Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy
Red Hot Cyber Academy

Yoroi e il Sole24 ore, realizzano una dashboard sugli attacchi informatici in tempo reale.

Redazione RHC : 29 Luglio 2021 15:38

Parliamo spesso del Ransomware su questo blog, dove nel tempo abbiamo trattato diverse cyber-gang e descritto con precisione il fenomeno della RaaS (Ransomware as a Service), una organizzazione criminale piramidale, che consente oggi di violare grandi aziende e richiedere riscatti sempre più importanti.

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Partendo dal primo Ransomware della storia, ovvero Trojan AIDS, creato dal medico Joseph Popp, siamo arrivati ai tempi recenti dove il fenomeno dell’estorsione è passata dalla modalità più semplice (prima estorsione), fino alla terza.

Queste forme variopinte di estorsione possono suddividersi appunto in:

  1. Prima estorsione: prima tecnica che consente di chiedere il pagamento di un riscatto a seguito della cifratura dei dati all’interno di un sistema informatico;
  2. Seconda estorsione: qualora la vittima si rifiuti di pagare, gli affiliati prima di lanciare il ransomware esfiltrano i dati dall’organizzazione, in modo da avere un’ulteriore arma: pubblicare i loro dati sul web;
  3. Terza estorsione: questa è una novità degli ultimi tempi. Per aumentare la pressione sull’organizzazione, i criminali informatici chiamano i giornalisti e li informano dell’attacco cyber subito dopo, oppure chiamano i loro clienti e in alcuni casi è stato rilevato l’interessamento di figure apicali delle aziende ricattandole tramite informazioni sensibili prelevate all’interno del loro pc.

Ma mentre la terza estorsione viene portata avanti da cyber-gang di élite (lo abbiamo visto nell’intervista ad UNKNOWN, la voce di REvil all’interno del forum XSS), oppure da gruppi altamente sofisticati come Darkside, la seconda estorsione, nata dalla cyber-gang Maze a fine 2019, è quella che porta maggiori vantaggi ed è quella che permette grossi guadagni con un minimo sforzo. Regola principale del cybercrime da profitto.

“Gli attacchi di questo tipo rappresentano un importante cambio di paradigma in ambito estorsione digitale”

ha spiegato al Sole 24 Ore Marco Ramilli, Ceo e Founder di Yoroi (del gruppo Tinexta Cyber).

“Nati per rispondere alla rassicurante certezza della vittima offerta da moderni sistemi di backup o disaster recovery, introducono nella fase di ricatto, la pubblicazione di documenti intimi per la vittima stessa. In questo modo la vittima non solo vede i propri sistemi informativi bloccati ma anche i propri documenti condivisi in rete. Una seconda leva psicologica estremamente significativa per ogni vittima. Ma non bisogna cedere a ricatti, non dobbiamo alimentare quel mercato che devia la giustizia digitale e per questo motivo abbiamo deciso di collaborare con Il Sole 24 Ore offrendo un set di informazioni gratuite per sensibilizzare il lettore sull’enorme frequenza di minacce digitali e sul loro andamento storico in modo da incuriosire ed allertare la sua attenzione verso ciò che più è rilevante in un preciso momento”.

Il risultato della collaborazione tra il Sole 24 ore e Yoroi (una realtà tutta italiana che si occupa di intelligence delle minacce), ha prodotto una dashboard che viene aggiornata quotidianamente, la quale riporta i principali attacchi, le tendenze e le tipologie di minacce informatiche in corso.

La dashboard consente di visualizzare con un ritardo di un giorno, la situazione globale degli attacchi ransomware, dove è possibile cliccando sulla “bolla” relativa, accedere al numero corrispondente per un dato paese. E’ possibile inoltre visualizzare, partendo dal 16 di maggio, una animazione che mostra le infezioni da ransomware globali e il loro susseguirsi nel tempo.

E’ possibile anche entrare più nel dettagli andando a filtrare gli eventi per delle specifiche cyber-gang, come abbiamo fatto noi in questo caso.

Il grafico mostra gli eventi nella scala del tempo, ed infatti andando a ricercare l’attacco di REvil alla JBS del primo di giugno 2021, risulta correttamente riportato.

E’ possibile anche visualizzare il malware che avvia l’infezione con un altro grafico, anche se si vede in maniera molto netta che si tratta principalmente di file eseguibili, o downloader che poi distribuiscono successivamente il carico utile (payload) del ransomware stesso.

Infatti, le infezioni da ransomware vengono spesse avviate utilizzando un servizio RDP esposto in maniera non corretta o vulnerabile, come riportato da CoveWare e oltretutto tale sfruttamento risulta in grande aumento, pari al 768% come dalla ricerca svolta da EST.

Come abbiamo riportato nell’analisi della RaaS, negli attacchi di alto profilo, il vettore di attacco principale spesso viene acquisito dalle cyber-gang attraverso i “broker di accesso”. Si tratta di altri attori della piramide della RaaS (descritta con precisione nell’articolo di Red Hot Cyber), i quali sono specializzati in attività offensive (penetration test), avendo come unico obiettivo quello di acquisire persistenza all’interno di una rete di una organizzazione.

Tali broker rivendono alla cyber-gang questi vettori di attacco (anche a prezzi molto alti, come ad esempio 100.000 euro per una azienda di grandissime dimensioni, come richiesto recentemente nelle underground da BlackMatter), in modo che assieme ai propri “affiliati” procedono a colpire l’organizzazione, ad es-filtrare quanti più dati possibili e quindi, lanciare il ransomware (l’ultima parte del processo di attacco).

In una recente analisi svolta da Cognyte, sono state riportate le principali CVE sfruttate nel 2021, dove svettano 3 vulnerabilità critiche di Microsoft, 2 su Microsoft Windows e una su Microsoft Office:

  1. CVE-2017-0199: Microsoft Office/WordPad Remote Code Execution Vulnerability w/Windows
  2. CVE-2017-11882: Microsoft Office Memory Corruption Vulnerability
  3. CVE-2012-0158: Microsoft Windows TreeView2 ActiveX RCI in MSCOMCTL.OCX

Dove ovviamente molte di queste sono utilizzate in allegati malevoli nelle mail di phishing.

Quello che ha realizzato Yoroi assieme al Sole 24 ore, si tratta di uno strumento molto utile, probabilmente per gli esperti di settore, che può far comprendere l’andamento delle infezioni mondiali da malware.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Ma quale Agenda 2030! 9 reattori nucleari per un chatbot è l’altra faccia dell’intelligenza artificiale

Lo sviluppo di supercomputer per l’intelligenza artificiale sta entrando in una nuova orbita: in termini di scala, costi e consumi energetici e infrastrutture e megaprogetti. Uno studio condott...

25 Aprile: Dalla Resistenza alla Cyber Resistenza – Difendiamo la Libertà Digitale

Il 25 Aprile, data simbolo della Liberazione italiana dal fascismo, ci ricorda il valore della libertà, conquistata con il sacrificio di partigiani e combattenti. In un’era dominata dal di...

Le Action Figure della Cyber Security. Red Hot Cyber lancia la serie “Chiama Ammiocuggino!”

In un mondo dove ogni giorno si registrano migliaia di attacchi informatici, molte aziende continuano a sottovalutare l’importanza della cybersecurity, affidandosi a “sedicenti esperti&#...

GPT-4 scrive un exploit prima del PoC pubblico. La corsa alla Patch non è mai stata così essenziale

AI, AI e ancora AI. E sembra che l’intelligenza artificiale giorno dopo giorno ci porti innovazioni sia come difesa ma soprattutto, come attacco. L’intelligenza artificiale è gi...

HackerHood di RHC Rivela due nuovi 0day sui prodotti Zyxel

Il collettivo di ricerca in sicurezza informatica HackerHood, parte dell’universo della community di Red Hot Cyber, ha recentemente scoperto due nuove vulnerabilità ...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006