Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Ransomware data Room – Giugno 2022

Luca Mella : 1 Luglio 2022 07:00

Autore: Dott. Luca Mella, Cyber Security Expert (founder doubleextortion.com)

Negli ultimi anni, il fenomeno del ransomware è stato tanto dirompente da influire pesantemente nelle agende di sicurezza di moltissime organizzazioni, e non solo. La brutalità delle pratiche cyber criminali della doppia estorsione ha persino influito nelle politiche di Stati Uniti e Unione Europea: questi attacchi si sono sempre più rivelati strumento di pressione geopolitica nelle dialettiche tra le nazioni del Patto Atlantico e gli stati sotto l’influenza Russa, sino a divenire strumento di cyber-rappresaglia contestuali alle  operazioni militari in Ucraina. 

Monitorare gli attacchi ransomware moderni, le doppie estorsioni, uno dei “game-changer” che più sta condizionando il panorama della sicurezza cibernetica mondiale e nazionale, è la ragione fondante della Ransomware Data Room, un osservatorio, un luogo virtuale dove monitorare il fenomeno del ransomware attraverso la fattualità di dati e notizie.

Metodologia


Sponsorizza la prossima Red Hot Cyber Conference!

Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un paccheto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.

Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.



Supporta RHC attraverso:
L'acquisto del fumetto sul Cybersecurity Awareness
Ascoltando i nostri Podcast
Seguendo RHC su WhatsApp
Seguendo RHC su Telegram
Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.


Informazioni e dati su tentativi di estorsione cibernetica e attacchi ransomware sono acquisiti tramite dati OSINT, notizie pubbliche, open data, ed attraverso il portale doubleextortion.com.

Report dell’Osservatorio

  • Data Room: Gennaio 2022 (link)
  • Data Room: Febbraio 2022 (link)
  • Data Room: Marzo 2022 (link)
  • Data Room: Aprile 2022 (link)
  • Data Room: Maggio 2022 (link)

Data Room: Giugno 2022

La Ransomware Data Room ha riscontrato evidenza di almeno 177 tentativi di estorsione cibernetiche e attacchi criminali operati da 23 attori di minaccia attivi nel periodo di riferimento. Il volume di attacchi registrati a Giugno è allineato alla base mensile di Maggio ( -0.6% ). E’ stata inoltre riscontrata attività offensiva da parte del nuovo programma ransomware criminale LockBit3, evoluzione della seconda versione di LockBit

Data Trends

Le estorsioni cibernetiche monitorate dall’osservatorio si sono articolate in due momenti. Nella prima settimana del mese i gruppi criminali hanno fatto registrare un ritmo di attacco contenuto, fino almeno al 10 Giugno 2022, dove è stato registrato un importante picco in controtendenza. Durante la seconda metà del mese, gli attacchi hanno invece avuto intensità sostenuta e crescente sino all’intensificazione registrata intorno al 29-30 di Giugno. 

Lockbit e BlackBasta sono gli autori di parte del picchi di estorsioni rilevati, dove hanno colpito aziende Francesi e Cipriote nella logistica e nel trasporto aereo, costringendo le organizzazioni a fortissimi rallentamenti nelle operazioni. 

Durante il mese, sono state regitrate nuove attività anche da parte della gang Karakurt, gruppo parte della costellazione cyber criminale filo-russa: gli hacker malevoli hanno fatto registrare numerose nuove estorsioni durante il mese.

L’osservatorio ha inoltre registrato una battuta di arresto alle operazioni criminali di Conti: le estorsioni della nota gang hanno subito apparente stop dal 7 di Giugno. Tuttavia, fonti di intelligence indicano che il fermo potrebbe essere solo temporaneo: pare che la controversa gang criminale sia ancora operativa e che sia in corso un rebranding del gruppo.

Figura. Profilo dei tentativi di estorsione registrati nell’Giugno 2022.

Il bilancio degli attacchi a doppia estorsione di Giugno 2022 ha coinvolto 33 nazioni sulle quali si sono concentrati i pesanti attacchi criminali, a partire dagli Stati Uniti d’America: nazione fortemente attaccata che da lungo tempo detiene il primato delle estorsioni digitali.

Tuttavia, dopo gli Stati Uniti, troviamo una rinnovata aggressione nei confronti del Regno Unito, che dopo mesi si trova nuovamente al secondo posto. Subito in coda, ma ancora sull’infausto podio, troviamo il paese più attaccato dell’Unione Europea: l’Italia. A Giugno infatti il nostro Paese è stato colpito dagli attacchi ransomware in maniera maggiore rispetto a Germania e Francia. 

Figura. Nazioni più impattate da estorsioni cyber ad Giugno 2022

I verticali colpiti dalle estorsioni di Giugno sono stati 63. Questo mese gli attacchi si sono concetrati verso le aziende specializzate in infrastrutture e costruzioni pesanti, anche se non sono affatto mancati tentativi di estorsione e breach diretti a pubbliche amministrazioni ed enti governativi, posizionati al secondo posto nella tipologia di organizzazioni più colpite. 

Inoltre, durante Giugno il settore farmaceutico è stato colpito in maniera più intensa dei mesi precedenti: tra le vittime di estorsioni vi sono state compagnie multinazionali molto attive nella ricerca e nello sviluppo di nuovi farmaci.

Durante il mese, servizi finanziari ed il banche sono state tutt’altro che dimenticate dai cyber criminali. I collettivi di AvosLocker, Lorentz e Karakurt hanno colpito le infrastrutture digitali di istituti locali americani, ma non solo: tra le vittime figurano anche importanti partner tecnologici chiave per le supply chain di grandi gruppi bancari in tutto il mondo.  

Figura. Settori produttivi più impattati da estorsioni ad Giugno 2022

Osservatorio

Tra i numerosi casi di attacco registrati a Giugno 2022, l’osservatorio ha valutato i seguenti casi di tentata doppia estorsione come di portata ed implicazione notevole per i rispettivi contesti di riferimento:   

Osservatorio italiano

Nel mese di Giugno 2022, l’osservatorio registra le seguenti estorsioni ransomware come Giugnormente rilevanti nel contesto italiano: 

  • L’estorsione di BlackCat/Alphv all’Università di Pisa ha portato alla luce una fuga di dati degli studenti (link)
  • La gang Quantum fa trapelare indizi che puntano ad una estorsione in corso nei confronti della Regione Sardegna (link)
  • L’ospedale Macedonio Melloni di Milano viene attaccato e posto sotto estorsione dalla gang criminale di ViceSociety (link)
  • Al Comune di Fossalta l’attacco ransomware ha bloccato il rilascio di carte d’identità e documenti per la cittadinanza (link)
  • ViceSociety mette sotto estorsione il Comune di Palermo e pubblica Carte di identità, passaporti, dati medici del personale e archivi storici di posta elettronica  (link)
  • Cuba rivendica l’attacco all’azienda italiana R1Group, specializzata nella digital transformation di numerose organizzazioni pubbliche e private nazionali (link)

Osservatorio mondiale

A livello globale, l’osservatorio segnala le seguenti casistiche ed eventi impattanti il mondo ransomware di rilievo internazionale:

  • Lockbit2 colpisce la Kuwait Airlines e pubblica all’interno dei suoi canali ben 46 mila file rubati (link)
  • AvosLocker colpisce e trafuga oltre 500 GB di dati dall’azienda partecipata irlandese CR2, società di software e tecnologie per servizi finanziari mobili, internet e ATM fornitrice di più di 100 banche. Tra i suoi clienti figurano ANZ, Barclays, Standard Chartered, Botswana Savings Bank, Jordanian Bank al Etihad, la banca panafricana Orabank e le nigeriane Access Bank plc e Diamond Bank. 
  • Hive ransomware colpisce e ruba dati da Artear, società multimediale di proprietà del Grupo Clarín, il più importante conglomerato mediatico argentino che produce, trasmette e commercializza contenuti audiovisivi multipiattaforma.
  • BlackBasta attacca e pubblica i dati di Elbit Systems of America, azienda leader a nella fornitura di sistemi innovativi e tecnologici nel settore della difesa, per piattaforme da combattimento e operatori di sensori elettro-ottici, fornitrice di sistemi di visione notturna per il Corpo dei Marines degli Stati Uniti.

Nuove Tattiche Tecniche e Procedure (TTPs)

Nel mese di Giugno 2022 la gang criminale LockBit ha messo online il programma LockBit3. LockBit3 è una evoluzione delle operazioni ransomware del collettivo criminale che ad aggiungere numerose funzionalità sia ai codici ransomware dello strumento di cifratura ransomwar di LockBit, che ne all’ecosistema di servizi offerti agli affiliati.

Nel 2021, la gang criminale portò sulle scene il progetto LockBit2, dove l’introduzione della pratica della doppia estorsione è stata accompagnata da un fortissimo incremento degli attacchi informatici. Con LockBit3 la storia si ripete: la gang criminale si rinnova nuovamente con nuove modalità operative sempre più pericolose per le aziende occidentali.

LockBit3 sta tracciando un solco, una linea che verrà molto probabilmente seguita anche da altre gang cyber criminali nel corso dei prossimi mesi ed anni. Tra le più preoccupanti evoluzioni della gang troviamo: 

  • Estensione dei meccanismi di mirroring e resilienza delle infrastrutture con oltre 42 server mirror.
  • Funzionalità di supporto all’acquisto di moneta digitali per gli affiliati.
  • Automatismi per la gestione del pagamenti per la “cancellazione” e lo scaricamento dei dati rubati.
  • Un programma di bug bounty per le infrastrutture ransomware: la gang sta infatti investendo nel rendere “sicure” le piattaforme di comunicazione criminali dalle agenzie di polizia e di intelligence europee ed americane.
Figura. Supporto automatico per la cancallazione dei dati rubati a pagamento

Luca Mella
Luca è un professionista della Cyber Security con una profonda passione per il mondo digitale e l’hacking. Luca è autore del progetto “doubleextortion.com”. Ha guidato il primo Computer Emergency Response Team (CERT) italiano certificato da Trusted Introducer ed insegna la malware analysis all’Università di Bologna, è un ex-membro del team “ANeSeC”, uno dei primi team italiani di cyber war-game nati nel lontano 2011.

Lista degli articoli

Articoli in evidenza

38 milioni di Numeri di telefono di Italiani in vendita nel Dark Web. E’ che Smishing Sia!
Di Redazione RHC - 06/09/2025

Sette italiani su dieci hanno il proprio numero di telefono incluso in questa banca dati. Ma cosa significa attualmente disporre di un tale quantitativo di numeri telefonici concentrati all’interno ...

Se Flash è morto, ecco a voi l’SVG Assassino! Il phishing 2.0 è in alta definizione
Di Redazione RHC - 05/09/2025

I criminali informatici hanno lanciato una nuova ondata di attacchi che utilizzano file SVG per distribuire pagine di phishing. Gli esperti di VirusTotal hanno segnalato che gli aggressori si spaccian...

Supercomputer: l’Italia al sesto e decimo posto nella classifica TOP500 del 2025
Di Redazione RHC - 05/09/2025

Il mondo dei supercomputer è entrato nell’era dell’exascale computing. La classifica TOP500 di giugno per il 2025 ha registrato tre sistemi americani ai vertici, un debutto clamoroso dall’Europ...

16 miliardi di credenziali rubate da Apple, Meta e Google in vendita per 121.000 dollari
Di Redazione RHC - 05/09/2025

Il team di Darklab, la community di esperti di threat intelligence di Red Hot Cyber, ha individuato un annuncio sul marketplace del dark web “Tor Amazon”, l’analogo criminale del celebre e-comme...

Dal Commodore 64 a GitHub! Il BASIC di Gates e Allen diventa open source dopo 48 anni
Di Redazione RHC - 04/09/2025

Microsoft ha ufficialmente reso pubblico il codice sorgente della sua prima versione di BASIC per il processore MOS 6502, che per decenni è esistito solo sotto forma di fughe di notizie, copie da mus...