Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Ransomware Data Room – Marzo 2022

Luca Mella : 29 Marzo 2022 11:41

Autore: Dott. Luca Mella, Cyber Security Expert (founder doubleextortion.com)
Data Pubblicazione: 29/03/2022

Negli ultimi anni, il fenomeno del ransomware è stato tanto dirompente da influire pesantemente nelle agende di sicurezza di moltissime organizzazioni, e non solo. La brutalità delle pratiche cyber criminali della doppia estorsione ha persino influito nelle politiche di Stati Uniti e Unione Europea: questi attacchi si sono sempre più rivelati strumento di pressione geopolitica nelle dialettiche tra le nazioni del Patto Atlantico e gli stati sotto l’influenza Russa, sino a divenire strumento di cyber-rappresaglia contestuali alle  operazioni militari in Ucraina.

Monitorare gli attacchi ransomware moderni, le doppie estorsioni, uno dei “game-changer” che più sta condizionando il panorama della sicurezza cibernetica mondiale e nazionale, è la ragione fondante della Ransomware Data Room, un osservatorio, un luogo virtuale dove monitorare il fenomeno del ransomware attraverso la fattualità di dati e notizie.

Metodologia

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Informazioni e dati su tentativi di estorsione cibernetica e attacchi ransomware sono acquisiti tramite dati OSINT, notizie pubbliche, open data, ed attraverso il portale doubleextortion.com.

Report dell’Osservatorio

  • Data Room: Gennaio 2022 (link)
  • Data Room: Febbraio 2022 (link)

Data Room: Marzo 2022

La Ransomware Data Room ha riscontrato evidenza di almeno 219 tentativi di estorsione cibernetiche e attacchi criminali operati da 18 attori di minaccia attivi nel periodo di riferimento. Volume apparente stabile, anche se in leggero aumento rispetto ai 206 del mese precedente. 

Data Trends

Gli attacchi osservati si sono distribuiti con intensità doppia nella seconda metà del mese,  dal 12 marzo infatti è cominciata una escalation di attacchi molto violenti preceduti da dieci giorni di apparente calma, presumibilmente preparatoria a quanto sarebbe avvenuto.

I picchi di attività principali si sono manifestati il 13 Marzo e dopo il 20 Marzo. Guidati dai gruppi cyber criminali LockBit e Hive gli attacchi sono stati di particolare ferocia: quest’ultimo rimasto pressoché silente per giorni prima dell’hackeraggio alle infrastrutture di Ferrovie dello Stato Italiane, mentre il primo si concentrava su aziende ed enti di medie e piccole dimensioni, a comporre una sorta di continuum offensivo verso i suoi bersagli.

Figura. Profilo dei tentativi di estorsione registrati nel Marzo 2022.

Il bilancio degli attacchi a doppia estorsione di Marzo 2022 è inclemente: ben 46 nazioni coinvolte dagli attacchi, cinque stati in più rispetto alle operazioni cyber criminali registrate nel mese precedente.

Il volume degli attacchi che hanno insistito sui tessuti socio-economici delle nazioni impattate è significativo: se analizziamo i bersagli delle operazioni cyber criminali, Stati Uniti esclusi, il successivo Paese per volume di attacchi subiti è proprio l’Italia, che si posiziona così al secondo posto in questa infausta graduatoria.

La flessione negli attacchi verso le organizzazioni italiane ha impattato direttamente su enti locali ed infrastrutture nazionali, alimentando uno scenario che desta non poche preoccupazioni per il futuro (link) e che cela interrogativi ancor più oscuri: nel mese di Marzo 2022 l’Italia è stata oggetto di ammonimenti diretti da parte del Ministro degli Esteri russo, una sorta di minaccia non per nulla velata, conforme all’ormai noto stile comunicativo del Cremlino. Non è affatto da escludere che l’intensificazione degli attacchi cyber criminali sia un elemento nella scacchiera internazionale potenzialmente utile ad avvalorare le promesse di “conseguenze irreversibili” che il nostro Paese ha ricevuto per via della posizione nei confronti dell’invasione in Ucraina. 

Figura. Nazioni più impattate da estorsioni cyber a Marzo 2022

I verticali colpiti dalle estorsioni sono stati 59. Le aziende di produzione e trasformazione del manifatturiero continuano ad essere pesantemente bersagliate dagli attacchi a doppia estorsione. In questi contesti, non è raro che la trasformazione digitale dei processi produttivi sia stata attuata con logiche di sicurezza e segregazione funzionali agli scenari di rischio pre-covid.

Tuttavia, la maggiore concentrazione delle estorsioni cyber criminali osservata a Marzo 2022 riserva un ulteriore elemento distintivo: al secondo posto tra i bersagli più colpiti vi sono gli enti pubblici e le agenzie governative. Anche se le istituzioni, specie quelle locali, sono da sempre tra gli immancabili bersagli delle estorsioni cyber, la concentrazione degli attacchi non era mai stata così pronunciata. Le possibili ragioni dietro a questa intensificazione possono celarsi nel legame indiretto tra i vertici di varie organizzazioni malavitose del digitale, la larga base filo-russa di affiliati e operatori cyber criminali, e le spiccate polarizzazioni manifestatesi dopo l’invasione russa in Ucraina, affiancata da fortissime campagne di propaganda guidate da Mosca.

Figura. Settori produttivi più impattati da estorsioni a Marzo 2022

Osservatorio

Tra i numerosi casi di attacco registrati a Marzo 2022, l’osservatorio ha valutato i seguenti casi di tentata doppia estorsione come di portata ed implicazione notevole per i rispettivi contesti di riferimento:  

Osservatorio italiano

Nel mese di Marzo 2022, l’osservatorio registra le seguenti estorsioni ransomware come maggiormente rilevanti nel contesto italiano:

  • L’operazione di attacco ed estorsione compiuta dal gruppo Hive ai danni delle Ferrovie dello Stato Italiano, asset strategico per il paese ed infrastruttura critica nazionale (link)
  • Il furto di dati ed estorsioni all’agenzia ambientale della Regione Marche (ARPAM), condotti da affiliati alla gang criminale LockBit (link)
  • Estorsione ai danni dell’associazione provinciale degli Confindustria Caserta, ente che coordina e promuove lo sviluppo di 150mila imprese nel territorio locale (link)
  • ISMEA, Istituto di Servizi per il Mercato Agricolo Alimentare, ente pubblico che gestisce servizi informativi, assicurativi e finanziari per le imprese agricole è stata colpita dagli attacchi di LockBit (link)
  • Le amministrazioni locali del Comune di Villafranca, nel padovano, ed Alcamo in Sicilia, sono stati cifrati dai criminali informatici di LockBit (link, link)

Osservatorio mondiale

A livello globale, l’osservatorio segnala le seguenti casistiche ed eventi impattanti il mondo ransomware di rilievo internazionale:

  • Il gigante della componentistica dell’automotive DENSO è stato colpito da PandoraLocker (link). L’attacco non è però l’unico. A Dicembre 2021, la gang criminale Rook aveva riportato una estorsione alle subsidiary messicana di DENSO, accompagnata da 1.1 TB di dati rubati.
  • Bridgestone, un altro colosso nell’automotive, partner storico e fornitore dei circuiti gare della Formula 1 colpito dalle doppie estorsioni di LockBit (link)
  • La gang cyber criminale Lapsus viola NVIDIA, tenta la vendita di 1TB di dati e pubblica codici sorgenti riservati (link)
  • Hacker criminali attaccano il colosso russo Miratorg ed impattano l’emissione di certificati veterinari elettronici, condizione che rende necessario l’intervento del Rosselkhoznadzor (Россельхознадзор), ente federale di supervisione veterinaria e fitosanitaria “al fine di prevenire la crescita dei prezzi di un gruppo di beni prodotti dalla holding Miratorg e la speculazione di questi beni da parte di intermediari senza scrupoli” (link)

Nuove Tattiche Tecniche e Procedure (TTPs)

In questo mese, sono emersi elementi netti che indicano il potenziamento dei vettori supply chain da parte degli attaccanti cyber criminali. Ad esempio, la gang Lapsus ha attivato un programma di reclutamento di insider mirato sia ai dipendenti dei grandi gruppi industriali e del software, sia alla pletora di fornitori che possono fornire accessi, anche limitati, a risorse aziendali com VPN, Terminal Server o VDI.

Luca Mella
Luca è un professionista della Cyber Security con una profonda passione per il mondo digitale e l’hacking. Luca è autore del progetto “doubleextortion.com”. Ha guidato il primo Computer Emergency Response Team (CERT) italiano certificato da Trusted Introducer ed insegna la malware analysis all’Università di Bologna, è un ex-membro del team “ANeSeC”, uno dei primi team italiani di cyber war-game nati nel lontano 2011.

Lista degli articoli

Articoli in evidenza

Ma quale Agenda 2030! 9 reattori nucleari per un chatbot è l’altra faccia dell’intelligenza artificiale

Lo sviluppo di supercomputer per l’intelligenza artificiale sta entrando in una nuova orbita: in termini di scala, costi e consumi energetici e infrastrutture e megaprogetti. Uno studio condott...

25 Aprile: Dalla Resistenza alla Cyber Resistenza – Difendiamo la Libertà Digitale

Il 25 Aprile, data simbolo della Liberazione italiana dal fascismo, ci ricorda il valore della libertà, conquistata con il sacrificio di partigiani e combattenti. In un’era dominata dal di...

Le Action Figure della Cyber Security. Red Hot Cyber lancia la serie “Chiama Ammiocuggino!”

In un mondo dove ogni giorno si registrano migliaia di attacchi informatici, molte aziende continuano a sottovalutare l’importanza della cybersecurity, affidandosi a “sedicenti esperti&#...

GPT-4 scrive un exploit prima del PoC pubblico. La corsa alla Patch non è mai stata così essenziale

AI, AI e ancora AI. E sembra che l’intelligenza artificiale giorno dopo giorno ci porti innovazioni sia come difesa ma soprattutto, come attacco. L’intelligenza artificiale è gi...

HackerHood di RHC Rivela due nuovi 0day sui prodotti Zyxel

Il collettivo di ricerca in sicurezza informatica HackerHood, parte dell’universo della community di Red Hot Cyber, ha recentemente scoperto due nuove vulnerabilità ...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006