Redazione RHC : 19 Novembre 2023 08:42
Resecurity ha identificato un aumento allarmante degli operatori di ransomware che prendono di mira il settore energetico, compresi gli impianti nucleari e i relativi enti di ricerca. Nell’ultimo anno, gli aggressori di ransomware hanno preso di mira installazioni energetiche in Nord America, Asia e Unione Europea. Nell’UE, Handelsblatt ha riferito che gli attacchi ransomware contro il settore energetico sono più che raddoppiati nel 2022 rispetto all’anno precedente, con i difensori che hanno registrato 21 attacchi nello scorso ottobre.
Dopo un breve “cessate il fuoco” settoriale seguito all’attacco ransomware Colonial Pipeline del 2021, i criminali informatici stanno ancora una volta prendendo di mira obiettivi del settore energetico. Gli autori delle minacce ritengono che il sequestro delle risorse di Infrastruttura Critica (CI) di maggior valore gestite da queste aziende produrrà pagamenti più redditizi nelle trattative di riscatto. I fattori che rendono le aziende energetiche più vulnerabili agli attacchi ransomware includono le complessità nella convergenza delle reti IT e di tecnologia operativa (OT), i rischi di terze parti e la storica frammentazione geopolitica.
Nel contesto dei conflitti in Ucraina e Gaza, Resecurity ha anche osservato casi sospetti di attività di spionaggio sponsorizzate dallo stato mascherate da attacchi ransomware a sfondo finanziario. Sebbene le entità israeliane non abbiano ancora segnalato alcun attacco ransomware significativo, lo scoppio della guerra a Gaza in ottobre ha fomentato un aumento simultaneo dell’attività di autori di minacce contro le installazioni energetiche israeliane. Questa attività include campagne di hacktivisti orientate alla propaganda, insieme ad attori di minacce più gravi come Storm-1133, un gruppo inizialmente segnalato dai ricercatori sulle minacce di Microsoft.
Prova Gratuitamente Business Log! L'Adaptive SOC italiano
Proteggi la tua azienda e ottimizza il tuo lavoro grazie al SOC di Business Log, il software leader per audit, log management e cybersicurezza realizzato in Italia. Business Log garantisce:
La ricerca di Resecurity approfondisce le tendenze uniche dei ransomware citate dal Dipartimento per la sicurezza nazionale nel loro recente studio Intelligence Enterprise Homeland Threat Assessment. “Tra gennaio 2020 e dicembre 2022, il numero di attacchi ransomware noti negli Stati Uniti è aumentato del 47%”, secondo il rapporto del DHS. L’agenzia ha inoltre osservato che “gli aggressori ransomware hanno estorto almeno 449,1 milioni di dollari a livello globale durante la prima metà del 2023 e si prevede che avranno il loro secondo anno più redditizio”.
Sulla scia della campagna di estorsione nella catena di fornitura MOVEit Transfer, che ha causato finora oltre 2.180 vittime, il 2023 potrebbe effettivamente passare alla storia come l’anno più redditizio di sempre per gli autori di ransomware. Secondo il rapporto del DHS, la tendenza più ampia che guida l’aumento del ROI del settore del ransomware è il ritorno della “caccia alla aziende grosse”, ovvero il prendere di mira le grandi organizzazioni. Le tattiche emergenti implementate dagli autori di ransomware nei loro “safari” di estorsione includono la crittografia intermittente, l’uso di linguaggi di programmazione specializzati più moderni e doppi attacchi ransomware che coinvolgono più di una variante.
Secondo l’FBI, queste campagne a doppia variante in genere sequenziano i loro attacchi nell’arco di 48 ore. Come ha dimostrato Cl0p nella campagna MOVEit, cresce anche la preoccupazione che gli aggressori possano evitare del tutto lo sviluppo interno di toolkit di crittografia, a favore di schemi di furto di dati più efficienti. Sequestrando ed esfiltrando rapidamente i dati, gli autori del ransomware possono entrare più immediatamente nella fase di estorsione del ciclo di attacco. Per quanto riguarda le prime due tattiche ransomware emergenti citate, la crittografia intermittente consente agli autori delle minacce di “crittografare i sistemi più velocemente e ridurre le possibilità di essere rilevati”, secondo il rapporto del DHS.
La maggiore efficienza ed evasività offerte dalla tecnica di cui sopra sono punti di forza che possono aiutare le bande di estorsione informatica a “invogliare gli affiliati a unirsi alle loro operazioni Ransomware-as-a-Service”, osserva il rapporto del DHS. Il rapporto afferma inoltre che i linguaggi di programmazione di prossima generazione come Rust e Golang, ad esempio, possono migliorare le capacità degli autori delle minacce di “adattare e personalizzare i propri attacchi”.
Nel complesso, il settore energetico è stato il quarto settore più preso di mira lo scorso anno, rappresentando il 10,7% di tutti gli attacchi informatici. Il rapporto del DHS avverte che “gli attori informatici statali e non statali continuano a cercare un accesso opportunistico agli obiettivi del settore delle infrastrutture critiche per attacchi dirompenti e distruttivi”. Inoltre, “l’attività informatica dannosa contro gli Stati Uniti è aumentata dall’inizio del conflitto Russia-Ucraina”, osserva il rapporto del DHS.
Senza una chiara conclusione dei conflitti israelo-Hamas e russo-ucraini in vista, gli attacchi ransomware contro le aziende energetiche stanno diventando sempre più diffusi negli Stati Uniti e nel mondo. Il seguente white paper fornirà una cronologia di tutti gli attacchi ransomware significativi nel settore energetico avvenuti nell’ultimo anno, presenterà la ricerca HUNTER (HUMINT) sulle richieste di accesso al settore energetico nel Dark Web e dettaglierà i risultati delle nostre negoziazioni di riscatto sotto copertura con il gruppo di autori di minacce Black Basta.
Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009