Perché i ransomware sono così popolari tra gli hacker alle prime armi?

Nel 2023 gli attacchi ransomware sono diventati più diffusi e temuti come non mai.

Una ricerca condotta da Visa Inc. ha rilevato che marzo di quest’anno ha registrato il maggior numero di attacchi informatici finora registrati, con un aumento dei ransomware del 91% rispetto a febbraio e del 62% da marzo 2022.

A rendere così temibili queste campagne sono prevalentemente due fattori. In primis vi è il crescente utilizzo da parte delle bande di ransomware di servizi di Intelligenza Artificiale come ChatGPT (o il suo “gemello malvagio” noto come FraudGPT) per produrre in massa e-mail altamente personalizzate e credibili, dunque ideali per il phishing.

In secondo luogo, la proliferazione di kit ransomware fai-da-te altamente professionali, spesso accompagnati da supporto telefonico tecnico, rappresenta un’occasione per gli hacker alle prime armi. Questi due fattori stanno generando una nuova generazione di bande di bande di cybercriminali, capaci di affiancarsi alle gang già affermate.

Un esempio lampante, in tal senso, è Rhysida, un nuovo gruppo Ransomware-as-a-Service (RaaS) emerso nel maggio 2023 Rhysida funziona come un’applicazione ransomware crittografica Windows Portable Executable (PE) a 64 bit distribuita tramite attacchi di phishing o rilasciando payload su sistemi compromessi dopo aver distribuito Cobalt Strike o framework di comando e controllo simili. Una volta distribuito, Rhysida crittografa i file e richiede il pagamento in bitcoin tramite un portale basato su TOR.

Hacker alle prime armi e ransomware: il motivo del recente boom

Va poi considerato che non tutti gli autori delle minacce che popolano il panorama dei ransomware odierni appartengono a un gruppo altamente organizzato, né rappresentano tutti la stessa minaccia.

Questa dinamica è stata portata alla luce quando i creatori relativamente inesperti del malware Titan Stealer, un furto di informazioni documentato per la prima volta nel novembre 2022, hanno cercato di emulare il successo dei leader del settore. Su Telegram, i creatori hanno pubblicizzato la capacità di Titan di rubare credenziali da wallet crittografici, dati dal browser e non solo.

Titan veniva fornito anche in bundle con un pannello Web per facilitare l’accesso ai dati rubati, nel caso in cui gli utenti desiderassero rilasciarli, ad un prezzo molto competitivo di 150 dollari per un abbonamento mensile di base o 1.000 dollari per un pacchetto premium.

Ma questo non è l’unico RaaS potenzialmente alla portata degli hacker più inesperti. Raccoon Stealer, per esempio, ha un prezzo di 75 dollari a settimana o 200 al mese. A prescindere dallo strumento malevolo, dunque, si parla di una barriera finanziaria bassa all’ingresso per gli aspiranti criminali informatici con competenze di hacking anche solo rudimentali.

Tutto ciò, però, ha anche un rovescio della medaglia. I tanti servizi RaaS, infatti, offrono anche punti di riferimento agli esperti di sicurezza. Basta semplicemente acquistare un kit per poterlo analizzare e simulare attacchi per studiarne il comportamento in modo approfondito.

Per i comuni utenti, le raccomandazioni restano sempre le stesse. Un alto livello di attenzione, il mantenimento del proprio software aggiornato e un buon antivirus possono essere di grande aiuto per contrastare il fenomeno ransomware.