Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

L’Italia è al terzo posto negli attacchi ransomware globali. Questo perché?

Massimiliano Brolli : 2 Febbraio 2022 13:26

Autore: Massimiliano Brolli
Data Pubblicazione: 2/02/2022

Come abbiamo visto nell’ultimo report “ransomware data-room” di gennaio 2022, realizzato da Luca Mella, l’Italia si è posizionata al terzo posto tra le nazioni più attaccate dal ransomware.

Si tratta di un primato importante che deve far riflettere, anche dato il fatto che prima dell’agosto del 2021, pochi conoscevano il termine “ransomware”, che invece oggi risuona all’interno delle prime pagine dei giornali e delle riviste specializzate.

Prompt Engineering & Sicurezza: diventa l’esperto che guida l’AI

Vuoi dominare l’AI generativa e usarla in modo sicuro e professionale? Con il Corso Prompt Engineering: dalle basi alla cybersecurity, guidato da Luca Vinciguerra, data scientist ed esperto di sicurezza informatica, impari a creare prompt efficaci, ottimizzare i modelli linguistici e difenderti dai rischi legati all’intelligenza artificiale. Un percorso pratico e subito spendibile per distinguerti nel mondo del lavoro.
Non restare indietro: investi oggi nelle tue competenze e porta il tuo profilo professionale a un nuovo livello.
Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com
Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]



Supporta RHC attraverso:
 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
 

Ma molti si chiederanno, da dove è nato tutto questo interesse per le infrastrutture italiane da parte dei criminali informatici?

In effetti le risposte potrebbero essere molte. Come sappiamo, il crimine informatico da profitto si muove seguendo una regola di base ben precisa che poi è sempre la stessa: violare le aziende che permettono il massimo ritorno economico, utilizzando il minor tempo possibile.

Pertanto, un motivo che a prima vista spieghi il perché l’Italia è tra i primi 3 paesi maggiormente colpiti dalla minaccia ransomware è che le infrastrutture delle organizzazioni sia pubbliche che private, risultano poco dispendiose da violare (sia come tempo e costo per l’acquisizione dell’accesso iniziale, ad esempio tramite i dei broker di accesso) e che le richieste di riscatto vengono pagate.

Ma facendo un passo indietro, dall’inizio del 2021, con un trend di crescita costante, moltissime violazioni si sono susseguite una dopo l’altra in Italia, facendo esplodere la minaccia ransomware in tutta la penisola, con una progressione allarmante che vogliamo ricordare.

Relativamente alla sanità pubblica, abbiamo visto moltissime violazioni, come l‘ospedale San Giovanni Addolorata di Roma, la ASL 3 di Roma, il ministero della salute a seguito di una pubblicazione di un post sul forum underground RaidForum (anche se mai confermato dal ministero), la Regione Lombardia, la ASL 2 di Savona, la ASL 2 di Terni, la ASP di Messina e l’ultimo attacco colossale alla ULSS6 di Padova.

Anche lato PA e comuni, la situazione non è andata affatto bene. Abbiamo iniziato con il Comune di Brescia, l’incidente alla Regione Lazio, il comune di Perugia, l’unione e terre di pianura, il comune di Coggiola e infine il comune di Torino.

Passando al privato, anche qua abbiamo avuto violazioni di grandi organizzazioni quali Tiscali, il Banca di Credito Cooperativo che ha colpito 188 filiali, la Euronics, la ERG, il sito della CGIL, la SIAE (dove Red Hot Cyber ha intervistato la cyber gang Everest), la San Carlo, MediaWorld, MetaEnergia e Argos Energia e molte altre ancora.

E questo è solo quello che possiamo vedere, in quanto tutti gli incidenti avvenuti e non documentati, probabilmente sono una fetta importante che sfugge dai nostri calcoli.

Ricordiamoci che qualche tempo fa, il 2 novembre del 2021, il black hacker ItalyIsMafia, su un noto forum underground, fece un lungo post per raccontare una storia, relativa alla violazione del ministero della salute, chiamandoci “scimpanzè ritardati” ovviamente dell’informatica, riportando le seguenti parole:

“Non prendete di mira i sistemi italiani perché sono poveri scimpanzé ritardati… ha imparato a sue spese che l’Italia non è un paese ma una mafia, dal momento che non ho mai visto un paese legittimo come la Germania o la Danimarca, che un ministero informato di una violazione informatica abbia ricattato la persona che glielo aveva fatto sapere affinché queste informazioni non divenissero pubbliche.”

Ma quel “non prendete di mira”, in quella particolare storia, faceva comprendere che i sistemi dell’Italia e gli “addetti ai lavori”, sono così scadenti, che qualsiasi cryptolocker scagliato al loro interno, potrebbero fare dei danni così importanti che le aziende non potranno avere altra alternativa se non pagare il riscatto per far ripartire il proprio business.

Un altro aspetto che spesso ci viene domandato è se le aziende o le PA pagano il riscatto.

Questa domanda per avere una risposta occorre correlarla ad un’altra domanda ovvero: perchè in Italia non si fanno “lesson learned”?

La risposta è che non si vuole divulgare consapevolezza partendo dai propri errori, per non infangare la propria web & brand reputation, evitando quindi, ad altre aziende, di acquisire nozioni utili per proteggere le loro stesse “infrastrutture”, e quindi tutto il nostro sistema paese.

Infatti, non a caso iniziano a uscire le prime “diffide” verso i giornali e le riviste, come se il problema siano loro e non i criminali informatici che hanno violato le loro infrastrutture che hanno mal gestito, oltre a non raccontare ai propri clienti la verità su quello che accadrà ai loro dati nelle underground.

La sicurezza informatica è condivisione, collaborazione, rete e divulgazione. Quattro cose che in Italia non vengono fatte, anche perché, siamo un paese nel quale si punta ad apparire come singoli e non come comunità. Questo ci dovrebbe far riflettere se tale approccio ci porti davvero ad elevarci e a reagire a questa crisi e raggiungere gli obiettivi sperati.

Ritornando alle richieste di riscatto, proprio per quanto riportavo sopra, molto spesso conosciamo solo una parte della storia di un incidente informatico, perché il resto non ci viene raccontato, vuoi perché ci sono le indagini in corso, vuoi perché non si vuole parlare, vuoi perché è tutta politica. Ma possiamo comunque affermare che i riscatti vengono pagati dalle aziende italiane, perché si vedono all’interno delle blockchain e perché altrimenti, i criminali informatici si sarebbero spostati su altri lidi, in virtù di quanto riportavamo all’inizio di questo articolo.

Speriamo che questo trend di violenti attacchi informatici inizi a flettere nel prossimo futuro, ma nel mentre siamo molto in ritardo sui temi di sicurezza informatica rispetto ad altri paesi e dobbiamo lavorarci sodo… molto sodo.

La nuova Agenzia di sicurezza Cibernetica Nazionale (ACN) è nata da poco e occorreranno diversi anni prima che si inizino a vedere dei risultati. Dobbiamo quindi lavorare per poter riportare il timone a dritta in un mare in tempesta, cercando di gestire gli attacchi informatici che ci verranno scaraventati contro, iniziando anche a pensare che oltre alla “tecnica”, occorre studiare “crisis management”.

Infatti, in Italia, non siamo preparati su questo aspetto, o meglio dire, non sappiamo come parlare quando avvengono gli incidenti informatici, pensando che chiudendosi a riccio, a protezione della propria brand e web reputation, possa in qualche modo proteggere la nostra azienda senza capire, che alle volte un “dramma”, se gestito bene, può trasformarsi in “opportunità”.

Chiudo questo articolo dicendo che in effetti, diverse anticipazioni di tutto questo le avevamo avute in passato, ma proprio nella logica dell’italiano medio, non abbiamo prestato la giusta attenzione pensando sempre che la prossima violazione, non sarebbe capitata a noi.

Massimiliano Brolli
Responsabile del RED Team e della Cyber Threat Intelligence di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Esce Kali Linux 2025.3! Nuova release con miglioramenti e nuovi strumenti
Di Redazione RHC - 24/09/2025

Gli sviluppatori di Kali Linux hanno rilasciato una nuova release, la 2025.3, che amplia le funzionalità della distribuzione e aggiunge dieci nuovi strumenti di penetration testing. L’aggiornamento...

Supply Chain: Il blocco degli Aeroporti Europei fa riflettere su un problema sempre più critico
Di Paolo Galdieri - 24/09/2025

Il 20 settembre 2025 un cyberattacco ha colpito tre tra i principali scali europei Londra Heathrow, Bruxelles e Berlino. I sistemi digitali che governano il check-in e la gestione dei bagagli sono sta...

ShadowV2: la nuova botnet MaaS per attacchi DDoS sfrutta i container
Di Redazione RHC - 24/09/2025

Nel contesto di un’attività sempre più criminale, Darktrace ha scoperto una nuova campagna che utilizza la botnet ShadowV2. I ricercatori hanno rilevato attività dannose il 24 giugno 2025, quando...

Attacco Informatico al Comune di Forlì: verifiche in corso, nessun furto di dati
Di Redazione RHC - 24/09/2025

Il sistema informatico del Comune di Forlì è stato oggetto di un attacco hacker che ha compromesso il funzionamento di diversi servizi digitali. L’amministrazione comunale, riporta Il Resto Del Ca...

Come disabilitare un EDR tramite registro? Con il DedicatedDumpFile
Di Alex Necula - 24/09/2025

Ho lavorato per diversi anni come System Engineer e uno dei compiti che ho svolto è stata la gestione di Citrix PVS. Uno dei problemi con PVS era l’analisi dei file di dump. L’unico modo per gene...