Luca Mella : 3 Ottobre 2022 07:19
Autore: Dott. Luca Mella, Cyber Security Expert (founder doubleextortion.com)
Negli ultimi anni, il fenomeno del ransomware è stato tanto dirompente da influire pesantemente nelle agende di sicurezza di moltissime organizzazioni, e non solo. La brutalità delle pratiche cyber criminali della doppia estorsione ha persino influito nelle politiche di Stati Uniti e Unione Europea: questi attacchi si sono sempre più rivelati strumento di pressione geopolitica nelle dialettiche tra le nazioni del Patto Atlantico e gli stati sotto l’influenza Russa, sino a divenire strumento di cyber-rappresaglia contestuali alle operazioni militari in Ucraina.
Monitorare gli attacchi ransomware moderni, le doppie estorsioni, uno dei “game-changer” che più sta condizionando il panorama della sicurezza cibernetica mondiale e nazionale, è la ragione fondante della Ransomware Data Room, un osservatorio, un luogo virtuale dove monitorare il fenomeno del ransomware attraverso la fattualità di dati e notizie.
Prova Gratuitamente Business Log! L'Adaptive SOC italiano
Proteggi la tua azienda e ottimizza il tuo lavoro grazie al SOC di Business Log, il software leader per audit, log management e cybersicurezza realizzato in Italia. Business Log garantisce:
Informazioni e dati su tentativi di estorsione cibernetica e attacchi ransomware sono acquisiti tramite dati OSINT, notizie pubbliche, open data, ed attraverso il portale doubleextortion.com.
Report dell’Osservatorio
La Ransomware Data Room ha riscontrato evidenza di almeno 206 221 tentativi di estorsione cibernetiche e attacchi criminali operati da 21 attori di minaccia attivi nel periodo di riferimento. Il volume di attacchi registrati a Settembre è in flessione del -9.2% rispetto alla base mensile di Agosto. Durante il mese è inoltre stata riscontrata attività estorsiva da parte di una nuova gang cyber criminale: Sparta ransomware.
Le estorsioni cibernetiche monitorate dall’osservatorio sono questo mese in leggero calo rispetto alla base mensile. Gli attacchi manifestati dai gruppi cyber criminali si sono concentrati in due momenti: a ridosso del 5 e del 14 di Settembre 2022, dove sono state registrate intense attività estorsive.
L’organizzazione criminale di LockBit rimane il collettivo più attivo nel periodo colpendo aziende internazionali di packaging e nella supply chain dell’energia. Estremamente attivi anche i criminali di Alphv, che hanno portato estorsioni digitali per tutto l’arco del mese.
Nella metà del mese, di particolare rilievo, inoltre, la serie di operazioni estorsive registrate ad opera dalla gang ransomware Sparta verso numerose realtà spagnole in ambito industriale e sanitario.
Le estorsioni digitali di Settembre 2022 hanno coinvolto almeno 47 nazioni in tutto il mondo. Gli attacchi dei criminali cibernetici sono hanno colpito in maggioranza sugli Stati Uniti d’America.
Questo mese, il secondo ed il terzo posto nelle nazioni più interessate da tentativi di estorsione cyber vanno a Francia e Spagna. L’infausta classifica di Settembre ha infatti visto ricollocazioni importanti che hanno visto la Germania appena fuori dal malaugurato podio. In apparenza, i dati sulle estorsioni di Settembre sono parsi più fortunati del solito per l’Italia, che a quanto pare è stata momentaneamente posta in secondo piano durante il mese, in favore di altre nazioni europee come Olanda e Portogallo.
I verticali interessati dagli attacchi ransomware di Settembre sono stati ben 81. Le aziende governative e le pubbliche amministrazioni sono state particolarmente attaccate durante questo mese, sia italiane ed europee, come il comune italiano di Gorizia, che extra-europee come i distretti regionali canadesi.
Sono state inoltre registrate attività estorsive verso gruppi intustriali in Turchia nel settore dei beni di largo consumo, e nei verticali specializzati nella ventilazione di camere bianche, nel settore dei semiconduttori, e nel design e produzione di batterie con tecnologia al litio.
Settembre ha inoltre visto uno spiccato interesse da parte dei cyber criminali nelle strutture sanitarie, sia pubbliche che private.
Figura. Settori produttivi più impattati da estorsioni ad Settembre 2022
Tra i numerosi casi di attacco registrati a Settembre 2022, l’osservatorio ha valutato i seguenti casi di tentata doppia estorsione come di portata ed implicazione notevole per i rispettivi contesti di riferimento:
Nel mese di Settembre 2022, l’osservatorio registra le seguenti estorsioni ransomware come maggiormente rilevanti nel contesto italiano:
A livello globale, l’osservatorio segnala le seguenti casistiche ed eventi impattanti il mondo ransomware di rilievo internazionale:
Il mese di Settembre ha visto due direzioni evolutive rimarcarsi nel panorama delle minacce ransomware: la crittografia intermittente e le funzionalità di distruzione dati.
Tecniche di crittografia intermittente sono infatti state sempre più riscontrate nei campioni ransomware recenti, come ad esempio in BlackCat. I ricercatori di SentinelOne hanno infatti rilevato il sempre maggior utilizzo di queste tecniche da parte dei criminali per limitare i tempi di cifratura dei dati ed evadere i più sofisticati algoritmi anti-ranonsomware.
Discorso analogo, ma con peculiarità differenti, per le funzionalità di distruzione dati.
In particolare, dalle analisi dei ricercatori di Stairwell su BlackCat, è emerso che che alcuni dei suoi operatori criminali stanno utilizzando un nuovo strumento di esfiltrazione basato su “Exmatter”: tool che nel 2021 veniva adoperato all’interno dei circuiti di BlackMatter.
Il nuovo tool, oltre ad esfiltrare dati tramite i protocolli ftp, sftp e webDAV, include anche funzionalità di cancellazione automatica e massiva. La particolarità di questo strumento negli arsenali criminali risiede nel suo comportamento:
I metodi di cancellazione delle informazioni utilizzati dal tool sono codificati in un modulo nominato “Eraser”. Tuttavia, a discapito del nome, il reale funzionamento di questo modulo è differente dalle prime attese: viene infatti operata una corruzione dei file attraverso tecniche di mixing e swapping. Il copia ed incolla dei pezzi di file prelevati dalla coda di cancellazione mutà così i file rendendoli completamente corrotti.
Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009