Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

Ransomware data Room – Luglio 2022

Luca Mella : 31 Luglio 2022 07:00

Autore: Dott. Luca Mella, Cyber Security Expert (founder doubleextortion.com)

Negli ultimi anni, il fenomeno del ransomware è stato tanto dirompente da influire pesantemente nelle agende di sicurezza di moltissime organizzazioni, e non solo. La brutalità delle pratiche cyber criminali della doppia estorsione ha persino influito nelle politiche di Stati Uniti e Unione Europea: questi attacchi si sono sempre più rivelati strumento di pressione geopolitica nelle dialettiche tra le nazioni del Patto Atlantico e gli stati sotto l’influenza Russa, sino a divenire strumento di cyber-rappresaglia contestuali alle  operazioni militari in Ucraina. 

Monitorare gli attacchi ransomware moderni, le doppie estorsioni, uno dei “game-changer” che più sta condizionando il panorama della sicurezza cibernetica mondiale e nazionale, è la ragione fondante della Ransomware Data Room, un osservatorio, un luogo virtuale dove monitorare il fenomeno del ransomware attraverso la fattualità di dati e notizie.

Metodologia

Supporta Red Hot Cyber attraverso

Informazioni e dati su tentativi di estorsione cibernetica e attacchi ransomware sono acquisiti tramite dati OSINT, notizie pubbliche, open data, ed attraverso il portale doubleextortion.com.

Report dell’Osservatorio

  • Data Room: Gennaio 2022 (link)
  • Data Room: Febbraio 2022 (link)
  • Data Room: Marzo 2022 (link)
  • Data Room: Aprile 2022 (link)
  • Data Room: Maggio 2022 (link)
  • Data Room: Giugno 2022 (link)

Data Room: Luglio 2022

La Ransomware Data Room ha riscontrato evidenza di almeno 210 tentativi di estorsione cibernetiche e attacchi criminali operati da 23 attori di minaccia attivi nel periodo di riferimento. Il volume di attacchi registrati a Luglio è in aumento rispetto alla base mensile di Giugno (+15.7%). E’ stata inoltre riscontrata attività offensiva da parte di tre nuove gang cyber criminali: Lilith, RedAlert e Bianlian.

Data Trends

Le estorsioni cibernetiche monitorate dall’osservatorio sono questo mese caratterizzate da un volume sostenuto. Nella prima settimana del mese le attività dei gruppi criminali hanno presentato un ritmo di attacco in crescita fino al 14 Luglio 2022, dove è stato registrato un importante picco di attività. In seguito, i volumi registrati hanno mostrato un andamento meno brusco, ma comunque intenso e distribuito per il resto del mese. 

Karakurt e LockBit sono i gruppi più attivi durante i picchi di estorsioni osservati: le loro vittime comprendono aziende di automazione industriale, ma anche gruppi internazionali nel settore biotecnologico specializzate nell’efficientamento di allevamento e agricoltura.  

Sono state inoltre regitrate nuove attività anche da parte della gang Bianlian, il misterioso gruppo entrato nel radar dell’osservatorio nel corso del mese: i criminali hanno colpito scuole e società di servizi per il supporto al business in Europa.

Figura. Profilo dei tentativi di estorsione registrati nel Luglio 2022.

Le doppie estorsioni ransomware di Luglio 2022 hanno coinvolto ben 39 nazioni. Gli attacchi dei cyber criminali hanno infierito su tutto l’occidente a partire dagli Stati Uniti d’America.

Dopo gli USA, gli attori del landscape criminale internazionale hanno colpito duramente la Francia che infaustamente strappa il secondo posto al Regno Unito. Subito dopo, al terzo posto tra le nazioni più colpite, anche a Luglio 2022 troviamo l’Italia: una posizione poco invidiabile considerate le enormi lacune digitali che ancora affliggono le imprese nostrane. 

Appena fuori dall’infausto podio troviamo una nazione che per mesi era passata quasi inosservata: l’Australia. Anche se in passato l’Australia ha fatto registrare volumi di attacchi imponenti, da qualche mese era rimasta fortunatamente ai margini dall’interesse dei maggiori gruppi cyber criminali. Interesse che troviamo però dolorosamente rinnovato.

Figura. Nazioni più impattate da estorsioni cyber ad Luglio 2022

I settori industriali messi alla prova dagli attacchi ransomware di Luglio sono stati 77. I criminali hanno fatto registrare coppiosi attacchi verso aziende di supporto al business, fondamentali nelle supply chain del manufatturiero e del retail. 

L’attenzione criminale alle supply chain non finisce qui. Registriamo inoltre una particolarità negli attacchi informatici di Luglio: i criminali hanno insistito molto su provider di software, provider internet, ma anche firme di consulenza legale e contabile. Un’attività che ha i connotati per inquadrarsi come un potenziale precursore ad operazioni più spregiudicate nel corso dei prossimi mesi. 

Da notare inoltre la ripresa delle attività offensive della gang criminale Everest, la gang che si è fatta notare in Italia per l’attacco a SIAE. Nel mese i cyber criminali hanno attaccato un importante gruppo bancario indiano proprio nel mezzo di una operazione di offerta pubblica. 

Figura. Settori produttivi più impattati da estorsioni ad Luglio 2022

Osservatorio

Tra i numerosi casi di attacco registrati a Luglio 2022, l’osservatorio ha valutato i seguenti casi di tentata doppia estorsione come di portata ed implicazione notevole per i rispettivi contesti di riferimento:   

Osservatorio italiano

Nel mese di Luglio 2022, l’osservatorio registra le seguenti estorsioni ransomware come maggiormente rilevanti nel contesto italiano: 

  • L’attacco di Lockbit a fornitori della PA e le controverse rivendicazioni dei criminali vesro Agenzia delle Entrate (link)
  • Lockbit attacca Alpa, azienda storica nella chimica italiana specializzata nel conciario, base delle supply chain della moda (link)
  • La filiale francese del gruppo italiano FAAC è stata colpita dagli attacchi criminali di Lockbit (link)
  • Gli affiliati di Lockbit colpiscono le imprese del Sud-Italia, Amalfitana Gas, azienda di fornitura del gas nel salernitano è stata bersagliata dagli attacchi ransomware del gruppo (link)
  • La gang criminal LV pubblica oltre 80 GB di dati provenienti dallo studio commercialista Teruzzi. Esiste un collegamento le rivendicazioni verso Agenzia delle Entrate  (link)
  • L’Unione dei Comuni Valdisieve e Valdarno, parte della Città metropolitana di Firenze, è stata attaccata da attori ransomware costringendo le autorità locali allo spegnimento della maggior parte dei servizi al pubblico (link)
  • Gli affiliati di Lockbit attaccano MWD Digital, l’agenzia di marketing e provider di hosting per PMI (link)

Osservatorio mondiale

A livello globale, l’osservatorio segnala le seguenti casistiche ed eventi impattanti il mondo ransomware di rilievo internazionale:

  • Il marchio storico del gaming made in Japan Bandai Namco, colosso da oltre 6 miliardi, è stato attaccato dai cyber criminali di Alphv (link)
  • Lockbit prende di mira La Poste Mobile, noto operatore di telecomunicazioni francese specializzato in telefonia mobile virtuale (link)
  • Lockbit ha attaccato OSDE (Organización de Servicios Directos Empresarios), il primo network di strutture  mediche in Argentina con più di 2 millioni di membri.
  • Everest attacca FederalBank Fedfina, istituto finanziario indiano oltre 460 filiali nel paese recentemente coinvolto in importanti offerte pubbliche (IPO).
  • I criminali di Alphv trafugano 130 GB di dati da Hydra-Electric, compagnia americana leader nelle tecnologie sensoristiche del settore aerospaziale.
  • Cuba attacca la taiwanese Sin Sheng Terminal & Machine, specializzata nella realizzazione di LCD e connettori ad alte prestazioni per i settori Automotive, IoT Industriale ed anche telecomunicazioni 5G.

Nuove Tattiche Tecniche e Procedure (TTPs)

Nel mese di Luglio 2022 l’osservatorio ha registrato una serie di evolutive al panorama delle minacce ransomware.

In primis più gruppi criminali come Hive, Black basta e Luna stanno sempre più utilizzando codici ransomware scritti in linguaggi di programmazione moderni come Go e Rust, scelta che porta con se risvolti operativi nelle gang criminali. Ransomware che utilizzano queste tecnologie possono infatti essere compilati nativamente in multipiattaforma, estendendo la minaccia dai sistem Windows, ai sistemi Linux ed ESXi, che invece tradizionalmente richiedevano lo sviluppo di strumenti di attacco ad hoc.

In secondo luogo, la gang criminale Alphv ha dato il via ad una nuova pratica estorsiva tramite la pubblicazione massiva dei dati rubati alle aziende colpite con mezzi mai visti prima. I dipartimenti di sviluppo dell’organizzazione cyber criminale hanno infatti messo a punto un data lake indicizzato che permette a malintenzionati e micri-criminali di accedere ai dati rubati con elevata efficacia. Ad oggi risultano indicizzati oltre 11.29 TB di dati rubati.

Figura. Data lake con dati rubati da Alphv indicizzato

Luca Mella
Luca è un professionista della Cyber Security con una profonda passione per il mondo digitale e l’hacking. Luca è autore del progetto “doubleextortion.com”. Ha guidato il primo Computer Emergency Response Team (CERT) italiano certificato da Trusted Introducer ed insegna la malware analysis all’Università di Bologna, è un ex-membro del team “ANeSeC”, uno dei primi team italiani di cyber war-game nati nel lontano 2011.
Categorie
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

Redazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009