Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Ransomware data Room – Maggio 2022

Luca Mella : 29 Maggio 2022 22:44

Autore: Dott. Luca Mella, Cyber Security Expert (founder doubleextortion.com)
Data Pubblicazione: 01/06/2022

Negli ultimi anni, il fenomeno del ransomware è stato tanto dirompente da influire pesantemente nelle agende di sicurezza di moltissime organizzazioni, e non solo. La brutalità delle pratiche cyber criminali della doppia estorsione ha persino influito nelle politiche di Stati Uniti e Unione Europea: questi attacchi si sono sempre più rivelati strumento di pressione geopolitica nelle dialettiche tra le nazioni del Patto Atlantico e gli stati sotto l’influenza Russa, sino a divenire strumento di cyber-rappresaglia contestuali alle  operazioni militari in Ucraina. 

Monitorare gli attacchi ransomware moderni, le doppie estorsioni, uno dei “game-changer” che più sta condizionando il panorama della sicurezza cibernetica mondiale e nazionale, è la ragione fondante della Ransomware Data Room, un osservatorio, un luogo virtuale dove monitorare il fenomeno del ransomware attraverso la fattualità di dati e notizie.

Metodologia

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Informazioni e dati su tentativi di estorsione cibernetica e attacchi ransomware sono acquisiti tramite dati OSINT, notizie pubbliche, open data, ed attraverso il portale doubleextortion.com.

Report dell’Osservatorio

  • Data Room: Gennaio 2022 (link)
  • Data Room: Febbraio 2022 (link)
  • Data Room: Marzo 2022 (link)
  • Data Room: Aprile 2022 (link)

Data Room: Maggio 2022

La Ransomware Data Room ha riscontrato evidenza di almeno 178 tentativi di estorsione cibernetiche e attacchi criminali operati da 20 attori di minaccia attivi nel periodo di riferimento. Il volume di attacchi registrati a Maggio è in calo del 29% sulla base mensile di Aprile. E’ stata inoltre riscontrata attività offensiva di due nuovi gruppi all’interno del panorama cyber criminale (Cheers e Mindware).  

Data Trends

Le estorsioni cibernetiche monitorate in questo mese si sono articolate in tre momenti. Nella prima settimana del mese i gruppi criminali hanno mantenuto un ritmo di attacco sostenuto, culminato con il picco del 6 Maggio 2022. Mentre la seconda metà, è stata caratterizzata da due momenti ad  intensità crescente intorno al 16 ed al 24 di Maggio. 

Le operazioni criminali di Everest, BlackByte ed in nuovo BlackBasta hanno insistito pesantemente nella prima offensiva del 6 Maggio, colpendo incessantemente e costringendo aziende ed ospedali a fermi delle operazioni. Intorno al 16 Maggio, invece, gli attacchi si sono intensificati a causa dell’insistenza di LockBit verso aziende italiane e giapponesi. Il picco del 24 Maggio è stato caratterizzato da operazioni differenti, Conti e Snatch hanno compromesso organizzazioni di elevata diversa caratura, compreso il gruppo francese Hemeria, fornitore di sistemi ad alta tecnologia e microsatelliti per le forze armate.  

Figura. Profilo dei tentativi di estorsione registrati nell’Maggio 2022.

Il bilancio degli attacchi a doppia estorsione di Maggio 2022 ha coinvolto 34 nazioni, leggermente inferiore rispetto al mese di Marzo ed Aprile, ad indicare una ulteriore concentrazione delle attività nei paesi coinvolti.

Dopo gli Stati Uniti, troviamo una espansione degli attacchi verso le imprese tedesce, al secondo posto globale, ed a seguire l’Italia, che continua a posizionarsi sempre tra le prime nazioni attaccate, a parimeritro con il Regno Unito. 

Figura. Nazioni più impattate da estorsioni cyber ad Maggio 2022

I verticali colpiti dalle estorsioni di Maggio sono stati 78: numerosissimi gli attacchi portati ai sistemi sanitari pubblici, a cliniche private, ospedali, aziende sanitarie ed ambulatori.

Gli attacchi sono stati pesantemente diretti anche verso i settori dei servizi informatici, ai produttori di software, ai provider di soluzioni ed ai system integrator, una parte estremamente delicata dalla supply chain di moltissime organizzazioni, spesso con livelli di accesso privilegiati alle infrastrutture informatiche aziendali, ai dati trattati e potenzialmente anche a segreti industriali.

Il settore del Food, altra tipica eccellenza italiana, è stato anch’esso colpito più volte dalle estorsioni cyber criminali posizionandosi nella “zona rossa” del grafico. 

Benchè meno colpiti, anche in settore dell’Automotive, del Banking e dell’industria Aerospaziale e della Difesa sono stati bersagliati più del solito dagli attacchi criminali, nonostante la grande maturità di questi settori, gli attacchi hanno penetrato le difese delle aziende, bloccato i sistemi e trafugato preziose informazioni. 

Figura. Settori produttivi più impattati da estorsioni ad Maggio 2022

Osservatorio

Tra i numerosi casi di attacco registrati a Maggio 2022, l’osservatorio ha valutato i seguenti casi di tentata doppia estorsione come di portata ed implicazione notevole per i rispettivi contesti di riferimento:   

Osservatorio italiano

Nel mese di Maggio 2022, l’osservatorio registra le seguenti estorsioni ransomware come maggiormente rilevanti nel contesto italiano: 

  • Everest, gang criminale autrice delle estorsioni a SIAE, ha messo in vendita dati di un noto fornitore di macchinari industriali particolarmente presente nella filiera dell’automotive italiana (link)
  • Alphv/BlackCat mette sotto estorsione l’italiana Tecnopack, leader nella produzione di macchinari per i colossi dell’industria alimentare mondiale (link
  • BlackByte attacca i servizi sanitari del nord Italia. I sistemi di ATS Insubria, dipartimento della sanità pubblica del Varesano, vengono bloccati dalla gang criminale (link)  
  • L’ospedale Fatebenefratelli Sacco di Miliano è attaccato da ransomware criminale, rimane bloccato per giorni (link

Osservatorio mondiale

A livello globale, l’osservatorio segnala le seguenti casistiche ed eventi impattanti il mondo ransomware di rilievo internazionale:

  • Il gruppo ospedaliero belga Vivalia è stato colpito da LockBit, sono stati impattati i servizi sanitari di 47 comuni, per lo più nella provincia del Lussemburgo (link)
  • Conti attacca gli enti governativi del Perù. Compromessa la Direzione Generale dell’Intelligence, DIGIMIN. (link
  • Conti mette in ginocchio il Costa Rica che dichiara lo stato di emergenza dopo aver subito attacchi ransomware a diverse agenzie governative (link
  • ACGO, colosso quotato al NYSE, primo produttore di macchinari agricoli statunitensi, ha subito un pesante attacco ransomware che ha portato a fermi produzione e perdità di proprietà intellettuale (link

Nuove Tattiche Tecniche e Procedure (TTPs)

Nel mese di Maggio 2022 la gang criminale LockBit ha rilasciato una nuova versione del suo ransomware: “LockBit Black”. La precedente versione, LockBit 2.0 era stata rilasciata quasi un anno fa, a metà del 2021, versione che è stata accompagnata anche dal cambio di paradigma dell’organizzazione criminale che nell’occasione migrò alle pratiche di doppia  estorsione.

LockBit Black, o LockBit3, rivela una evoluzione molto preoccupante nei livelli di maturità del malware usato dai criminali. Le funzionalità offensive supportate dalla nuova versione sono di fatti aumentate in maniera preoccupante. Dalle prime indiscrezione pare che gli sforzi degli sviluppatori di LockBit siano stati concentrati su due direttrici: 

  • L’aumento della velocità di cifratura e la massimizzazione del danno, ad esempio attraverso nuove modalità di encryption. LockBit già toccava quasi i 400 MB/s nel 2021, posizionandosi come lo strumento ransomware più veloce, le nuove modalità rilasciate accellerano ulteriormente questa performance rendendo LockBit3 ancora più pericoloso.
  • L’automazione dei playbook offensivi, sempre più in capo al ransomware che ne agli affliliati. Infatti, LockBit Black include più opzioni di Lateral Movement (TA0008) e Defense Evasion (TA0005) configurabili in modalità automatica, come ad esempio la posibilità di disabilitare Microsoft Defender, rimuovere i log degli eventi dal sistema, effettuare in wiping delle porzioni di disco inutilizzate per rendere difficoltose le analisi di forensic, ed auto propagarsi anche con PsExec, celebre strumento di amministrazione remota di Sysinternal.  
Opzioni “LockBit2.0”
Opzioni “LockBit2.0”

Luca Mella
Luca è un professionista della Cyber Security con una profonda passione per il mondo digitale e l’hacking. Luca è autore del progetto “doubleextortion.com”. Ha guidato il primo Computer Emergency Response Team (CERT) italiano certificato da Trusted Introducer ed insegna la malware analysis all’Università di Bologna, è un ex-membro del team “ANeSeC”, uno dei primi team italiani di cyber war-game nati nel lontano 2011.

Articoli in evidenza

Dentro le Reti Wireless IEEE 802.11: Architettura e Segnale Wi-Fi

Le reti wireless IEEE 802.11, meglio note come Wi-Fi, sono il cuore pulsante della connettività moderna. Da soluzione di nicchia per uso domestico a pilastro tecnologico per l’Internet del...

X va Offline per un Attacco DDoS di Dark Storm. Elon Musk: “Gruppo Numeroso e Coordinato”

X, la piattaforma di social media precedentemente nota come Twitter, nella giornata di oggi è rimasta offline per diverso tempo. Secondo Downdetector.com, X ha riscontrato per la prima volta...

Crazyhunter: il nuovo ransomware con il “Sistema di Annientamento Dati Tridimensionale”

Nelle ricognizioni nel mondo dell’underground e dei gruppi criminali svolte dal laboratorio di intelligence delle minacce DarkLab di Red Hot Cyber, ci siamo imbattuti all’interno di un D...

Due mesi alla RHC Conference 2025! Grazie ai nostri Sponsor per aver reso questo evento possibile!

Mancano solo due mesi alla quarta edizione della Red Hot Cyber Conference 2025, l’evento annuale gratuito organizzato dalla community di Red Hot Cyber. La conferenza si terrà a Roma, come ...

Siti Italiani Presi di Mira! Il Deface di !FAKESITE e il Lato Oscuro dell’Hacktivismo

Negli ultimi giorni, diversi siti web italiani sono stati presi di mira da un attacco di defacement, una tecnica utilizzata per modificare il contenuto di una pagina web senza il consenso del propriet...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS

Copyright @ REDHOTCYBER Srl
PIVA 17898011006