Massimiliano Brolli : 28 Novembre 2021 17:57
Autore: Massimiliano Brolli
Data Pubblicazione: 29/11/2021
Group-IB (una nota azienda di threat intelligence e sicurezza informatica russa), ha stilato un elenco dei ransomware più aggressivi che hanno operato in Russia nel 2020-2021.
Si è scoperto che questi operatori di ransomware erano Dharma, Crylock, Thanos, dove ognuno di loro ha effettuato più di 300 attacchi alle attività russe.
 Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
In totale, nell’ultimo anno, il numero di attacchi ransomware in Russia è aumentato di oltre il 200% e l’importo massimo del riscatto richiesto è stato di 250 milioni di rubli (circa 3 milioni di euro).
Nel marzo di quest’anno, gli esperti avevano previsto che l’ondata di ransomware avrebbe raggiunto la Russia nel 2021. Secondo il Computer Forensics Laboratory di Group-IB, il numero di attacchi alle organizzazioni in tutto il paese è aumentato di oltre il 200% nel 2021.
Come nel resto del mondo, in Russia uno dei motivi principali della popolarità del ransomware è diventato il modello di partnership Ransomware-as-a-Service: è così che funzionano Dharma, Crylock e Thanos, ma anche altri gruppi RaaS, venuti alla cronaca per afferrati attacchi informatici in Italia (come RansomEXX, Everest, Conti), ma anche negli USA (come i defunti REvil e Darkside).
Inoltre, altri gruppi, come RTM, sempre di lingua russa, che in precedenza si erano specializzati in furti dai sistemi bancari remoti, hanno aggiunto il ransomware al loro arsenale, in modo che in caso di mancato furto di denaro, possano ottenere profitto dalle attività di ricatto sulla rete compromessa.
Gli importi del riscatto che i criminali informatici richiedono alle loro vittime in Russia dipendono sia dalle dimensioni dell’azienda che dagli appetiti degli stessi aggressori, come in tutto il resto del mondo.
L’importo medio del riscatto pagato è di 3 milioni di rubli (circa 35.000 euro), mentre come abbiamo detto, il record per l’importo massimo del riscatto richiesto nel 2021 è stato stabilito dal gruppo OldGremlin, dove si aspettavano di ricevere 250 milioni di rubli dalla vittima.
Per fare un confronto, i “tassi” nel mondo sono molto più alti: gli estorsori di Hive hanno recentemente chiesto un riscatto per un importo di 240 milioni di dollari dalla holding tedesca MediaMarkt, tale incidente ha portato ripercussioni sull’italiana MediaWorld.
Tuttavia, i ricercatori osservano che la Russia ha le sue specificità, ovvero la mancanza di informazioni pubbliche sugli attacchi ransomware riusciti e sulle loro vittime. Questo è spiegato dal fatto che le cyber-gang ransomware non utilizzano siti per pubblicare dati di aziende che si sono rifiutate di pagare il riscatto, ovvero i famosi DLS (data leak site), dove tutti i giorni, noi esperti di sicurezza, facciamo una visita per comprendere la prossima vittima violata dal ransomware
Inoltre, anche le vittime stesse, stanno facendo del loro meglio per evitare la pubblicità.
Il metodo più diffuso per il ransomware per penetrare nelle reti delle organizzazioni russe è quello di compromettere i terminal server accessibili pubblicamente utilizzando il protocollo RDP.
Quest’anno ha rappresentato fino al 60% di tutti gli attacchi informatici. Più spesso di altri, i partecipanti ai programmi partner Dharma e Crylock sono penetrati nell’infrastruttura delle aziende in modo simile.
I messaggi di phishing, in cui la posta elettronica era il principale vettore di attacco, rappresentano il 22% degli incidenti: questa tendenza ha raggiunto la Russia nel 2021.
Ad esempio, gli esperti di Group-IB hanno scoperto che il gruppo Rat Forest, ha avuto un accesso iniziale alle reti aziendali proprio tramite e-mail di phishing.
È interessante notare che nei loro attacchi gli hacker di Rat Forest hanno utilizzato software assolutamente legittimo per l’accesso remoto – RMS o TeamViewer, e invece del ransomware – un contenitore crittografico VeraCrypt, dove hanno spostato i dati importanti per le vittime e hanno chiesto un riscatto. In alcuni casi, ha raggiunto 1 milione di rubli.
Le vulnerabilità nelle applicazioni disponibili hanno anche causato molti attacchi ransomware di successo in Russia nel 2021, rappresentando il 14% degli incidenti.
Ad esempio, una vulnerabilità piuttosto vecchia ma grave, nei server Fortigate VPN (CVE-2018-13379), rimane ancora rilevante e critica per molte aziende russe.
In un incidente indagato da Group-IB, gli aggressori hanno sfruttato una vulnerabilità simile e hanno avuto accesso alla rete aziendale dell’organizzazione. Successivamente, hanno utilizzato BitLocker, uno strumento di crittografia integrato nel sistema operativo, e hanno chiesto un riscatto per la decrittazione per un importo di 20 milioni di rubli.
“Nonostante il diffuso malinteso secondo cui gli operatori di ransomware non facciano vittime in Russia, i gruppi in lingua russa e i loro partner hanno attaccato attivamente le aziende russe nel 2020-2021. Sfortunatamente, il livello generale della sicurezza informatica delle organizzazioni russe rimane estremamente basso: non è sufficiente resistere anche a ransomware poco qualificati. Spesso i metodi degli aggressori sono così semplici che alcuni attacchi avrebbero potuto essere prevenuti, ad esempio, configurando solo l’autenticazione a più fattori”
afferma Oleg Skulkin, capo del Laboratorio di informatica forense di Group-IB.
Insomma, tutto il mondo è paese e di quanto se ne dica, il ransomware porta danni ovunque, in quanto è un crimine che paga e anche tanto. Pertanto il rischio di ritorsioni feroci anche all’interno della patria Russia, vale, come si dice, la candela.
Massimiliano BrolliGli sviluppatori del gestore di password LastPass hanno avvisato gli utenti di una campagna di phishing su larga scala iniziata a metà ottobre 2025. Gli aggressori stanno inviando e-mail contenenti f...
I ricercatori di NeuralTrust hanno scoperto una vulnerabilità nel browser di ChatGPT Atlas di OpenAI. Questa volta, il vettore di attacco è collegato alla omnibox, la barra in cui gli utenti inseris...
Wordfence lancia l’allarme su una campagna malware su larga scala in cui gli aggressori stanno sfruttando vulnerabilità critiche nei popolari plugin di WordPress GutenKit e Hunk Companion. L’azie...
Un nuovo post sul dark web mette in vendita l’accesso amministrativo a un negozio online italiano basato su Magento. Prezzo: 200 dollari. Clienti e ordini in chiaro, e un rischio enorme per la sicur...
Microsoft Teams riceverà un aggiornamento a dicembre 2025 che consentirà di monitorare la posizione dei dipendenti tramite la rete Wi-Fi dell’ufficio. Secondo la roadmap di Microsoft 365 , “quan...
