Evolve il rischio ransomware

I cybercriminali non vivono di rendita e si attrezzano per ampliare il raggio d’azione e soprattutto per “migliorare l’efficienza” delle operazioni di hackeraggio.
Tenuto conto che i ransomware mirati continuano a colpire le aziende di tutto il mondo, le imprese che operano nella cybersecurity sono attente a monitorare l’evoluzione del rischio, anche attraverso l’analisi delle attività dei principali gruppi dediti al cybercrime.

Con questo obiettivo, i ricercatori di Kaspersky hanno scomposto e ispezionato più esemplari appartenenti a JSWorm, un gruppo che ha dimostrato di essere particolarmente abile ad aggiornare i propri toolset. Secondo quanto annunciato dall'azienda, questi criminali, che in precedenza si concentravano su operazioni su larga scala, sono stati in grado di adattarsi rapidamente ed evolvere in un’operazione altamente mirata in soli due anni, sviluppando più di otto varianti diverse di malware.

I ricercatori si sono accorti che ogni variante si presentava con parti di codice diverse, estensioni di file rinominate e schemi crittografici e chiavi di cifratura alterate. Oltre ad aver cambiato i nomi, gli sviluppatori di questo ransomware hanno anche rielaborato il codice e provato diversi approcci e modalità di distribuzione, dimostrazione della loro abilità ad adattarsi alle circostanze e delle grandi risorse che hanno a disposizione.

Secondo quanto emerso dalle indagini, JSWorm è presente in tutto il mondo: Nord e Sud America (Brasile, Argentina, USA), Medio Oriente (Turchia, Iran), Africa (Sud Africa), Europa (Italia, Francia, Germania) e Asia (Vietnam). Quest’ultimo è il continente con il maggior numero di vittime. Infatti, il 39% degli utenti colpiti in tutto il mondo nel 2020 proveniva dall’Asia.

Per quanto riguarda invece i settori presi di mira, questa famiglia di ransomware punta alle infrastrutture critiche e ai settori più cruciali nel mondo. Quasi la metà (41%) degli attacchi JSWorm sono stati rivolti ad aziende del settore ingegneristico e manifatturiero seguiti dal settore dell’energia e dei servizi pubblici (10%), finanza (10%), servizi professionali e di consumo (10%), trasporti (7%) e sanità (7%).

Secondo Fedor Sinitsyn, security researcher di Kaspersky, “Le operazioni di JSWorm e la sua capacità di adattarsi e sviluppare nuovi malware così rapidamente, indicano una tendenza preoccupante: i gruppi ransomware hanno a disposizione risorse sufficienti per evolversi e aggiornare gli strumenti a una velocità allarmante. Un'adattabilità così elevata si vede di solito tra i gruppi APT, ma a differenza di questi ultimi, i gruppi di ransomware non si limitano ad obiettivi specifici, sono invece disposti ad infettare qualsiasi azienda".