Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Ransomware data Room – Luglio 2022

Luca Mella : 31 Luglio 2022 07:00

Autore: Dott. Luca Mella, Cyber Security Expert (founder doubleextortion.com)

Negli ultimi anni, il fenomeno del ransomware è stato tanto dirompente da influire pesantemente nelle agende di sicurezza di moltissime organizzazioni, e non solo. La brutalità delle pratiche cyber criminali della doppia estorsione ha persino influito nelle politiche di Stati Uniti e Unione Europea: questi attacchi si sono sempre più rivelati strumento di pressione geopolitica nelle dialettiche tra le nazioni del Patto Atlantico e gli stati sotto l’influenza Russa, sino a divenire strumento di cyber-rappresaglia contestuali alle  operazioni militari in Ucraina. 

Monitorare gli attacchi ransomware moderni, le doppie estorsioni, uno dei “game-changer” che più sta condizionando il panorama della sicurezza cibernetica mondiale e nazionale, è la ragione fondante della Ransomware Data Room, un osservatorio, un luogo virtuale dove monitorare il fenomeno del ransomware attraverso la fattualità di dati e notizie.

Metodologia

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a formazione@redhotcyber.com oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Informazioni e dati su tentativi di estorsione cibernetica e attacchi ransomware sono acquisiti tramite dati OSINT, notizie pubbliche, open data, ed attraverso il portale doubleextortion.com.

    Report dell’Osservatorio

    • Data Room: Gennaio 2022 (link)
    • Data Room: Febbraio 2022 (link)
    • Data Room: Marzo 2022 (link)
    • Data Room: Aprile 2022 (link)
    • Data Room: Maggio 2022 (link)
    • Data Room: Giugno 2022 (link)

    Data Room: Luglio 2022

    La Ransomware Data Room ha riscontrato evidenza di almeno 210 tentativi di estorsione cibernetiche e attacchi criminali operati da 23 attori di minaccia attivi nel periodo di riferimento. Il volume di attacchi registrati a Luglio è in aumento rispetto alla base mensile di Giugno (+15.7%). E’ stata inoltre riscontrata attività offensiva da parte di tre nuove gang cyber criminali: Lilith, RedAlert e Bianlian.

    Data Trends

    Le estorsioni cibernetiche monitorate dall’osservatorio sono questo mese caratterizzate da un volume sostenuto. Nella prima settimana del mese le attività dei gruppi criminali hanno presentato un ritmo di attacco in crescita fino al 14 Luglio 2022, dove è stato registrato un importante picco di attività. In seguito, i volumi registrati hanno mostrato un andamento meno brusco, ma comunque intenso e distribuito per il resto del mese. 

    Karakurt e LockBit sono i gruppi più attivi durante i picchi di estorsioni osservati: le loro vittime comprendono aziende di automazione industriale, ma anche gruppi internazionali nel settore biotecnologico specializzate nell’efficientamento di allevamento e agricoltura.  

    Sono state inoltre regitrate nuove attività anche da parte della gang Bianlian, il misterioso gruppo entrato nel radar dell’osservatorio nel corso del mese: i criminali hanno colpito scuole e società di servizi per il supporto al business in Europa.

    Figura. Profilo dei tentativi di estorsione registrati nel Luglio 2022.

    Le doppie estorsioni ransomware di Luglio 2022 hanno coinvolto ben 39 nazioni. Gli attacchi dei cyber criminali hanno infierito su tutto l’occidente a partire dagli Stati Uniti d’America.

    Dopo gli USA, gli attori del landscape criminale internazionale hanno colpito duramente la Francia che infaustamente strappa il secondo posto al Regno Unito. Subito dopo, al terzo posto tra le nazioni più colpite, anche a Luglio 2022 troviamo l’Italia: una posizione poco invidiabile considerate le enormi lacune digitali che ancora affliggono le imprese nostrane. 

    Appena fuori dall’infausto podio troviamo una nazione che per mesi era passata quasi inosservata: l’Australia. Anche se in passato l’Australia ha fatto registrare volumi di attacchi imponenti, da qualche mese era rimasta fortunatamente ai margini dall’interesse dei maggiori gruppi cyber criminali. Interesse che troviamo però dolorosamente rinnovato.

    Figura. Nazioni più impattate da estorsioni cyber ad Luglio 2022

    I settori industriali messi alla prova dagli attacchi ransomware di Luglio sono stati 77. I criminali hanno fatto registrare coppiosi attacchi verso aziende di supporto al business, fondamentali nelle supply chain del manufatturiero e del retail. 

    L’attenzione criminale alle supply chain non finisce qui. Registriamo inoltre una particolarità negli attacchi informatici di Luglio: i criminali hanno insistito molto su provider di software, provider internet, ma anche firme di consulenza legale e contabile. Un’attività che ha i connotati per inquadrarsi come un potenziale precursore ad operazioni più spregiudicate nel corso dei prossimi mesi. 

    Da notare inoltre la ripresa delle attività offensive della gang criminale Everest, la gang che si è fatta notare in Italia per l’attacco a SIAE. Nel mese i cyber criminali hanno attaccato un importante gruppo bancario indiano proprio nel mezzo di una operazione di offerta pubblica. 

    Figura. Settori produttivi più impattati da estorsioni ad Luglio 2022

    Osservatorio

    Tra i numerosi casi di attacco registrati a Luglio 2022, l’osservatorio ha valutato i seguenti casi di tentata doppia estorsione come di portata ed implicazione notevole per i rispettivi contesti di riferimento:   

    Osservatorio italiano

    Nel mese di Luglio 2022, l’osservatorio registra le seguenti estorsioni ransomware come maggiormente rilevanti nel contesto italiano: 

    • L’attacco di Lockbit a fornitori della PA e le controverse rivendicazioni dei criminali vesro Agenzia delle Entrate (link)
    • Lockbit attacca Alpa, azienda storica nella chimica italiana specializzata nel conciario, base delle supply chain della moda (link)
    • La filiale francese del gruppo italiano FAAC è stata colpita dagli attacchi criminali di Lockbit (link)
    • Gli affiliati di Lockbit colpiscono le imprese del Sud-Italia, Amalfitana Gas, azienda di fornitura del gas nel salernitano è stata bersagliata dagli attacchi ransomware del gruppo (link)
    • La gang criminal LV pubblica oltre 80 GB di dati provenienti dallo studio commercialista Teruzzi. Esiste un collegamento le rivendicazioni verso Agenzia delle Entrate  (link)
    • L’Unione dei Comuni Valdisieve e Valdarno, parte della Città metropolitana di Firenze, è stata attaccata da attori ransomware costringendo le autorità locali allo spegnimento della maggior parte dei servizi al pubblico (link)
    • Gli affiliati di Lockbit attaccano MWD Digital, l’agenzia di marketing e provider di hosting per PMI (link)

    Osservatorio mondiale

    A livello globale, l’osservatorio segnala le seguenti casistiche ed eventi impattanti il mondo ransomware di rilievo internazionale:

    • Il marchio storico del gaming made in Japan Bandai Namco, colosso da oltre 6 miliardi, è stato attaccato dai cyber criminali di Alphv (link)
    • Lockbit prende di mira La Poste Mobile, noto operatore di telecomunicazioni francese specializzato in telefonia mobile virtuale (link)
    • Lockbit ha attaccato OSDE (Organización de Servicios Directos Empresarios), il primo network di strutture  mediche in Argentina con più di 2 millioni di membri.
    • Everest attacca FederalBank Fedfina, istituto finanziario indiano oltre 460 filiali nel paese recentemente coinvolto in importanti offerte pubbliche (IPO).
    • I criminali di Alphv trafugano 130 GB di dati da Hydra-Electric, compagnia americana leader nelle tecnologie sensoristiche del settore aerospaziale.
    • Cuba attacca la taiwanese Sin Sheng Terminal & Machine, specializzata nella realizzazione di LCD e connettori ad alte prestazioni per i settori Automotive, IoT Industriale ed anche telecomunicazioni 5G.

    Nuove Tattiche Tecniche e Procedure (TTPs)

    Nel mese di Luglio 2022 l’osservatorio ha registrato una serie di evolutive al panorama delle minacce ransomware.

    In primis più gruppi criminali come Hive, Black basta e Luna stanno sempre più utilizzando codici ransomware scritti in linguaggi di programmazione moderni come Go e Rust, scelta che porta con se risvolti operativi nelle gang criminali. Ransomware che utilizzano queste tecnologie possono infatti essere compilati nativamente in multipiattaforma, estendendo la minaccia dai sistem Windows, ai sistemi Linux ed ESXi, che invece tradizionalmente richiedevano lo sviluppo di strumenti di attacco ad hoc.

    In secondo luogo, la gang criminale Alphv ha dato il via ad una nuova pratica estorsiva tramite la pubblicazione massiva dei dati rubati alle aziende colpite con mezzi mai visti prima. I dipartimenti di sviluppo dell’organizzazione cyber criminale hanno infatti messo a punto un data lake indicizzato che permette a malintenzionati e micri-criminali di accedere ai dati rubati con elevata efficacia. Ad oggi risultano indicizzati oltre 11.29 TB di dati rubati.

    Figura. Data lake con dati rubati da Alphv indicizzato

    Luca Mella
    Luca è un professionista della Cyber Security con una profonda passione per il mondo digitale e l’hacking. Luca è autore del progetto “doubleextortion.com”. Ha guidato il primo Computer Emergency Response Team (CERT) italiano certificato da Trusted Introducer ed insegna la malware analysis all’Università di Bologna, è un ex-membro del team “ANeSeC”, uno dei primi team italiani di cyber war-game nati nel lontano 2011.

    Articoli in evidenza

    Emergenza Ivanti: scoperta vulnerabilità critica sfruttata da APT collegati con la Cina

    E’ stata pubblicata da Ivanti una vulnerabilità critica, che interessa i suoi prodotti Connect Secure, Pulse Connect Secure, Ivanti Policy Secure e ZTA Gateway monitorata con il codice CVE...

    CVE-2025-30065: la Vulnerabilità Critica RCE di Apache Parquet che Minaccia l’Ecosistema Big Data

    Di vulnerabilità con CVSS di gravità 10 se ne vedono pochissime (per fortuna), ma questa volta siamo di fronte ad una gravissima falla di sicurezza che minaccia Apache Parquet. Si tratta di ...

    Buon Compleanno Errore 404, 35 anni e non sentirli. Viva gli errori e i posti mai trovati!

    I fallimenti fanno parte della nostra vita, quanti di noi ne ha avuti e quanti ne continueremo avere? Oggi parliamo di un codice, un codice semplice snello e schietto, il codice 404. Scopriremo che no...

    Verso il GDPR 2.0 a favore del settore tech e delle PMI, ma a quale costo?

    La notizia è stata anticipata da politico.eu: a partire da maggio 2025, la Commissione von der Leyen revisionerà il GDPR introducendo semplificazioni. Certo, non sarebbe male pubblicare prim...

    Kidflix è crollato! La piattaforma dell’orrore è stata smantellata: 79 arresti e 39 bambini salvati

    Oggi i bambini sono un po’ più al sicuro grazie ad una operazione di polizia coordinata da Europol che ha portato alla chiusura di Kidflix. Si tratta di una delle più grandi piattafor...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006