Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Ransomware data Room – Maggio 2022

Luca Mella : 29 Maggio 2022 22:44

Autore: Dott. Luca Mella, Cyber Security Expert (founder doubleextortion.com)
Data Pubblicazione: 01/06/2022

Negli ultimi anni, il fenomeno del ransomware è stato tanto dirompente da influire pesantemente nelle agende di sicurezza di moltissime organizzazioni, e non solo. La brutalità delle pratiche cyber criminali della doppia estorsione ha persino influito nelle politiche di Stati Uniti e Unione Europea: questi attacchi si sono sempre più rivelati strumento di pressione geopolitica nelle dialettiche tra le nazioni del Patto Atlantico e gli stati sotto l’influenza Russa, sino a divenire strumento di cyber-rappresaglia contestuali alle  operazioni militari in Ucraina. 

Monitorare gli attacchi ransomware moderni, le doppie estorsioni, uno dei “game-changer” che più sta condizionando il panorama della sicurezza cibernetica mondiale e nazionale, è la ragione fondante della Ransomware Data Room, un osservatorio, un luogo virtuale dove monitorare il fenomeno del ransomware attraverso la fattualità di dati e notizie.

Metodologia


PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Informazioni e dati su tentativi di estorsione cibernetica e attacchi ransomware sono acquisiti tramite dati OSINT, notizie pubbliche, open data, ed attraverso il portale doubleextortion.com.

Report dell’Osservatorio

  • Data Room: Gennaio 2022 (link)
  • Data Room: Febbraio 2022 (link)
  • Data Room: Marzo 2022 (link)
  • Data Room: Aprile 2022 (link)

Data Room: Maggio 2022

La Ransomware Data Room ha riscontrato evidenza di almeno 178 tentativi di estorsione cibernetiche e attacchi criminali operati da 20 attori di minaccia attivi nel periodo di riferimento. Il volume di attacchi registrati a Maggio è in calo del 29% sulla base mensile di Aprile. E’ stata inoltre riscontrata attività offensiva di due nuovi gruppi all’interno del panorama cyber criminale (Cheers e Mindware).  

Data Trends

Le estorsioni cibernetiche monitorate in questo mese si sono articolate in tre momenti. Nella prima settimana del mese i gruppi criminali hanno mantenuto un ritmo di attacco sostenuto, culminato con il picco del 6 Maggio 2022. Mentre la seconda metà, è stata caratterizzata da due momenti ad  intensità crescente intorno al 16 ed al 24 di Maggio. 

Le operazioni criminali di Everest, BlackByte ed in nuovo BlackBasta hanno insistito pesantemente nella prima offensiva del 6 Maggio, colpendo incessantemente e costringendo aziende ed ospedali a fermi delle operazioni. Intorno al 16 Maggio, invece, gli attacchi si sono intensificati a causa dell’insistenza di LockBit verso aziende italiane e giapponesi. Il picco del 24 Maggio è stato caratterizzato da operazioni differenti, Conti e Snatch hanno compromesso organizzazioni di elevata diversa caratura, compreso il gruppo francese Hemeria, fornitore di sistemi ad alta tecnologia e microsatelliti per le forze armate.  

Figura. Profilo dei tentativi di estorsione registrati nell’Maggio 2022.

Il bilancio degli attacchi a doppia estorsione di Maggio 2022 ha coinvolto 34 nazioni, leggermente inferiore rispetto al mese di Marzo ed Aprile, ad indicare una ulteriore concentrazione delle attività nei paesi coinvolti.

Dopo gli Stati Uniti, troviamo una espansione degli attacchi verso le imprese tedesce, al secondo posto globale, ed a seguire l’Italia, che continua a posizionarsi sempre tra le prime nazioni attaccate, a parimeritro con il Regno Unito. 

Figura. Nazioni più impattate da estorsioni cyber ad Maggio 2022

I verticali colpiti dalle estorsioni di Maggio sono stati 78: numerosissimi gli attacchi portati ai sistemi sanitari pubblici, a cliniche private, ospedali, aziende sanitarie ed ambulatori.

Gli attacchi sono stati pesantemente diretti anche verso i settori dei servizi informatici, ai produttori di software, ai provider di soluzioni ed ai system integrator, una parte estremamente delicata dalla supply chain di moltissime organizzazioni, spesso con livelli di accesso privilegiati alle infrastrutture informatiche aziendali, ai dati trattati e potenzialmente anche a segreti industriali.

Il settore del Food, altra tipica eccellenza italiana, è stato anch’esso colpito più volte dalle estorsioni cyber criminali posizionandosi nella “zona rossa” del grafico. 

Benchè meno colpiti, anche in settore dell’Automotive, del Banking e dell’industria Aerospaziale e della Difesa sono stati bersagliati più del solito dagli attacchi criminali, nonostante la grande maturità di questi settori, gli attacchi hanno penetrato le difese delle aziende, bloccato i sistemi e trafugato preziose informazioni. 

Figura. Settori produttivi più impattati da estorsioni ad Maggio 2022

Osservatorio

Tra i numerosi casi di attacco registrati a Maggio 2022, l’osservatorio ha valutato i seguenti casi di tentata doppia estorsione come di portata ed implicazione notevole per i rispettivi contesti di riferimento:   

Osservatorio italiano

Nel mese di Maggio 2022, l’osservatorio registra le seguenti estorsioni ransomware come maggiormente rilevanti nel contesto italiano: 

  • Everest, gang criminale autrice delle estorsioni a SIAE, ha messo in vendita dati di un noto fornitore di macchinari industriali particolarmente presente nella filiera dell’automotive italiana (link)
  • Alphv/BlackCat mette sotto estorsione l’italiana Tecnopack, leader nella produzione di macchinari per i colossi dell’industria alimentare mondiale (link
  • BlackByte attacca i servizi sanitari del nord Italia. I sistemi di ATS Insubria, dipartimento della sanità pubblica del Varesano, vengono bloccati dalla gang criminale (link)  
  • L’ospedale Fatebenefratelli Sacco di Miliano è attaccato da ransomware criminale, rimane bloccato per giorni (link

Osservatorio mondiale

A livello globale, l’osservatorio segnala le seguenti casistiche ed eventi impattanti il mondo ransomware di rilievo internazionale:

  • Il gruppo ospedaliero belga Vivalia è stato colpito da LockBit, sono stati impattati i servizi sanitari di 47 comuni, per lo più nella provincia del Lussemburgo (link)
  • Conti attacca gli enti governativi del Perù. Compromessa la Direzione Generale dell’Intelligence, DIGIMIN. (link
  • Conti mette in ginocchio il Costa Rica che dichiara lo stato di emergenza dopo aver subito attacchi ransomware a diverse agenzie governative (link
  • ACGO, colosso quotato al NYSE, primo produttore di macchinari agricoli statunitensi, ha subito un pesante attacco ransomware che ha portato a fermi produzione e perdità di proprietà intellettuale (link

Nuove Tattiche Tecniche e Procedure (TTPs)

Nel mese di Maggio 2022 la gang criminale LockBit ha rilasciato una nuova versione del suo ransomware: “LockBit Black”. La precedente versione, LockBit 2.0 era stata rilasciata quasi un anno fa, a metà del 2021, versione che è stata accompagnata anche dal cambio di paradigma dell’organizzazione criminale che nell’occasione migrò alle pratiche di doppia  estorsione.

LockBit Black, o LockBit3, rivela una evoluzione molto preoccupante nei livelli di maturità del malware usato dai criminali. Le funzionalità offensive supportate dalla nuova versione sono di fatti aumentate in maniera preoccupante. Dalle prime indiscrezione pare che gli sforzi degli sviluppatori di LockBit siano stati concentrati su due direttrici: 

  • L’aumento della velocità di cifratura e la massimizzazione del danno, ad esempio attraverso nuove modalità di encryption. LockBit già toccava quasi i 400 MB/s nel 2021, posizionandosi come lo strumento ransomware più veloce, le nuove modalità rilasciate accellerano ulteriormente questa performance rendendo LockBit3 ancora più pericoloso.
  • L’automazione dei playbook offensivi, sempre più in capo al ransomware che ne agli affliliati. Infatti, LockBit Black include più opzioni di Lateral Movement (TA0008) e Defense Evasion (TA0005) configurabili in modalità automatica, come ad esempio la posibilità di disabilitare Microsoft Defender, rimuovere i log degli eventi dal sistema, effettuare in wiping delle porzioni di disco inutilizzate per rendere difficoltose le analisi di forensic, ed auto propagarsi anche con PsExec, celebre strumento di amministrazione remota di Sysinternal.  
Opzioni “LockBit2.0”
Opzioni “LockBit2.0”

Luca Mella
Luca è un professionista della Cyber Security con una profonda passione per il mondo digitale e l’hacking. Luca è autore del progetto “doubleextortion.com”. Ha guidato il primo Computer Emergency Response Team (CERT) italiano certificato da Trusted Introducer ed insegna la malware analysis all’Università di Bologna, è un ex-membro del team “ANeSeC”, uno dei primi team italiani di cyber war-game nati nel lontano 2011.

Lista degli articoli

Articoli in evidenza

Linux Pwned! Privilege Escalation su SUDO in 5 secondi. HackerHood testa l’exploit CVE-2025-32463

Nella giornata di ieri, Red Hot Cyber ha pubblicato un approfondimento su una grave vulnerabilità scoperta in SUDO (CVE-2025-32463), che consente l’escalation dei privilegi a root in ambie...

Hackers nordcoreani a libro paga. Come le aziende hanno pagato stipendi a specialisti IT nordcoreani

Il Dipartimento di Giustizia degli Stati Uniti ha annunciato la scoperta di un sistema su larga scala in cui falsi specialisti IT provenienti dalla RPDC i quali ottenevano lavoro presso aziende americ...

Mi Ami, Non mi Ami? A scusa, sei un Chatbot!

Le persone tendono a essere più comprensive nei confronti dei chatbot se li considerano interlocutori reali. Questa è la conclusione a cui sono giunti gli scienziati dell’Universit&#x...

Sicurezza Reti Wi-Fi: La Sfida e le Soluzioni Adattive per l’Era Digitale

La Sfida della Sicurezza nelle Reti Wi-Fi e una Soluzione Adattiva. Nell’era della connettività pervasiva, lo standard IEEE 802.11(meglio noto come Wi-Fi ), è diventato la spina dorsa...

Cyberattack in Norvegia: apertura forzata della diga evidenzia la vulnerabilità dei sistemi OT/SCADA

Nel mese di aprile 2025, una valvola idraulica di una diga norvegese è stata forzatamente aperta da remoto per diverse ore, a seguito di un attacco informatico mirato. L’episodio, riportat...