Akamai Technologies, l’azienda di cybersecurity e cloud computing che abilita e protegge il business online, ha scoperto una nuova tattica di estorsione quadrupla utilizzata dai criminali informatici nelle campagne ransomware, anche se la doppia estorsione rimane comunque l’approccio più comune. Secondo il nuovo State of the Internet Report (SOTI) di Akamai, “Ransomware Report 2025: Building Resilience Amid a Volatile Threat Landscape”, la tendenza emergente nella tattica della quadrupla estorsione include l’utilizzo di attacchi DDoS (Distributed Denial-of-Service) per interrompere le operazioni aziendali e danneggiare le terze parti (come clienti, partner e media), cercando di aumentare la pressione sulla vittima. Questa tattica si basa sul ransomware a doppia estorsione in cui i criminali informatici si limitano a crittografare i dati della vittima, minacciando di divulgarli pubblicamente se non viene pagato il riscatto.
“Attualmente, gli attacchi ransomware non riguardano più solo la crittografia”, ha affermato Steve Winterfeld, Advisory CISO di Akamai. “I criminali informatici utilizzano i dati sottratti, la divulgazione pubblica e le interruzioni dei servizi per aumentare la pressione sulle loro vittime. Questi metodi stanno trasformando gli attacchi informatici in vere e proprie crisi aziendali e stanno forzando le aziende a ripensare al modo con cui prepararsi e rispondere a tali minacce”.
Punti chiave del report:
● GenAI e i Large Language Model (LLM) contribuiscono ad incrementare la frequenza e la portata degli attacchi ransomware, rendendo più semplice lanciare campagne sofisticate anche per chi ha meno competenze tecniche. I criminali informatici, sia singoli che in gruppo, utilizzano i modelli LLM per scrivere il codice dei ransomware e per migliorare le loro tattiche di social engineering.
● Gruppi ibridi di hacktivisti/ransomware utilizzano sempre più le piattaforme RaaS (Ransomware-as-a-Service) per amplificare il loro impatto, favorito da una combinazione di motivi politici, ideologici e finanziari. Questi gruppi si sono evoluti rispetto alle precedenti organizzazioni di hacktivisti: ad esempio, il gruppo Dragon RaaS, emerso nel 2024 come un derivato di Stormous che prendeva principalmente di mira le grandi aziende, si focalizza ora sulle aziende più piccole con sistemi di sicurezza più deboli.
● Cryptominer sono un pericolo specifico, tuttavia i loro obiettivi e le strategie che impiegano sono simili a quelli dei gruppi di ransomware. I ricercatori Akamai hanno rilevato che quasi la metà degli attacchi di cryptomining da loro analizzati ha preso di mira organizzazioni no profit e istituti scolastici probabilmente per la mancanza di risorse che caratterizza i loro settori.
● Famiglia di malware TrickBot, utilizzata da gruppi di ransomware a livello globale, è riuscita ad estorcere alle sue vittime più di 724 milioni di dollari in criptovalute dal 2016. Recentemente, il team Akamai Guardicore Hunt ha individuato questa famiglia di malware collegata a quattro attività sospette, la cui esecuzione è stata pianificata sui sistemi di cinque clienti.
Il report presenta anche un’analisi dello stato attuale dei requisiti legali e normativi che influiscono sul modo con cui le aziende rispondono agli attacchi ransomware. James A. Casey, Vice President and Chief Privacy Officer di Akamai, sottolinea che mentre le leggi esistenti in materia di cybersecurity si applicano agli attacchi ransomware, alcune normative specifiche mirano a disincentivare il pagamento del riscatto richiesto. Inoltre, Casey evidenzia l’importanza di adottare solide misure di cybersecurity, funzioni di segnalazione degli incidenti e un sistema di gestione dei rischi, nonché apposite strategie, come il modello Zero Trust e la microsegmentazione, per migliorare la resilienza dagli attacchi ransomware in continua evoluzione. Casey sottolinea inoltre la necessità per le aziende di tenersi aggiornate e di adattarsi alle nuove minacce.
