nel corso dei primi due trimestri del 2020, non a caso coincidentemente con lo scoppio della pandemia e le conseguenti decisioni di distanziamento sociale che hanno avuto l'effetto di incrementare l'uso di strumenti informatici e di comunicazione remota.

Secondo VirusTotal il principale "motore" di questa attività sarebbe il gruppo GandCrab, specializzato in cosiddetto "ransomware-as-a-service". Dopo il picco del primo trimestre 2020 l'attività di GandCrab è diminuita in maniera significativa. Un altro periodo di intensa attività ransomware è stato il mese di luglio 2021, questa volta ad opera dell gruppo che opera Babuk. Babuk ha iniziato a diffondersi all'inizio del 2021.

GandCrab è comunque risultato essere il gruppo ransomware più attivo dall'inizio del 2020: suo è infatti il 78,5% degli 80 milioni di campioni analizzati da VirusTotal. A seguire Babuk e Cerber, rispettivamente al 7,6% e al 3,1% di campioni. L'analisi di VirusTotal rivela che il 95% dei campioni analizzati erano eseguibili o DLL per Windows, mentre il 2% riguardava il sistema operativo Android.

Solamente nel 5% dei campioni sono stati riscontrati meccanismi di sfruttamento delle vulnerabilità. A tal proposito nello studio si osserva: "Riteniamo che ciò abbia senso dal momento che i campioni di ransomware vengono solitamente distribuiti tramite ingegneria sociale e/o mediante programmi appositi. In termini di distribuzione gli aggressori non sembrano aver bisogno di exploit, se non per scalare prvilegi o per diffondere malware all'interno di reti interne".

Oltre a questi ultimi due aspetti, l'analisi ne ha evidenziati altri due: anzitutto che gli aggressori fanno uso di una varietà di tecniche per riuscre nel loro intento, come strumenti RAT e grandi botnet di malware. E in secondo luogo, al di là delle grandi campagne ransomware, che si concentrano per lo più in periodi di tempo circoscritti, vi è sempre una costante attività di base che non conosce sosta.