fbpx
Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

Ransomware Data Room – Novembre 2022

Luca Mella : 5 Dicembre 2022 08:00

Autore: Dott. Luca Mella, Cyber Security Expert (founder doubleextortion.com)

Negli ultimi anni, il fenomeno del ransomware è stato tanto dirompente da influire pesantemente nelle agende di sicurezza di moltissime organizzazioni, e non solo. La brutalità delle pratiche cyber criminali della doppia estorsione ha persino influito nelle politiche di Stati Uniti e Unione Europea: questi attacchi si sono sempre più rivelati strumento di pressione geopolitica nelle dialettiche tra le nazioni del Patto Atlantico e gli stati sotto l’influenza Russa, sino a divenire strumento di cyber-rappresaglia contestuali alle  operazioni militari in Ucraina. 

Monitorare gli attacchi ransomware moderni, le doppie estorsioni, uno dei “game-changer” che più sta condizionando il panorama della sicurezza cibernetica mondiale e nazionale, è la ragione fondante della Ransomware Data Room, un osservatorio, un luogo virtuale dove monitorare il fenomeno del ransomware attraverso la fattualità di dati e notizie.

Metodologia

Prova la Demo di Business Log! L'Adaptive SOC italiano

Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro.

Scarica ora la Demo di Business Log per 30gg

Promo Corso CTI

Informazioni e dati su tentativi di estorsione cibernetica e attacchi ransomware sono acquisiti tramite dati OSINT, notizie pubbliche, open data, ed attraverso il portale doubleextortion.com.

Report dell’Osservatorio

  • Data Room: Gennaio 2022 (link)
  • Data Room: Febbraio 2022 (link)
  • Data Room: Marzo 2022 (link)
  • Data Room: Aprile 2022 (link)
  • Data Room: Maggio 2022 (link)
  • Data Room: Giugno 2022 (link)
  • Data Room: Luglio 2022 (link)
  • Data Room: Agosto 2022 (link)
  • Data Room: Settembre 2022 (link)
  • Data Room: Ottobre 2022 (link)

Data Room: Novembre 2022

La Ransomware Data Room ha riscontrato evidenza di almeno 302 tentativi di estorsione cibernetiche e attacchi criminali operati da 30 attori di minaccia attivi nel periodo di riferimento. Il trend in aumento degli attacchi registrati questo Novembre lambisce il +22.9% rispetto alla base mensile di Ottobre. Oltre ai tuttaltro che trascurabili volumi, sono state registrate attività estorsive da parte di nuovi attori ransomware: Play ransomware, la gang Relic e DataLeak ransomware.

Data Trends

Le estorsioni cibernetiche monitorate dall’osservatorio sono questo mese in aumento rispetto alla base mensile. Gli attacchi manifestati dai gruppi cyber criminali sono stati persistenti durante tutto l’arco del mese, con picchi di attività estorsive registrati a ridosso dei primi giorni di Novembre, in seguito alternati per tutto l’intenso il mese. 

LockBit detiene il primato del collettivo più attivo nel periodo colpendo numerose aziende internazionali. Tuttavia nel corso del mese abbiamo assistito ad una consistente ripresa delle operazioni da parte della gang ransomware LV, particolarmente attiva proprio all’inizio del mese.

Durante i picchi della seconda metà Novembre, un coppioso volume di estorsioni è stato portato a termine dalle gang BlackCat e Bianlian, dirette per lo più verso organizzazioni statunitensi ed europee.

Profilo dei tentativi di estorsione registrati nell’Ottobre 2022.

Le estorsioni digitali di Novembre 2022 hanno coinvolto almeno 61 nazioni in tutto il mondo, un numero di stati in espansione del +39.0% rispetto al quantitativo di Ottobre. Di consueto, gli attacchi dei criminali cibernetici si sono concentrati per la maggior parte verso gli Stati Uniti d’America.

Tuttavia, durante questo mese, il secondo posto della classifica finisce al di fuori dei confini Europei: a  Novembre l’India è stato il secondo paese per estorsioni. Gli stati europei non tardano però a comparire. Dopo il terzo gradino del Canada, troviamo Germania e Francia tra le vittime più colpite. 

Il dato di Novembre per l’Italia rimane cauto, il numero di attacchi è da ottava posizione. Comunque, il nostro paese rimane costantemente all’interno della top-10 nelle preferenze dei cyber criminali.

Tra le nazioni più colpite durante il mese, troviamo anche stati nel continente africano come Gambia, Uruguay, Nigeria ed Egitto. Un teatro solitamente meno presidiato dagli attaccanti di matrice criminale, la cui comparsa può significare un rafforzo degli interessi da parte degli attori operanti nell’underground cibernetico verso dati e documenti trattati dalle organizzazioni in questa delicata regione.

Nazioni più impattate da estorsioni cyber a Novembre 2022

I verticali interessati dagli attacchi ransomware di Novembre sono stati 80. Le estorsioni durante il mese hanno interessato principalmente il settore pubblico e le organizzazioni governative. Verticali estremamente sensibili per la rilevanza geopolitica dei dati trattati e dei servizi erogati. 

Molteplici gli attacchi anche verso Istituti Finanziari, Banche e Fintech, un settore  estremamente critico che nonostante le regolamentazioni, continua ad essere posto a rischio dalle estorsioni cibernetiche.

Di estremo rilievo anche i volumi di attacchi verso tre verticali chiave per le supply chain di produzione e le infrastrutture critiche: il settore del software, dei servizi digitali e delle telecomunicazioni sono all’interno della “zona rossa” di questo mese per via dell’eccezionale bersagliamento da parte crimine informatico organizzato.

Settori produttivi più impattati da estorsioni ad Novembre 2022

Osservatorio

Tra i numerosi casi di attacco registrati a Novembre 2022, l’osservatorio ha valutato i seguenti casi di tentata doppia estorsione come di portata ed implicazione notevole per i rispettivi contesti di riferimento:   

Osservatorio italiano

Nel mese di Novembre 2022, l’osservatorio registra le seguenti estorsioni ransomware come maggiormente rilevanti nel contesto italiano: 

  • I criminali russi di BlackBasta attaccano il colosso italiano della meccatronica Bitron, con impatti in Europa, Sud-America e Asia (link)
  • Hive attacca Landi Renzo, il colosso italiano dell’automotive leader nell’impistica per veicoli alimentati a GPL e Metano (link)
  • Attacco al comune di Torre del Greco da parte di attori ransomware non identificati (link)
  • Attacco alla Compagnia Valdostana delle Acque (CVA), azienda da 800 M€ che opera nella produzione di energia elettrica da fonti rinnovabili (link)
  • Attacco  ransomware al Comune di Macerata operato dalla firma criminale Royal (link)
  • Autovie Venete, concessionaria delle autostrade A4 Venezia-Trieste, A23 Palmanova-Udine Sud,A28 Portogruaro-Pordenone-Conegliano, A57 tangenziale di Mestre e della A34 Villesse Gorizia, viene colpita da un attacco ransomware non identificato (link)

Osservatorio mondiale

A livello globale, l’osservatorio segnala le seguenti casistiche ed eventi impattanti il mondo ransomware di rilievo internazionale:

  • BlackBasta attacca Genesys Aerosystems, compagnia americana produttrice di autopiloti per aereoplani commerciali ed elicotteri i cui sistemi sono stati installati in oltre 40,000 velivoli.
  • Gli affiliati di LockiBit hanno colpito il colosso Continental, leader mondiale nella produzione di pneumatici con 193 mila dipendenti. Oltre 40 TB di dati trafugati (link)
  • Revil attacca Medibank, tra i principali istituti assicurativi sanitari in Austalia con 3.9 milioni di clienti, oltre l’attacco, i criminali hanno apertamente “consigliato” di vendere le azioni della compagnia.
  • BlackBasta attacca Wilken Software Group, nota azienda tedesca produttrice di sistemi ERP per smart-cities e large enterprise.
  • Royal ransomware attacca il circuito di Silverstone in Inghilterra, il noto tracciato che regolarmente ospita la celbre tappa del campionato di Formula 1 (link)
  • ViceSociety attacca le subsidiary di Marocco e Kuwait di IKEA, il colosso multinazionale svedese dell’arredo moderno (link)

Nuove Tattiche Tecniche e Procedure (TTPs)

Durante il mese di Novembre sono stati osservati nuove attività ransomware provenienti da organizzazioni micro-criminali, meno evolute delle varianti ransomware collegate ai noti gruppi delle doppie estorsioni, ma comunque, sia per volumi, sia per diffusione, estremamente pericolose. 

Analisi recenti di Lab52 hanno mostrato che almeno 7 nuove famiglie ransomware in corso di diffusione nel micro-crimine (A.E.S.R.T, Clownic, ElevateRansom, CBTL, GetFu**ed, SLAM e AXLocker) utilizzano metodi di cifratura accumunati da due principali aspetti tecnici:

  1. Le strutture del codice sono riconducibili ai pattern di Hidden Tear, il ransomware rilasciato in forma open source nell’Agosto del 2015.
  2. In molti casi le procedure di cifratura comprendono le sole parti di crittazione simmetrica tramite chiave generata, a differenza di quanto avviene negli schemi di crittazione ransomware più avanzati, dove vengono utilizzate anche funzioni trapdoor. 

In aggiunta, alcune di queste famiglie ransomware diffuse nel micro-crimine utilizzano persino semi di generazione delle chiavi di cifratura simmetrica statici. Ciò implica che le eventuali richieste di ricatto operate da questi attori possono essere bypassate attraverso il reverse engineering e l’analisi crittografica dei campioni ransomware coinvolti negli incidenti.  

Luca Mella
Luca è un professionista della Cyber Security con una profonda passione per il mondo digitale e l’hacking. Luca è autore del progetto “doubleextortion.com”. Ha guidato il primo Computer Emergency Response Team (CERT) italiano certificato da Trusted Introducer ed insegna la malware analysis all’Università di Bologna, è un ex-membro del team “ANeSeC”, uno dei primi team italiani di cyber war-game nati nel lontano 2011.

Articoli in evidenza

Anonymous Italia risponde agli attacchi di NoName057(16). Deface contro siti russi!

Negli ultimi giorni, il collettivo hacktivista italiano Anonymous Italia ha risposto agli attacchi informatici sferrati dal gruppo filorusso NoName057(16) colpendo una serie di obiettivi russi. Gli at...

Windows sotto scacco: scoperta una vulnerabilità che bypassa tutte le attivazioni!

Gruppo di ricerca MASSGRAVE ha presentato un Exploit chiamato TSforge che consente di attivare qualsiasi versione di Windows a partire da Windows 7, nonché tutte le edizioni di Microsof...

220$ per entrare nella Polizia di Stato Italiana: l’inquietante offerta di EDRVendor

Su BreachForum un utente dallo pseudonimo EDRVendor ha venduto, dopo poche ore dall’annuncio, l’accesso ad una cassetta postale della polizia di stato italiana. Oltre alla mail viene off...

Google Scopre Triplestrength: il gruppo Ransomware che colpisce il Cloud per estrarre Criptovalute

Team di intelligence sulle minacce di Google ha reso pubblica l’informazione sul gruppo di hacker Triplestrength, finora sconosciuto, attivo dal 2020. Il gruppo è composto da poc...

NoName057(16) Cancellato da Telegram! Ma subito il “Reborn” Con Attacchi DDoS All’Italia!

I canali Telegram degli hacker filorussi di NoName057(16) sono stati eliminati da telegram. Ma subito gli attivisti ricreano nuovi canali marchiati con il suffisso “reborn“. Ma...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS

Copyright @ 2003 – 2024 REDHOTCYBER Srl
PIVA 17898011006