Autore: Dott. Luca Mella, Cyber Security Expert (founder doubleextortion.com)
Data Pubblicazione: 01/06/2022

Negli ultimi anni, il fenomeno del ransomware è stato tanto dirompente da influire pesantemente nelle agende di sicurezza di moltissime organizzazioni, e non solo. La brutalità delle pratiche cyber criminali della doppia estorsione ha persino influito nelle politiche di Stati Uniti e Unione Europea: questi attacchi si sono sempre più rivelati strumento di pressione geopolitica nelle dialettiche tra le nazioni del Patto Atlantico e gli stati sotto l’influenza Russa, sino a divenire strumento di cyber-rappresaglia contestuali alle  operazioni militari in Ucraina. 

Monitorare gli attacchi ransomware moderni, le doppie estorsioni, uno dei “game-changer” che più sta condizionando il panorama della sicurezza cibernetica mondiale e nazionale, è la ragione fondante della Ransomware Data Room, un osservatorio, un luogo virtuale dove monitorare il fenomeno del ransomware attraverso la fattualità di dati e notizie.

Metodologia

Informazioni e dati su tentativi di estorsione cibernetica e attacchi ransomware sono acquisiti tramite dati OSINT, notizie pubbliche, open data, ed attraverso il portale doubleextortion.com.

Report dell’Osservatorio

• Data Room: Gennaio 2022 (link)
• Data Room: Febbraio 2022 (link)
• Data Room: Marzo 2022 (link)
• Data Room: Aprile 2022 (link)

Data Room: Maggio 2022

La Ransomware Data Room ha riscontrato evidenza di almeno 178 tentativi di estorsione cibernetiche e attacchi criminali operati da 20 attori di minaccia attivi nel periodo di riferimento. Il volume di attacchi registrati a Maggio è in calo del 29% sulla base mensile di Aprile. E’ stata inoltre riscontrata attività offensiva di due nuovi gruppi all’interno del panorama cyber criminale (Cheers e Mindware).  

Data Trends

Le estorsioni cibernetiche monitorate in questo mese si sono articolate in tre momenti. Nella prima settimana del mese i gruppi criminali hanno mantenuto un ritmo di attacco sostenuto, culminato con il picco del 6 Maggio 2022. Mentre la seconda metà, è stata caratterizzata da due momenti ad  intensità crescente intorno al 16 ed al 24 di Maggio. 

Le operazioni criminali di Everest, BlackByte ed in nuovo BlackBasta hanno insistito pesantemente nella prima offensiva del 6 Maggio, colpendo incessantemente e costringendo aziende ed ospedali a fermi delle operazioni. Intorno al 16 Maggio, invece, gli attacchi si sono intensificati a causa dell’insistenza di LockBit verso aziende italiane e giapponesi. Il picco del 24 Maggio è stato caratterizzato da operazioni differenti, Conti e Snatch hanno compromesso organizzazioni di elevata diversa caratura, compreso il gruppo francese Hemeria, fornitore di sistemi ad alta tecnologia e microsatelliti per le forze armate.  

Il bilancio degli attacchi a doppia estorsione di Maggio 2022 ha coinvolto 34 nazioni, leggermente inferiore rispetto al mese di Marzo ed Aprile, ad indicare una ulteriore concentrazione delle attività nei paesi coinvolti.

Dopo gli Stati Uniti, troviamo una espansione degli attacchi verso le imprese tedesce, al secondo posto globale, ed a seguire l’Italia, che continua a posizionarsi sempre tra le prime nazioni attaccate, a parimeritro con il Regno Unito. 

I verticali colpiti dalle estorsioni di Maggio sono stati 78: numerosissimi gli attacchi portati ai sistemi sanitari pubblici, a cliniche private, ospedali, aziende sanitarie ed ambulatori.

Gli attacchi sono stati pesantemente diretti anche verso i settori dei servizi informatici, ai produttori di software, ai provider di soluzioni ed ai system integrator, una parte estremamente delicata dalla supply chain di moltissime organizzazioni, spesso con livelli di accesso privilegiati alle infrastrutture informatiche aziendali, ai dati trattati e potenzialmente anche a segreti industriali.

Il settore del Food, altra tipica eccellenza italiana, è stato anch’esso colpito più volte dalle estorsioni cyber criminali posizionandosi nella “zona rossa” del grafico. 

Benchè meno colpiti, anche in settore dell’Automotive, del Banking e dell’industria Aerospaziale e della Difesa sono stati bersagliati più del solito dagli attacchi criminali, nonostante la grande maturità di questi settori, gli attacchi hanno penetrato le difese delle aziende, bloccato i sistemi e trafugato preziose informazioni. 

Osservatorio

Tra i numerosi casi di attacco registrati a Maggio 2022, l’osservatorio ha valutato i seguenti casi di tentata doppia estorsione come di portata ed implicazione notevole per i rispettivi contesti di riferimento:   

Osservatorio italiano

Nel mese di Maggio 2022, l’osservatorio registra le seguenti estorsioni ransomware come maggiormente rilevanti nel contesto italiano: 

• Everest, gang criminale autrice delle estorsioni a SIAE, ha messo in vendita dati di un noto fornitore di macchinari industriali particolarmente presente nella filiera dell’automotive italiana (link)
• Alphv/BlackCat mette sotto estorsione l’italiana Tecnopack, leader nella produzione di macchinari per i colossi dell’industria alimentare mondiale (link) 
• BlackByte attacca i servizi sanitari del nord Italia. I sistemi di ATS Insubria, dipartimento della sanità pubblica del Varesano, vengono bloccati dalla gang criminale (link)  
• L’ospedale Fatebenefratelli Sacco di Miliano è attaccato da ransomware criminale, rimane bloccato per giorni (link) 

Osservatorio mondiale

A livello globale, l’osservatorio segnala le seguenti casistiche ed eventi impattanti il mondo ransomware di rilievo internazionale:

• Il gruppo ospedaliero belga Vivalia è stato colpito da LockBit, sono stati impattati i servizi sanitari di 47 comuni, per lo più nella provincia del Lussemburgo (link)
• Conti attacca gli enti governativi del Perù. Compromessa la Direzione Generale dell’Intelligence, DIGIMIN. (link) 
• Conti mette in ginocchio il Costa Rica che dichiara lo stato di emergenza dopo aver subito attacchi ransomware a diverse agenzie governative (link) 
• ACGO, colosso quotato al NYSE, primo produttore di macchinari agricoli statunitensi, ha subito un pesante attacco ransomware che ha portato a fermi produzione e perdità di proprietà intellettuale (link) 

Nuove Tattiche Tecniche e Procedure (TTPs)

Nel mese di Maggio 2022 la gang criminale LockBit ha rilasciato una nuova versione del suo ransomware: “LockBit Black”. La precedente versione, LockBit 2.0 era stata rilasciata quasi un anno fa, a metà del 2021, versione che è stata accompagnata anche dal cambio di paradigma dell’organizzazione criminale che nell’occasione migrò alle pratiche di doppia  estorsione.

LockBit Black, o LockBit3, rivela una evoluzione molto preoccupante nei livelli di maturità del malware usato dai criminali. Le funzionalità offensive supportate dalla nuova versione sono di fatti aumentate in maniera preoccupante. Dalle prime indiscrezione pare che gli sforzi degli sviluppatori di LockBit siano stati concentrati su due direttrici: 

• L’aumento della velocità di cifratura e la massimizzazione del danno, ad esempio attraverso nuove modalità di encryption. LockBit già toccava quasi i 400 MB/s nel 2021, posizionandosi come lo strumento ransomware più veloce, le nuove modalità rilasciate accellerano ulteriormente questa performance rendendo LockBit3 ancora più pericoloso.
• L’automazione dei playbook offensivi, sempre più in capo al ransomware che ne agli affliliati. Infatti, LockBit Black include più opzioni di Lateral Movement (TA0008) e Defense Evasion (TA0005) configurabili in modalità automatica, come ad esempio la posibilità di disabilitare Microsoft Defender, rimuovere i log degli eventi dal sistema, effettuare in wiping delle porzioni di disco inutilizzate per rendere difficoltose le analisi di forensic, ed auto propagarsi anche con PsExec, celebre strumento di amministrazione remota di Sysinternal.