Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Ransomware data Room – Maggio 2022

Luca Mella : 29 Maggio 2022 22:44

Autore: Dott. Luca Mella, Cyber Security Expert (founder doubleextortion.com)
Data Pubblicazione: 01/06/2022

Negli ultimi anni, il fenomeno del ransomware è stato tanto dirompente da influire pesantemente nelle agende di sicurezza di moltissime organizzazioni, e non solo. La brutalità delle pratiche cyber criminali della doppia estorsione ha persino influito nelle politiche di Stati Uniti e Unione Europea: questi attacchi si sono sempre più rivelati strumento di pressione geopolitica nelle dialettiche tra le nazioni del Patto Atlantico e gli stati sotto l’influenza Russa, sino a divenire strumento di cyber-rappresaglia contestuali alle  operazioni militari in Ucraina. 

Monitorare gli attacchi ransomware moderni, le doppie estorsioni, uno dei “game-changer” che più sta condizionando il panorama della sicurezza cibernetica mondiale e nazionale, è la ragione fondante della Ransomware Data Room, un osservatorio, un luogo virtuale dove monitorare il fenomeno del ransomware attraverso la fattualità di dati e notizie.

Metodologia

Acquista il corso Dark Web & Cyber Threat Intelligence (e-learning version)
Il Dark Web e la Cyber Threat Intelligence rappresentano aree critiche per comprendere le minacce informatiche moderne. Tra ransomware, data breach e attività illecite, le organizzazioni devono affrontare sfide sempre più complesse per proteggere i propri dati e le infrastrutture. Il nostro corso “Dark Web & Cyber Threat Intelligence” ti guiderà attraverso i meccanismi e le strategie utilizzate dai criminali informatici, fornendoti competenze pratiche per monitorare, analizzare e anticipare le minacce.

Accedi alla pagina del corso condotto dall'Prof. Pietro Melillo sulla nostra Academy e segui l'anteprima gratuita.

Per un periodo limitato, potrai utilizzare il COUPON CTI-16253 che ti darà diritto ad uno sconto del 20% sul prezzo di copertina del corso
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo

Informazioni e dati su tentativi di estorsione cibernetica e attacchi ransomware sono acquisiti tramite dati OSINT, notizie pubbliche, open data, ed attraverso il portale doubleextortion.com.

Report dell’Osservatorio

  • Data Room: Gennaio 2022 (link)
  • Data Room: Febbraio 2022 (link)
  • Data Room: Marzo 2022 (link)
  • Data Room: Aprile 2022 (link)

Data Room: Maggio 2022

La Ransomware Data Room ha riscontrato evidenza di almeno 178 tentativi di estorsione cibernetiche e attacchi criminali operati da 20 attori di minaccia attivi nel periodo di riferimento. Il volume di attacchi registrati a Maggio è in calo del 29% sulla base mensile di Aprile. E’ stata inoltre riscontrata attività offensiva di due nuovi gruppi all’interno del panorama cyber criminale (Cheers e Mindware).  

Data Trends

Le estorsioni cibernetiche monitorate in questo mese si sono articolate in tre momenti. Nella prima settimana del mese i gruppi criminali hanno mantenuto un ritmo di attacco sostenuto, culminato con il picco del 6 Maggio 2022. Mentre la seconda metà, è stata caratterizzata da due momenti ad  intensità crescente intorno al 16 ed al 24 di Maggio. 

Le operazioni criminali di Everest, BlackByte ed in nuovo BlackBasta hanno insistito pesantemente nella prima offensiva del 6 Maggio, colpendo incessantemente e costringendo aziende ed ospedali a fermi delle operazioni. Intorno al 16 Maggio, invece, gli attacchi si sono intensificati a causa dell’insistenza di LockBit verso aziende italiane e giapponesi. Il picco del 24 Maggio è stato caratterizzato da operazioni differenti, Conti e Snatch hanno compromesso organizzazioni di elevata diversa caratura, compreso il gruppo francese Hemeria, fornitore di sistemi ad alta tecnologia e microsatelliti per le forze armate.  

Figura. Profilo dei tentativi di estorsione registrati nell’Maggio 2022.

Il bilancio degli attacchi a doppia estorsione di Maggio 2022 ha coinvolto 34 nazioni, leggermente inferiore rispetto al mese di Marzo ed Aprile, ad indicare una ulteriore concentrazione delle attività nei paesi coinvolti.

Dopo gli Stati Uniti, troviamo una espansione degli attacchi verso le imprese tedesce, al secondo posto globale, ed a seguire l’Italia, che continua a posizionarsi sempre tra le prime nazioni attaccate, a parimeritro con il Regno Unito. 

Figura. Nazioni più impattate da estorsioni cyber ad Maggio 2022

I verticali colpiti dalle estorsioni di Maggio sono stati 78: numerosissimi gli attacchi portati ai sistemi sanitari pubblici, a cliniche private, ospedali, aziende sanitarie ed ambulatori.

Gli attacchi sono stati pesantemente diretti anche verso i settori dei servizi informatici, ai produttori di software, ai provider di soluzioni ed ai system integrator, una parte estremamente delicata dalla supply chain di moltissime organizzazioni, spesso con livelli di accesso privilegiati alle infrastrutture informatiche aziendali, ai dati trattati e potenzialmente anche a segreti industriali.

Il settore del Food, altra tipica eccellenza italiana, è stato anch’esso colpito più volte dalle estorsioni cyber criminali posizionandosi nella “zona rossa” del grafico. 

Benchè meno colpiti, anche in settore dell’Automotive, del Banking e dell’industria Aerospaziale e della Difesa sono stati bersagliati più del solito dagli attacchi criminali, nonostante la grande maturità di questi settori, gli attacchi hanno penetrato le difese delle aziende, bloccato i sistemi e trafugato preziose informazioni. 

Figura. Settori produttivi più impattati da estorsioni ad Maggio 2022

Osservatorio

Tra i numerosi casi di attacco registrati a Maggio 2022, l’osservatorio ha valutato i seguenti casi di tentata doppia estorsione come di portata ed implicazione notevole per i rispettivi contesti di riferimento:   

Osservatorio italiano

Nel mese di Maggio 2022, l’osservatorio registra le seguenti estorsioni ransomware come maggiormente rilevanti nel contesto italiano: 

  • Everest, gang criminale autrice delle estorsioni a SIAE, ha messo in vendita dati di un noto fornitore di macchinari industriali particolarmente presente nella filiera dell’automotive italiana (link)
  • Alphv/BlackCat mette sotto estorsione l’italiana Tecnopack, leader nella produzione di macchinari per i colossi dell’industria alimentare mondiale (link
  • BlackByte attacca i servizi sanitari del nord Italia. I sistemi di ATS Insubria, dipartimento della sanità pubblica del Varesano, vengono bloccati dalla gang criminale (link)  
  • L’ospedale Fatebenefratelli Sacco di Miliano è attaccato da ransomware criminale, rimane bloccato per giorni (link

Osservatorio mondiale

A livello globale, l’osservatorio segnala le seguenti casistiche ed eventi impattanti il mondo ransomware di rilievo internazionale:

  • Il gruppo ospedaliero belga Vivalia è stato colpito da LockBit, sono stati impattati i servizi sanitari di 47 comuni, per lo più nella provincia del Lussemburgo (link)
  • Conti attacca gli enti governativi del Perù. Compromessa la Direzione Generale dell’Intelligence, DIGIMIN. (link
  • Conti mette in ginocchio il Costa Rica che dichiara lo stato di emergenza dopo aver subito attacchi ransomware a diverse agenzie governative (link
  • ACGO, colosso quotato al NYSE, primo produttore di macchinari agricoli statunitensi, ha subito un pesante attacco ransomware che ha portato a fermi produzione e perdità di proprietà intellettuale (link

Nuove Tattiche Tecniche e Procedure (TTPs)

Nel mese di Maggio 2022 la gang criminale LockBit ha rilasciato una nuova versione del suo ransomware: “LockBit Black”. La precedente versione, LockBit 2.0 era stata rilasciata quasi un anno fa, a metà del 2021, versione che è stata accompagnata anche dal cambio di paradigma dell’organizzazione criminale che nell’occasione migrò alle pratiche di doppia  estorsione.

LockBit Black, o LockBit3, rivela una evoluzione molto preoccupante nei livelli di maturità del malware usato dai criminali. Le funzionalità offensive supportate dalla nuova versione sono di fatti aumentate in maniera preoccupante. Dalle prime indiscrezione pare che gli sforzi degli sviluppatori di LockBit siano stati concentrati su due direttrici: 

  • L’aumento della velocità di cifratura e la massimizzazione del danno, ad esempio attraverso nuove modalità di encryption. LockBit già toccava quasi i 400 MB/s nel 2021, posizionandosi come lo strumento ransomware più veloce, le nuove modalità rilasciate accellerano ulteriormente questa performance rendendo LockBit3 ancora più pericoloso.
  • L’automazione dei playbook offensivi, sempre più in capo al ransomware che ne agli affliliati. Infatti, LockBit Black include più opzioni di Lateral Movement (TA0008) e Defense Evasion (TA0005) configurabili in modalità automatica, come ad esempio la posibilità di disabilitare Microsoft Defender, rimuovere i log degli eventi dal sistema, effettuare in wiping delle porzioni di disco inutilizzate per rendere difficoltose le analisi di forensic, ed auto propagarsi anche con PsExec, celebre strumento di amministrazione remota di Sysinternal.  
Opzioni “LockBit2.0”
Opzioni “LockBit2.0”

Luca Mella
Luca è un professionista della Cyber Security con una profonda passione per il mondo digitale e l’hacking. Luca è autore del progetto “doubleextortion.com”. Ha guidato il primo Computer Emergency Response Team (CERT) italiano certificato da Trusted Introducer ed insegna la malware analysis all’Università di Bologna, è un ex-membro del team “ANeSeC”, uno dei primi team italiani di cyber war-game nati nel lontano 2011.
Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence
RUBRICHE
Alla scoperta della Sicurezza Informatica
Alla scoperta dell’Hacking
Interviste ai Threat Actors

RISORSE
Red Hot Cyber Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
COMMUNITY
Scrivi per Red Hot Cyber
Whistleblower
Red Hot Cyber Conference
Report
Contatti

Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009

Facebook Twitter Youtube Linkedin Telegram Whatsapp