Luca Mella : 31 Luglio 2022 07:00
Autore: Dott. Luca Mella, Cyber Security Expert (founder doubleextortion.com)
Negli ultimi anni, il fenomeno del ransomware è stato tanto dirompente da influire pesantemente nelle agende di sicurezza di moltissime organizzazioni, e non solo. La brutalità delle pratiche cyber criminali della doppia estorsione ha persino influito nelle politiche di Stati Uniti e Unione Europea: questi attacchi si sono sempre più rivelati strumento di pressione geopolitica nelle dialettiche tra le nazioni del Patto Atlantico e gli stati sotto l’influenza Russa, sino a divenire strumento di cyber-rappresaglia contestuali alle operazioni militari in Ucraina.
Monitorare gli attacchi ransomware moderni, le doppie estorsioni, uno dei “game-changer” che più sta condizionando il panorama della sicurezza cibernetica mondiale e nazionale, è la ragione fondante della Ransomware Data Room, un osservatorio, un luogo virtuale dove monitorare il fenomeno del ransomware attraverso la fattualità di dati e notizie.
Prova Gratuitamente Business Log! L'Adaptive SOC italiano
Proteggi la tua azienda e ottimizza il tuo lavoro grazie al SOC di Business Log, il software leader per audit, log management e cybersicurezza realizzato in Italia. Business Log garantisce:
Informazioni e dati su tentativi di estorsione cibernetica e attacchi ransomware sono acquisiti tramite dati OSINT, notizie pubbliche, open data, ed attraverso il portale doubleextortion.com.
Report dell’Osservatorio
La Ransomware Data Room ha riscontrato evidenza di almeno 210 tentativi di estorsione cibernetiche e attacchi criminali operati da 23 attori di minaccia attivi nel periodo di riferimento. Il volume di attacchi registrati a Luglio è in aumento rispetto alla base mensile di Giugno (+15.7%). E’ stata inoltre riscontrata attività offensiva da parte di tre nuove gang cyber criminali: Lilith, RedAlert e Bianlian.
.
Le estorsioni cibernetiche monitorate dall’osservatorio sono questo mese caratterizzate da un volume sostenuto. Nella prima settimana del mese le attività dei gruppi criminali hanno presentato un ritmo di attacco in crescita fino al 14 Luglio 2022, dove è stato registrato un importante picco di attività. In seguito, i volumi registrati hanno mostrato un andamento meno brusco, ma comunque intenso e distribuito per il resto del mese.
Karakurt e LockBit sono i gruppi più attivi durante i picchi di estorsioni osservati: le loro vittime comprendono aziende di automazione industriale, ma anche gruppi internazionali nel settore biotecnologico specializzate nell’efficientamento di allevamento e agricoltura.
Sono state inoltre regitrate nuove attività anche da parte della gang Bianlian, il misterioso gruppo entrato nel radar dell’osservatorio nel corso del mese: i criminali hanno colpito scuole e società di servizi per il supporto al business in Europa.
Le doppie estorsioni ransomware di Luglio 2022 hanno coinvolto ben 39 nazioni. Gli attacchi dei cyber criminali hanno infierito su tutto l’occidente a partire dagli Stati Uniti d’America.
Dopo gli USA, gli attori del landscape criminale internazionale hanno colpito duramente la Francia che infaustamente strappa il secondo posto al Regno Unito. Subito dopo, al terzo posto tra le nazioni più colpite, anche a Luglio 2022 troviamo l’Italia: una posizione poco invidiabile considerate le enormi lacune digitali che ancora affliggono le imprese nostrane.
Appena fuori dall’infausto podio troviamo una nazione che per mesi era passata quasi inosservata: l’Australia. Anche se in passato l’Australia ha fatto registrare volumi di attacchi imponenti, da qualche mese era rimasta fortunatamente ai margini dall’interesse dei maggiori gruppi cyber criminali. Interesse che troviamo però dolorosamente rinnovato.
I settori industriali messi alla prova dagli attacchi ransomware di Luglio sono stati 77. I criminali hanno fatto registrare coppiosi attacchi verso aziende di supporto al business, fondamentali nelle supply chain del manufatturiero e del retail.
L’attenzione criminale alle supply chain non finisce qui. Registriamo inoltre una particolarità negli attacchi informatici di Luglio: i criminali hanno insistito molto su provider di software, provider internet, ma anche firme di consulenza legale e contabile. Un’attività che ha i connotati per inquadrarsi come un potenziale precursore ad operazioni più spregiudicate nel corso dei prossimi mesi.
Da notare inoltre la ripresa delle attività offensive della gang criminale Everest, la gang che si è fatta notare in Italia per l’attacco a SIAE. Nel mese i cyber criminali hanno attaccato un importante gruppo bancario indiano proprio nel mezzo di una operazione di offerta pubblica.
Tra i numerosi casi di attacco registrati a Luglio 2022, l’osservatorio ha valutato i seguenti casi di tentata doppia estorsione come di portata ed implicazione notevole per i rispettivi contesti di riferimento:
Nel mese di Luglio 2022, l’osservatorio registra le seguenti estorsioni ransomware come maggiormente rilevanti nel contesto italiano:
A livello globale, l’osservatorio segnala le seguenti casistiche ed eventi impattanti il mondo ransomware di rilievo internazionale:
Nel mese di Luglio 2022 l’osservatorio ha registrato una serie di evolutive al panorama delle minacce ransomware.
In primis più gruppi criminali come Hive, Black basta e Luna stanno sempre più utilizzando codici ransomware scritti in linguaggi di programmazione moderni come Go e Rust, scelta che porta con se risvolti operativi nelle gang criminali. Ransomware che utilizzano queste tecnologie possono infatti essere compilati nativamente in multipiattaforma, estendendo la minaccia dai sistem Windows, ai sistemi Linux ed ESXi, che invece tradizionalmente richiedevano lo sviluppo di strumenti di attacco ad hoc.
In secondo luogo, la gang criminale Alphv ha dato il via ad una nuova pratica estorsiva tramite la pubblicazione massiva dei dati rubati alle aziende colpite con mezzi mai visti prima. I dipartimenti di sviluppo dell’organizzazione cyber criminale hanno infatti messo a punto un data lake indicizzato che permette a malintenzionati e micri-criminali di accedere ai dati rubati con elevata efficacia. Ad oggi risultano indicizzati oltre 11.29 TB di dati rubati.
Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009