Ransomware Data Room – Settembre 2022

Luca Mella : 3 Ottobre 2022 07:19

Autore: Dott. Luca Mella, Cyber Security Expert (founder doubleextortion.com)

Negli ultimi anni, il fenomeno del ransomware è stato tanto dirompente da influire pesantemente nelle agende di sicurezza di moltissime organizzazioni, e non solo. La brutalità delle pratiche cyber criminali della doppia estorsione ha persino influito nelle politiche di Stati Uniti e Unione Europea: questi attacchi si sono sempre più rivelati strumento di pressione geopolitica nelle dialettiche tra le nazioni del Patto Atlantico e gli stati sotto l’influenza Russa, sino a divenire strumento di cyber-rappresaglia contestuali alle  operazioni militari in Ucraina. 

Monitorare gli attacchi ransomware moderni, le doppie estorsioni, uno dei “game-changer” che più sta condizionando il panorama della sicurezza cibernetica mondiale e nazionale, è la ragione fondante della Ransomware Data Room, un osservatorio, un luogo virtuale dove monitorare il fenomeno del ransomware attraverso la fattualità di dati e notizie.

Metodologia

Informazioni e dati su tentativi di estorsione cibernetica e attacchi ransomware sono acquisiti tramite dati OSINT, notizie pubbliche, open data, ed attraverso il portale doubleextortion.com.

Report dell’Osservatorio

• Data Room: Gennaio 2022 (link)
• Data Room: Febbraio 2022 (link)
• Data Room: Marzo 2022 (link)
• Data Room: Aprile 2022 (link)
• Data Room: Maggio 2022 (link)
• Data Room: Giugno 2022 (link)
• Data Room: Luglio 2022 (link)
• Data Room: Agosto 2022 (link)

Data Room: Settembre 2022

La Ransomware Data Room ha riscontrato evidenza di almeno 206 221 tentativi di estorsione cibernetiche e attacchi criminali operati da 21 attori di minaccia attivi nel periodo di riferimento. Il volume di attacchi registrati a Settembre è in flessione del -9.2% rispetto alla base mensile di Agosto. Durante il mese è inoltre stata riscontrata attività estorsiva da parte di una nuova gang cyber criminale: Sparta ransomware.

Data Trends

Le estorsioni cibernetiche monitorate dall’osservatorio sono questo mese in leggero calo rispetto alla base mensile. Gli attacchi manifestati dai gruppi cyber criminali si sono  concentrati in due momenti: a ridosso del 5 e del 14 di Settembre 2022, dove sono state registrate intense attività estorsive. 

L’organizzazione criminale di LockBit rimane il collettivo più attivo nel periodo colpendo aziende internazionali di packaging e nella supply chain dell’energia. Estremamente attivi anche i criminali di Alphv, che hanno portato estorsioni digitali per tutto l’arco del mese.  

Nella metà del mese, di particolare rilievo, inoltre, la serie di operazioni estorsive registrate ad opera dalla gang ransomware Sparta verso numerose realtà spagnole in ambito industriale e sanitario.

Le estorsioni digitali di Settembre 2022 hanno coinvolto almeno 47 nazioni in tutto il mondo. Gli attacchi dei criminali cibernetici sono hanno colpito in maggioranza sugli Stati Uniti d’America.

Questo mese, il secondo ed il terzo posto nelle nazioni più interessate da tentativi di estorsione cyber vanno  a Francia e Spagna. L’infausta classifica di Settembre ha infatti visto ricollocazioni importanti che hanno visto la Germania appena fuori dal malaugurato podio. In apparenza, i dati sulle estorsioni di Settembre sono parsi più fortunati del solito per l’Italia, che a quanto pare è stata momentaneamente posta in secondo piano durante il mese, in favore di altre nazioni europee come Olanda e Portogallo.

I verticali interessati dagli attacchi ransomware di Settembre sono stati ben 81. Le aziende governative e le pubbliche amministrazioni sono state particolarmente attaccate durante questo mese, sia italiane ed europee, come il comune italiano di Gorizia, che extra-europee come i distretti regionali canadesi.

Sono state inoltre registrate attività estorsive verso gruppi intustriali in Turchia nel settore dei beni di largo consumo, e nei verticali specializzati nella ventilazione di camere bianche, nel settore dei semiconduttori, e nel design e produzione di batterie con tecnologia al litio.

Settembre ha inoltre visto uno spiccato interesse da parte dei cyber criminali nelle strutture sanitarie, sia pubbliche che private.

Figura. Settori produttivi più impattati da estorsioni ad Settembre 2022

Osservatorio

Tra i numerosi casi di attacco registrati a Settembre 2022, l’osservatorio ha valutato i seguenti casi di tentata doppia estorsione come di portata ed implicazione notevole per i rispettivi contesti di riferimento:   

Osservatorio italiano

Nel mese di Settembre 2022, l’osservatorio registra le seguenti estorsioni ransomware come maggiormente rilevanti nel contesto italiano: 

• La gang filo russa Stormus pone sotto estorsione cibernetica l’Università Tor Vergata (link)
• Affiliati di Lockbit attaccano l’italiana Canarbino, compagnia tra i leader nazionali nell’energia (link)
• Lockbit attacca e pone sotto estorsione Your Private Italy, azienda specializzata nel turismo di lusso in Italia (link)
• Alia Servizi Ambientali S.p.A., azienda che si occupa della raccolta dei rifiuti in in 59 comuni toscani, segnala una tentata intrusione collegata ad operatori ransomware (link)
• I criminali di LockBit  attaccano il Comune di Gorizia (link)

Osservatorio mondiale

A livello globale, l’osservatorio segnala le seguenti casistiche ed eventi impattanti il mondo ransomware di rilievo internazionale:

• TAP airlines, tra le principali compagnie aeree portoghesi, è stata posta sotto estorsione dai criminali di RagnarLocker (link)
• I criminali di Alphv hanno attaccato e posto sotto estorsione l’organismo no profit Associazione Caritas tedesca (link)
• La gang Yanlowang pubblica i dati rubati del colosso Cisco a seguito della tentata estorsione (link)
• Eneva, uno dei maggiori operatori Oil & Gas brasiliani è stato vittima di cyber estorsioni da parte di LockBit
• La taiwanese Phoenix Silicon International è stata colpita da Lockbit, il gruppo è specializzato nel design e la produzione di batterie al litio.
• South Pacific, società che opera il più grande terminal LPG nelle Filippine, è stata colpita dagli operatori di BlackByte.
• L’agenzia Africana per il controllo del traffico aereo (ASECNA) è stata attaccata da LockBit

Nuove Tattiche Tecniche e Procedure (TTPs)

Il mese di Settembre ha visto due direzioni evolutive rimarcarsi nel panorama delle minacce ransomware: la crittografia intermittente e le funzionalità di distruzione dati.

Tecniche di crittografia intermittente sono infatti state sempre più riscontrate nei campioni ransomware recenti, come ad esempio in BlackCat. I ricercatori di SentinelOne hanno infatti rilevato il sempre maggior utilizzo di queste tecniche da parte dei criminali per limitare i tempi di cifratura dei dati ed evadere i più sofisticati algoritmi anti-ranonsomware. 

Discorso analogo, ma con peculiarità differenti, per le funzionalità di distruzione dati.

In particolare, dalle analisi dei ricercatori di Stairwell su BlackCat, è emerso che che alcuni dei suoi operatori criminali stanno utilizzando un nuovo strumento di esfiltrazione basato su “Exmatter”: tool che nel 2021 veniva adoperato all’interno dei circuiti di BlackMatter.

Il nuovo tool, oltre ad esfiltrare dati tramite i protocolli ftp, sftp e webDAV, include anche funzionalità di cancellazione automatica e massiva. La particolarità di questo strumento negli arsenali criminali risiede nel suo comportamento: 

• prima, inserisce i file in una coda di upload diretta verso le infrastrutture di esfiltrazione operate dal criminali; 
• subito dopo il caricamento, il tool inserisce i file in una ulteriore coda, questa volta di cancellazione.

I metodi di cancellazione delle informazioni utilizzati dal tool sono codificati in un modulo nominato “Eraser”. Tuttavia, a discapito del nome, il reale funzionamento di questo modulo è differente dalle prime attese: viene infatti operata una corruzione dei file attraverso tecniche di mixing e swapping. Il copia ed incolla dei pezzi di file prelevati dalla coda di cancellazione mutà così i file rendendoli completamente corrotti.