Record di attività di ransomware nel primo trimestre del 2024 e interventi determinanti delle forze dell’ordine per contrastare il fenomeno emergente
Il 2024 ha aperto con un dato preoccupante: i primi tre mesi dell’anno hanno segnato un record nella diffusione dei ransomware, con un aumento significativo delle vittime rispetto allo stesso periodo del 2023. In base al recente Ransomware Report di Corvus, le vittime segnalate sui portali di DataLeak hanno raggiunto quota 1.075, con un incremento del 21% rispetto allo stesso periodo dell’anno precedente.
Nel contesto di questo incremento drammatico, si è distinto l’intervento delle forze dell’ordine nel contesto dell’operazione Cronos, rivolta contro il gruppo LockBit, noto per la sua forte presenza e attività nel panorama del cybercrime. L’operazione, condotta da dieci differenti paesi, ha portato a risultati tangibili: la confisca di 34 server, il blocco di circa 200 conti in criptovalute e l’arresto di membri importanti del gruppo in Polonia e Ucraina.
Ciò nonostante, il gruppo LockBit ha cercato di reagire velocemente, lanciando poco tempo dopo un nuovo sito di DataLeak. Tuttavia, un’analisi più dettagliata ha rivelato che circa il 40% di dati pubblicati erano frutto di violazioni avvenute prima dell’operazione Cronos, suggerendo che l’intervento delle forze dell’ordine ha inflitto un duro colpo alle operazioni di LockBit provocando una riduzione nella loro capacità di condurre nuovi attacchi.
Inoltre, nel panorama del cybercrime il 2024 ha segnato la fine del gruppo ALPHV/BlackCat. Dopo l’attacco su Change Healthcare che ha colpito migliaia di studi medici e farmacie, i leader di ALPHV/BlackCat hanno optato per un exit scam, ovvero una truffa all’uscita, appropriandosi dei fondi ricavati dai riscatti che si stimano essere attorno ai 20 milioni di dollari, senza quindi rispettare la suddivisione degli incassi con i propri affiliati. Un gesto che ha creato malcontento all’interno del gruppo, provocando la sua dissoluzione.
Nonostante queste interruzioni, l’ecosistema del ransomware non solo ha resistito, ma ha mostrato segni di crescita e adattamento. Infatti, sempre secondo i dati di Corvus, la attività di ransomware nel primo trimestre del 2024 è stata la più alta rispetto a ogni altro primo trimestre degli anni precedenti. Indicando una grande capacità di resilienza all’interno della comunità del ransomware che si ripropone con nuovi gruppi emergenti.
L’emergere di nuovi gruppi come BlackBasta, Akira, HuntersInternational e BianLian ha rappresentato un cambio nella distribuzione del potere all’interno della rete criminale di ransomware. Questi gruppi, infatti, hanno rapidamente colmato il vuoto lasciato dai leader tradizionali, mostrando una notevole agilità nel reclamare una porzione del “mercato” del ransomware.
Questa tendenza costituisce una sfida significativa. La capacità di adattamento e riorganizzazione rapida di questi nuovi attori indica che le strategie difensive devono essere altrettanto dinamiche e proattive. Ad esempio, i dati di Corvus mostrano che nel primo trimestre del 2024 il numero di siti di DataLeak attivi ha raggiunto il picco senza precedenti di 60 e sono stati scoperti 18 nuovi siti nello stesso periodo, evidenziando una accelerazione allarmante nel fenomeno del ransomware.