Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

Ransomware data Room – Giugno 2022

Luca Mella : 1 Luglio 2022 07:00

  

Autore: Dott. Luca Mella, Cyber Security Expert (founder doubleextortion.com)

Negli ultimi anni, il fenomeno del ransomware è stato tanto dirompente da influire pesantemente nelle agende di sicurezza di moltissime organizzazioni, e non solo. La brutalità delle pratiche cyber criminali della doppia estorsione ha persino influito nelle politiche di Stati Uniti e Unione Europea: questi attacchi si sono sempre più rivelati strumento di pressione geopolitica nelle dialettiche tra le nazioni del Patto Atlantico e gli stati sotto l’influenza Russa, sino a divenire strumento di cyber-rappresaglia contestuali alle  operazioni militari in Ucraina. 

Monitorare gli attacchi ransomware moderni, le doppie estorsioni, uno dei “game-changer” che più sta condizionando il panorama della sicurezza cibernetica mondiale e nazionale, è la ragione fondante della Ransomware Data Room, un osservatorio, un luogo virtuale dove monitorare il fenomeno del ransomware attraverso la fattualità di dati e notizie.

Metodologia

Informazioni e dati su tentativi di estorsione cibernetica e attacchi ransomware sono acquisiti tramite dati OSINT, notizie pubbliche, open data, ed attraverso il portale doubleextortion.com.

Report dell’Osservatorio

  • Data Room: Gennaio 2022 (link)
  • Data Room: Febbraio 2022 (link)
  • Data Room: Marzo 2022 (link)
  • Data Room: Aprile 2022 (link)
  • Data Room: Maggio 2022 (link)

Data Room: Giugno 2022

La Ransomware Data Room ha riscontrato evidenza di almeno 177 tentativi di estorsione cibernetiche e attacchi criminali operati da 23 attori di minaccia attivi nel periodo di riferimento. Il volume di attacchi registrati a Giugno è allineato alla base mensile di Maggio ( -0.6% ). E’ stata inoltre riscontrata attività offensiva da parte del nuovo programma ransomware criminale LockBit3, evoluzione della seconda versione di LockBit

Data Trends

Le estorsioni cibernetiche monitorate dall’osservatorio si sono articolate in due momenti. Nella prima settimana del mese i gruppi criminali hanno fatto registrare un ritmo di attacco contenuto, fino almeno al 10 Giugno 2022, dove è stato registrato un importante picco in controtendenza. Durante la seconda metà del mese, gli attacchi hanno invece avuto intensità sostenuta e crescente sino all’intensificazione registrata intorno al 29-30 di Giugno. 

Lockbit e BlackBasta sono gli autori di parte del picchi di estorsioni rilevati, dove hanno colpito aziende Francesi e Cipriote nella logistica e nel trasporto aereo, costringendo le organizzazioni a fortissimi rallentamenti nelle operazioni. 

Durante il mese, sono state regitrate nuove attività anche da parte della gang Karakurt, gruppo parte della costellazione cyber criminale filo-russa: gli hacker malevoli hanno fatto registrare numerose nuove estorsioni durante il mese.

L’osservatorio ha inoltre registrato una battuta di arresto alle operazioni criminali di Conti: le estorsioni della nota gang hanno subito apparente stop dal 7 di Giugno. Tuttavia, fonti di intelligence indicano che il fermo potrebbe essere solo temporaneo: pare che la controversa gang criminale sia ancora operativa e che sia in corso un rebranding del gruppo.

Figura. Profilo dei tentativi di estorsione registrati nell’Giugno 2022.

Il bilancio degli attacchi a doppia estorsione di Giugno 2022 ha coinvolto 33 nazioni sulle quali si sono concentrati i pesanti attacchi criminali, a partire dagli Stati Uniti d’America: nazione fortemente attaccata che da lungo tempo detiene il primato delle estorsioni digitali.

Tuttavia, dopo gli Stati Uniti, troviamo una rinnovata aggressione nei confronti del Regno Unito, che dopo mesi si trova nuovamente al secondo posto. Subito in coda, ma ancora sull’infausto podio, troviamo il paese più attaccato dell’Unione Europea: l’Italia. A Giugno infatti il nostro Paese è stato colpito dagli attacchi ransomware in maniera maggiore rispetto a Germania e Francia. 

Figura. Nazioni più impattate da estorsioni cyber ad Giugno 2022

I verticali colpiti dalle estorsioni di Giugno sono stati 63. Questo mese gli attacchi si sono concetrati verso le aziende specializzate in infrastrutture e costruzioni pesanti, anche se non sono affatto mancati tentativi di estorsione e breach diretti a pubbliche amministrazioni ed enti governativi, posizionati al secondo posto nella tipologia di organizzazioni più colpite. 

Inoltre, durante Giugno il settore farmaceutico è stato colpito in maniera più intensa dei mesi precedenti: tra le vittime di estorsioni vi sono state compagnie multinazionali molto attive nella ricerca e nello sviluppo di nuovi farmaci.

Durante il mese, servizi finanziari ed il banche sono state tutt’altro che dimenticate dai cyber criminali. I collettivi di AvosLocker, Lorentz e Karakurt hanno colpito le infrastrutture digitali di istituti locali americani, ma non solo: tra le vittime figurano anche importanti partner tecnologici chiave per le supply chain di grandi gruppi bancari in tutto il mondo.  

Figura. Settori produttivi più impattati da estorsioni ad Giugno 2022

Osservatorio

Tra i numerosi casi di attacco registrati a Giugno 2022, l’osservatorio ha valutato i seguenti casi di tentata doppia estorsione come di portata ed implicazione notevole per i rispettivi contesti di riferimento:   

Osservatorio italiano

Nel mese di Giugno 2022, l’osservatorio registra le seguenti estorsioni ransomware come Giugnormente rilevanti nel contesto italiano: 

  • L’estorsione di BlackCat/Alphv all’Università di Pisa ha portato alla luce una fuga di dati degli studenti (link)
  • La gang Quantum fa trapelare indizi che puntano ad una estorsione in corso nei confronti della Regione Sardegna (link)
  • L’ospedale Macedonio Melloni di Milano viene attaccato e posto sotto estorsione dalla gang criminale di ViceSociety (link)
  • Al Comune di Fossalta l’attacco ransomware ha bloccato il rilascio di carte d’identità e documenti per la cittadinanza (link)
  • ViceSociety mette sotto estorsione il Comune di Palermo e pubblica Carte di identità, passaporti, dati medici del personale e archivi storici di posta elettronica  (link)
  • Cuba rivendica l’attacco all’azienda italiana R1Group, specializzata nella digital transformation di numerose organizzazioni pubbliche e private nazionali (link)

Osservatorio mondiale

A livello globale, l’osservatorio segnala le seguenti casistiche ed eventi impattanti il mondo ransomware di rilievo internazionale:

  • Lockbit2 colpisce la Kuwait Airlines e pubblica all’interno dei suoi canali ben 46 mila file rubati (link)
  • AvosLocker colpisce e trafuga oltre 500 GB di dati dall’azienda partecipata irlandese CR2, società di software e tecnologie per servizi finanziari mobili, internet e ATM fornitrice di più di 100 banche. Tra i suoi clienti figurano ANZ, Barclays, Standard Chartered, Botswana Savings Bank, Jordanian Bank al Etihad, la banca panafricana Orabank e le nigeriane Access Bank plc e Diamond Bank. 
  • Hive ransomware colpisce e ruba dati da Artear, società multimediale di proprietà del Grupo Clarín, il più importante conglomerato mediatico argentino che produce, trasmette e commercializza contenuti audiovisivi multipiattaforma.
  • BlackBasta attacca e pubblica i dati di Elbit Systems of America, azienda leader a nella fornitura di sistemi innovativi e tecnologici nel settore della difesa, per piattaforme da combattimento e operatori di sensori elettro-ottici, fornitrice di sistemi di visione notturna per il Corpo dei Marines degli Stati Uniti.

Nuove Tattiche Tecniche e Procedure (TTPs)

Nel mese di Giugno 2022 la gang criminale LockBit ha messo online il programma LockBit3. LockBit3 è una evoluzione delle operazioni ransomware del collettivo criminale che ad aggiungere numerose funzionalità sia ai codici ransomware dello strumento di cifratura ransomwar di LockBit, che ne all’ecosistema di servizi offerti agli affiliati.

Nel 2021, la gang criminale portò sulle scene il progetto LockBit2, dove l’introduzione della pratica della doppia estorsione è stata accompagnata da un fortissimo incremento degli attacchi informatici. Con LockBit3 la storia si ripete: la gang criminale si rinnova nuovamente con nuove modalità operative sempre più pericolose per le aziende occidentali.

LockBit3 sta tracciando un solco, una linea che verrà molto probabilmente seguita anche da altre gang cyber criminali nel corso dei prossimi mesi ed anni. Tra le più preoccupanti evoluzioni della gang troviamo: 

  • Estensione dei meccanismi di mirroring e resilienza delle infrastrutture con oltre 42 server mirror.
  • Funzionalità di supporto all’acquisto di moneta digitali per gli affiliati.
  • Automatismi per la gestione del pagamenti per la “cancellazione” e lo scaricamento dei dati rubati.
  • Un programma di bug bounty per le infrastrutture ransomware: la gang sta infatti investendo nel rendere “sicure” le piattaforme di comunicazione criminali dalle agenzie di polizia e di intelligence europee ed americane.
Figura. Supporto automatico per la cancallazione dei dati rubati a pagamento

Luca Mella
Luca è un professionista della Cyber Security con una profonda passione per il mondo digitale e l’hacking. Luca è autore del progetto “doubleextortion.com”. Ha guidato il primo Computer Emergency Response Team (CERT) italiano certificato da Trusted Introducer ed insegna la malware analysis all’Università di Bologna, è un ex-membro del team “ANeSeC”, uno dei primi team italiani di cyber war-game nati nel lontano 2011.