Luca Mella : 5 Dicembre 2022 08:00
Autore: Dott. Luca Mella, Cyber Security Expert (founder doubleextortion.com)
Negli ultimi anni, il fenomeno del ransomware è stato tanto dirompente da influire pesantemente nelle agende di sicurezza di moltissime organizzazioni, e non solo. La brutalità delle pratiche cyber criminali della doppia estorsione ha persino influito nelle politiche di Stati Uniti e Unione Europea: questi attacchi si sono sempre più rivelati strumento di pressione geopolitica nelle dialettiche tra le nazioni del Patto Atlantico e gli stati sotto l’influenza Russa, sino a divenire strumento di cyber-rappresaglia contestuali alle operazioni militari in Ucraina.
Monitorare gli attacchi ransomware moderni, le doppie estorsioni, uno dei “game-changer” che più sta condizionando il panorama della sicurezza cibernetica mondiale e nazionale, è la ragione fondante della Ransomware Data Room, un osservatorio, un luogo virtuale dove monitorare il fenomeno del ransomware attraverso la fattualità di dati e notizie.
FINO AL 31 DICEMBRE, sconti estremi sui corsi Red Hot Cyber
Affrettati!
Fino al 31 dicembre potrai acquistare a prezzi scontati i nostri corsi cliccando sui seguenti coupon:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Informazioni e dati su tentativi di estorsione cibernetica e attacchi ransomware sono acquisiti tramite dati OSINT, notizie pubbliche, open data, ed attraverso il portale doubleextortion.com.
Report dell’Osservatorio
La Ransomware Data Room ha riscontrato evidenza di almeno 302 tentativi di estorsione cibernetiche e attacchi criminali operati da 30 attori di minaccia attivi nel periodo di riferimento. Il trend in aumento degli attacchi registrati questo Novembre lambisce il +22.9% rispetto alla base mensile di Ottobre. Oltre ai tuttaltro che trascurabili volumi, sono state registrate attività estorsive da parte di nuovi attori ransomware: Play ransomware, la gang Relic e DataLeak ransomware.
Le estorsioni cibernetiche monitorate dall’osservatorio sono questo mese in aumento rispetto alla base mensile. Gli attacchi manifestati dai gruppi cyber criminali sono stati persistenti durante tutto l’arco del mese, con picchi di attività estorsive registrati a ridosso dei primi giorni di Novembre, in seguito alternati per tutto l’intenso il mese.
LockBit detiene il primato del collettivo più attivo nel periodo colpendo numerose aziende internazionali. Tuttavia nel corso del mese abbiamo assistito ad una consistente ripresa delle operazioni da parte della gang ransomware LV, particolarmente attiva proprio all’inizio del mese.
Durante i picchi della seconda metà Novembre, un coppioso volume di estorsioni è stato portato a termine dalle gang BlackCat e Bianlian, dirette per lo più verso organizzazioni statunitensi ed europee.
Le estorsioni digitali di Novembre 2022 hanno coinvolto almeno 61 nazioni in tutto il mondo, un numero di stati in espansione del +39.0% rispetto al quantitativo di Ottobre. Di consueto, gli attacchi dei criminali cibernetici si sono concentrati per la maggior parte verso gli Stati Uniti d’America.
Tuttavia, durante questo mese, il secondo posto della classifica finisce al di fuori dei confini Europei: a Novembre l’India è stato il secondo paese per estorsioni. Gli stati europei non tardano però a comparire. Dopo il terzo gradino del Canada, troviamo Germania e Francia tra le vittime più colpite.
Il dato di Novembre per l’Italia rimane cauto, il numero di attacchi è da ottava posizione. Comunque, il nostro paese rimane costantemente all’interno della top-10 nelle preferenze dei cyber criminali.
Tra le nazioni più colpite durante il mese, troviamo anche stati nel continente africano come Gambia, Uruguay, Nigeria ed Egitto. Un teatro solitamente meno presidiato dagli attaccanti di matrice criminale, la cui comparsa può significare un rafforzo degli interessi da parte degli attori operanti nell’underground cibernetico verso dati e documenti trattati dalle organizzazioni in questa delicata regione.
I verticali interessati dagli attacchi ransomware di Novembre sono stati 80. Le estorsioni durante il mese hanno interessato principalmente il settore pubblico e le organizzazioni governative. Verticali estremamente sensibili per la rilevanza geopolitica dei dati trattati e dei servizi erogati.
Molteplici gli attacchi anche verso Istituti Finanziari, Banche e Fintech, un settore estremamente critico che nonostante le regolamentazioni, continua ad essere posto a rischio dalle estorsioni cibernetiche.
Di estremo rilievo anche i volumi di attacchi verso tre verticali chiave per le supply chain di produzione e le infrastrutture critiche: il settore del software, dei servizi digitali e delle telecomunicazioni sono all’interno della “zona rossa” di questo mese per via dell’eccezionale bersagliamento da parte crimine informatico organizzato.
Tra i numerosi casi di attacco registrati a Novembre 2022, l’osservatorio ha valutato i seguenti casi di tentata doppia estorsione come di portata ed implicazione notevole per i rispettivi contesti di riferimento:
Nel mese di Novembre 2022, l’osservatorio registra le seguenti estorsioni ransomware come maggiormente rilevanti nel contesto italiano:
A livello globale, l’osservatorio segnala le seguenti casistiche ed eventi impattanti il mondo ransomware di rilievo internazionale:
Durante il mese di Novembre sono stati osservati nuove attività ransomware provenienti da organizzazioni micro-criminali, meno evolute delle varianti ransomware collegate ai noti gruppi delle doppie estorsioni, ma comunque, sia per volumi, sia per diffusione, estremamente pericolose.
Analisi recenti di Lab52 hanno mostrato che almeno 7 nuove famiglie ransomware in corso di diffusione nel micro-crimine (A.E.S.R.T, Clownic, ElevateRansom, CBTL, GetFu**ed, SLAM e AXLocker) utilizzano metodi di cifratura accumunati da due principali aspetti tecnici:
In aggiunta, alcune di queste famiglie ransomware diffuse nel micro-crimine utilizzano persino semi di generazione delle chiavi di cifratura simmetrica statici. Ciò implica che le eventuali richieste di ricatto operate da questi attori possono essere bypassate attraverso il reverse engineering e l’analisi crittografica dei campioni ransomware coinvolti negli incidenti.
Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009