Ransomware Data Room – Agosto 2022

Autore: Dott. Luca Mella, Cyber Security Expert (founder doubleextortion.com)

Negli ultimi anni, il fenomeno del ransomware è stato tanto dirompente da influire pesantemente nelle agende di sicurezza di moltissime organizzazioni, e non solo. La brutalità delle pratiche cyber criminali della doppia estorsione ha persino influito nelle politiche di Stati Uniti e Unione Europea: questi attacchi si sono sempre più rivelati strumento di pressione geopolitica nelle dialettiche tra le nazioni del Patto Atlantico e gli stati sotto l’influenza Russa, sino a divenire strumento di cyber-rappresaglia contestuali alle  operazioni militari in Ucraina. 

Monitorare gli attacchi ransomware moderni, le doppie estorsioni, uno dei “game-changer” che più sta condizionando il panorama della sicurezza cibernetica mondiale e nazionale, è la ragione fondante della Ransomware Data Room, un osservatorio, un luogo virtuale dove monitorare il fenomeno del ransomware attraverso la fattualità di dati e notizie.

Metodologia

Informazioni e dati su tentativi di estorsione cibernetica e attacchi ransomware sono acquisiti tramite dati OSINT, notizie pubbliche, open data, ed attraverso il portale doubleextortion.com.

Report dell’Osservatorio

• Data Room: Gennaio 2022 (link)
• Data Room: Febbraio 2022 (link)
• Data Room: Marzo 2022 (link)
• Data Room: Aprile 2022 (link)
• Data Room: Maggio 2022 (link)
• Data Room: Giugno 2022 (link)
• Data Room: Luglio 2022 (link)

Data Room: Agosto 2022

La Ransomware Data Room ha riscontrato evidenza di almeno 221 tentativi di estorsione cibernetiche e attacchi criminali operati da 26 attori di minaccia attivi nel periodo di riferimento. Il volume di attacchi registrati ad Agosto è in aumento rispetto alla base mensile di Luglio del +4.9%. Durante il mese è inoltre stata riscontrata attività offensiva da parte di tre nuove gang cyber criminali: IceFire, Donut e DAIXIN ransomware. 

Data Trends

Le estorsioni cibernetiche monitorate dall’osservatorio sono questo mese caratterizzate da un volume in crescita. Il ritmo di attacco cyber criminale si è intesificato in due momenti: a ridosso del 14 di Agosto 2022 ed il 27 di Agosto, dove sono stati registrati picchi volumetrici distinti dalle comunque intense attività offensive registrate nel mese. 

LockBit rimane tra i collettivi criminali più attivi sia durante i picchi che nei plateau: le loro vittime comprendono aziende di produzione farmaceutica e cliniche private. Si sono inoltre distinte le attività della nuova gang IceFire che ha fatto registrare attacchi inconsueti focalizzati su Hosting Provider in medio oriente, incluso l’Iran, ed al contempo verso aziende svizzere specializzate in Fintech e DevOps.

In aggiunta, sono state regitrate attività anche da parte delle gang BlackByte e BlackBasta, ritenute possibili divisioni della stessa organizzazione criminale figlia del discioglimento di  Conti, l’infausto gruppo criminale filo russo che a Febbraio 2022 ha sfumato i confini del cyber crimine verso interessi filo-governativi.   

Le estorsioni digitali di Agosto 2022 hanno coinvolto almeno 41 nazioni in tutto il mondo. Gli attacchi criminali sono stati hanno infierito in maggioranza sugli Stati Uniti d’America, prima nazione più colpita.

L’infausta classifica vede una nuova contesa per il secondo posto: la Francia, che lo aveva malauguratamente conquistato a Luglio, lascia il fardello dell’argento e scivola fortunatamente fuori dal podio. Il secondo posto è infatti tornato al Regno Unito: nazione che durante Agosto è stata infatti particolarmente attaccata dai criminali informatici, specie nei settori più critici come utilties e trattamento acque.

Relativamente al terzo posto tra le nazioni più colpite, Agosto conferma la posizione dell’Italia: da tre mesi il nostro Paese è sottoposto a pressioni costanti da parte del crimine cibernetico.

In cascata, subito dopo l’Italia, ritroviamo la Germania, fortunata assente che è riuscita a  scongiurare la quarta posizione il mese scorso, ma poi infaustamente guadagnata ad Agosto. Anche la locomotiva dell’Europa ha infatti visto un intensificarsi delle estorsioni digitali.

I verticali interessati dagli attacchi ransomware di Luglio sono stati ben 73. L’ecosistema delle aziende che contribuiscono alla catena del valore del business sono state meta prediletta per l’Agosto dei cyber criminali, insieme a studi legali e servizi al consumatore.  

Sono stati registrati inoltre pericolosi picchi di attività ai danni di opsedali, aziende sanitarie e cliniche private in Europa e Italia, oltre che una serie di attacchi rivolti ai settori delle utilities, forniture di acqua, luce e gas in varie nazioni europee. 

Sempre ad Agosto è stato registrato il rinnovato interesse dei cyber criminali verso la supply chain digitale: hosting provider, aziende di devops, system integrator e società di sviluppo software hanno sofferto persino più del manifatturiero.

Osservatorio

Tra i numerosi casi di attacco registrati a Agosto 2022, l’osservatorio ha valutato i seguenti casi di tentata doppia estorsione come di portata ed implicazione notevole per i rispettivi contesti di riferimento:   

Osservatorio italiano

Nel mese di Agosto 2022, l’osservatorio registra le seguenti estorsioni ransomware come maggiormente rilevanti nel contesto italiano: 

• Il tentato attacco all’ASL di Torino comporta blocchi precauzionali ai servizi digitali (link)
• RansomHouse attacca i Comuni Fiorentini di Valdarno e Valdisieve e pubblica 2.1 Terabyte di dati (link)
• Tentata estorsione al colosso della missilistica Anglo-Italo-Francese MBDA (link)
• Lo studio dell’avvocato della famiglia Agnelli viene attaccato dai criminali filorussi di BlackByte (link) 

Osservatorio mondiale

A livello globale, l’osservatorio segnala le seguenti casistiche ed eventi impattanti il mondo ransomware di rilievo internazionale:

• DEFSA l’agenzia nazionale greca che si occupa della trasmissione del Gas Naturale viene attaccata da RagnarLocker (link)
• Lockbit attacca le aziende per la fornitura idrica in Inghilterra durante il periodo dell’anno più critico (link)
• La nuova gang Yanlowang tenta l’estorsione al colosso dell’Information Tecnology Cisco (link)
• La principale azienda fornitrice di energia in Lussemburgo viene attaccata da Alphv (link) 
• La Sud Coreana Doosan Group, entrata tre le Global Fortune 500 nel 2009 e controllante di Bobcat e Škoda Power, è stata attaccata dal collettivo criminale REvil.
• ENN Group, compagnia Cinese energetica di produzione del gas naturale è stata attaccata da Hive ransomware.
• Lockbit attacca Fosun International, il più grande conglomerato privato della Cina continentale che opera nel settore assicurativo, degli investimenti, gestione degli asset e nel settore industriale.
• Daixin ransomware attacca ISTA International GmbH, gruppo tedesco che gestisce più di 60 milioni di dispositivi di contabilizzazione di consumi energetici, acqua, luce e gas, presenti in 13 milioni di unità fra residenziali e commerciali.

Nuove Tattiche Tecniche e Procedure (TTPs)

Nel mese di Agosto 2022 l’osservatorio ha registrato un inasprimento nelle operazioni estorsive specie di LockBit. Il pericoloso collettivo criminale ha infatti dimostrato di poter mettere in campo strumenti estorsivi più efficaci ed una maggiore resilienza ai operazioni di takedown dei suoi siti di distribuzione.

A seguito della pubblicazione dell’avvenuto attacco ad Entrust, provider di servizi di identity management per molte aziende americane, incluse diverse agenzie governative, le infrastrutture criminali di LockBit sono state contro-attaccate da operativi apparentemente connessi all’azienda per inibire l’accesso ai dati trafugati.

L’impedimento è purtroppo durato solo pochi giorni. In risposta, i criminali hanno potenziato le loro infrastrutture su rete Tor e annunciato due evoluzioni nei loro modus operandi estorsivi:

1. I dati tragugati verranno pubblicati anche tramite protocolli peer-to-peer come BitTorrent.
2. Verranno sempre più utilizzati server per la divulgazione di dati direttamente sulla clearnet.

L’approdo delle interfacce alle infrastrutture criminali sulla internet pubblica, in particolare, è un trend che si sta riscontrando anche su altri ambiti criminali come le piattaforme CaaS (Cybercrime as a Service), che stanno sempre più abilitando fenomeni di micro-crimine digitale. 

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Luca Mella

Luca è un professionista della Cyber Security con una profonda passione per il mondo digitale e l’hacking. Luca è autore del progetto “doubleextortion.com”. Ha guidato il primo Computer Emergency Response Team (CERT) italiano certificato da Trusted Introducer ed insegna la malware analysis all’Università di Bologna, è un ex-membro del team “ANeSeC”, uno dei primi team italiani di cyber war-game nati nel lontano 2011.