Ivanti presenta i risultati del Q3 2021 Ransomware Index Spotlights Report condotto con Cyber Security Works e Cyware, fornitore leader di Cyber Fusion, SOAR di nuova generazione e soluzioni di threat intelligence. Il rapporto ha rivelato una costante crescita dei gruppi di ransomware in termini di precisione, pericolosità e volume, con numeri in aumento a partire dal Q2 2021. L’ultimo trimestre ha evidenziato l’incremento del 4,5% delle CVE associate al ransomware, la crescita dei trend e delle vulnerabilità attivamente sfruttate del 4,5%, l’aumento pari al 3,4% delle famiglie di ransomware esistenti, e un 1,2% di incremento delle vecchie vulnerabilità legate al ransomware rispetto al al Q2 2021.
L’analisi ha rilevato 12 nuove vulnerabilità legate al ransomware nel Q3 2021, portando a 278 il numero di casi associati a questa tipologia di attacco. Fra queste, cinque di esse sono in grado di eseguire attacchi di codici da remoto e due possono sfruttare le applicazioni web ed essere manipolate per lanciare degli attacchi di denial-of-service. Il rapporto ha anche rilevato come i gruppi di ransomware continuino a identificare e sfruttare le vulnerabilità zero-day, anticipando l’aggiunta delle CVE al National Vulnerability Database e il rilascio delle patch. Il gruppo REvil, ad esempio, ha individuato e sfruttato una vulnerabilità nel software Kaseya VSA mentre il team responsabile della sicurezza dell’azienda stava lavorando attivamente a una patch.
Nel rapporto emergono anche sei nuove vulnerabilità attive e di tendenza associate al ransomware, portando il totale a 140, e cinque nuove famiglie di ransomware, per un totale di 151. Questi nuovi gruppi hanno sfruttato rapidamente alcune delle vulnerabilità, ad oggi, più pericolose, quali PrintNightmare, PetitPotam e ProxyShell, nel Q3. Le tecniche utilizzate da queste tipologie di attacchi sono rispettivamente il dropper-as-a-service e il trojan-as-a-service. La prima consente ai cybercriminali meno esperti di distribuire malware attraverso dei programmi che, se lanciati, possono eseguire un payload dannoso sul computer della vittima. La seconda, chiamata anche malware-as-a-service, consente a chiunque abbia una connessione Internet di ottenere e diffondere un malware personalizzato nel cloud, senza installazione.
In aggiunta, il rapporto ha rilevato come tre vulnerabilità, risalenti al 2020, sono state nuovamente sfruttate dal ransomware nel Q3 2021, portando il totale delle stesse ad un totale di 258, pari al 92.4% di tutte le vulnerabilità legate al ransomware. Nel Q3, il gruppo ransowmare Cring ha individuato due vulnerabilità già conosciute, CVE-2009-3960 e CVE-2010-2861, che sono state sottoposte a delle patch per più di un decennio.
