Ransomware Data Room – Novembre 2022

Luca Mella : 5 Dicembre 2022 08:00

Autore: Dott. Luca Mella, Cyber Security Expert (founder doubleextortion.com)

Negli ultimi anni, il fenomeno del ransomware è stato tanto dirompente da influire pesantemente nelle agende di sicurezza di moltissime organizzazioni, e non solo. La brutalità delle pratiche cyber criminali della doppia estorsione ha persino influito nelle politiche di Stati Uniti e Unione Europea: questi attacchi si sono sempre più rivelati strumento di pressione geopolitica nelle dialettiche tra le nazioni del Patto Atlantico e gli stati sotto l’influenza Russa, sino a divenire strumento di cyber-rappresaglia contestuali alle  operazioni militari in Ucraina. 

Monitorare gli attacchi ransomware moderni, le doppie estorsioni, uno dei “game-changer” che più sta condizionando il panorama della sicurezza cibernetica mondiale e nazionale, è la ragione fondante della Ransomware Data Room, un osservatorio, un luogo virtuale dove monitorare il fenomeno del ransomware attraverso la fattualità di dati e notizie.

Metodologia

Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber "Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.  Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected] Supporta RHC attraverso: L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Informazioni e dati su tentativi di estorsione cibernetica e attacchi ransomware sono acquisiti tramite dati OSINT, notizie pubbliche, open data, ed attraverso il portale doubleextortion.com.

Report dell’Osservatorio

• Data Room: Gennaio 2022 (link)
• Data Room: Febbraio 2022 (link)
• Data Room: Marzo 2022 (link)
• Data Room: Aprile 2022 (link)
• Data Room: Maggio 2022 (link)
• Data Room: Giugno 2022 (link)
• Data Room: Luglio 2022 (link)
• Data Room: Agosto 2022 (link)
• Data Room: Settembre 2022 (link)
• Data Room: Ottobre 2022 (link)

Data Room: Novembre 2022

La Ransomware Data Room ha riscontrato evidenza di almeno 302 tentativi di estorsione cibernetiche e attacchi criminali operati da 30 attori di minaccia attivi nel periodo di riferimento. Il trend in aumento degli attacchi registrati questo Novembre lambisce il +22.9% rispetto alla base mensile di Ottobre. Oltre ai tuttaltro che trascurabili volumi, sono state registrate attività estorsive da parte di nuovi attori ransomware: Play ransomware, la gang Relic e DataLeak ransomware.

Data Trends

Le estorsioni cibernetiche monitorate dall’osservatorio sono questo mese in aumento rispetto alla base mensile. Gli attacchi manifestati dai gruppi cyber criminali sono stati persistenti durante tutto l’arco del mese, con picchi di attività estorsive registrati a ridosso dei primi giorni di Novembre, in seguito alternati per tutto l’intenso il mese. 

LockBit detiene il primato del collettivo più attivo nel periodo colpendo numerose aziende internazionali. Tuttavia nel corso del mese abbiamo assistito ad una consistente ripresa delle operazioni da parte della gang ransomware LV, particolarmente attiva proprio all’inizio del mese.

Durante i picchi della seconda metà Novembre, un coppioso volume di estorsioni è stato portato a termine dalle gang BlackCat e Bianlian, dirette per lo più verso organizzazioni statunitensi ed europee.

Le estorsioni digitali di Novembre 2022 hanno coinvolto almeno 61 nazioni in tutto il mondo, un numero di stati in espansione del +39.0% rispetto al quantitativo di Ottobre. Di consueto, gli attacchi dei criminali cibernetici si sono concentrati per la maggior parte verso gli Stati Uniti d’America.

Tuttavia, durante questo mese, il secondo posto della classifica finisce al di fuori dei confini Europei: a  Novembre l’India è stato il secondo paese per estorsioni. Gli stati europei non tardano però a comparire. Dopo il terzo gradino del Canada, troviamo Germania e Francia tra le vittime più colpite. 

Il dato di Novembre per l’Italia rimane cauto, il numero di attacchi è da ottava posizione. Comunque, il nostro paese rimane costantemente all’interno della top-10 nelle preferenze dei cyber criminali.

Tra le nazioni più colpite durante il mese, troviamo anche stati nel continente africano come Gambia, Uruguay, Nigeria ed Egitto. Un teatro solitamente meno presidiato dagli attaccanti di matrice criminale, la cui comparsa può significare un rafforzo degli interessi da parte degli attori operanti nell’underground cibernetico verso dati e documenti trattati dalle organizzazioni in questa delicata regione.

I verticali interessati dagli attacchi ransomware di Novembre sono stati 80. Le estorsioni durante il mese hanno interessato principalmente il settore pubblico e le organizzazioni governative. Verticali estremamente sensibili per la rilevanza geopolitica dei dati trattati e dei servizi erogati. 

Molteplici gli attacchi anche verso Istituti Finanziari, Banche e Fintech, un settore  estremamente critico che nonostante le regolamentazioni, continua ad essere posto a rischio dalle estorsioni cibernetiche.

Di estremo rilievo anche i volumi di attacchi verso tre verticali chiave per le supply chain di produzione e le infrastrutture critiche: il settore del software, dei servizi digitali e delle telecomunicazioni sono all’interno della “zona rossa” di questo mese per via dell’eccezionale bersagliamento da parte crimine informatico organizzato.

Osservatorio

Tra i numerosi casi di attacco registrati a Novembre 2022, l’osservatorio ha valutato i seguenti casi di tentata doppia estorsione come di portata ed implicazione notevole per i rispettivi contesti di riferimento:   

Osservatorio italiano

Nel mese di Novembre 2022, l’osservatorio registra le seguenti estorsioni ransomware come maggiormente rilevanti nel contesto italiano: 

• I criminali russi di BlackBasta attaccano il colosso italiano della meccatronica Bitron, con impatti in Europa, Sud-America e Asia (link)
• Hive attacca Landi Renzo, il colosso italiano dell’automotive leader nell’impistica per veicoli alimentati a GPL e Metano (link)
• Attacco al comune di Torre del Greco da parte di attori ransomware non identificati (link)
• Attacco alla Compagnia Valdostana delle Acque (CVA), azienda da 800 M€ che opera nella produzione di energia elettrica da fonti rinnovabili (link)
• Attacco  ransomware al Comune di Macerata operato dalla firma criminale Royal (link)
• Autovie Venete, concessionaria delle autostrade A4 Venezia-Trieste, A23 Palmanova-Udine Sud,A28 Portogruaro-Pordenone-Conegliano, A57 tangenziale di Mestre e della A34 Villesse Gorizia, viene colpita da un attacco ransomware non identificato (link)

Osservatorio mondiale

A livello globale, l’osservatorio segnala le seguenti casistiche ed eventi impattanti il mondo ransomware di rilievo internazionale:

• BlackBasta attacca Genesys Aerosystems, compagnia americana produttrice di autopiloti per aereoplani commerciali ed elicotteri i cui sistemi sono stati installati in oltre 40,000 velivoli.
• Gli affiliati di LockiBit hanno colpito il colosso Continental, leader mondiale nella produzione di pneumatici con 193 mila dipendenti. Oltre 40 TB di dati trafugati (link)
• Revil attacca Medibank, tra i principali istituti assicurativi sanitari in Austalia con 3.9 milioni di clienti, oltre l’attacco, i criminali hanno apertamente “consigliato” di vendere le azioni della compagnia.
• BlackBasta attacca Wilken Software Group, nota azienda tedesca produttrice di sistemi ERP per smart-cities e large enterprise.
• Royal ransomware attacca il circuito di Silverstone in Inghilterra, il noto tracciato che regolarmente ospita la celbre tappa del campionato di Formula 1 (link)
• ViceSociety attacca le subsidiary di Marocco e Kuwait di IKEA, il colosso multinazionale svedese dell’arredo moderno (link)

Nuove Tattiche Tecniche e Procedure (TTPs)

Durante il mese di Novembre sono stati osservati nuove attività ransomware provenienti da organizzazioni micro-criminali, meno evolute delle varianti ransomware collegate ai noti gruppi delle doppie estorsioni, ma comunque, sia per volumi, sia per diffusione, estremamente pericolose. 

Analisi recenti di Lab52 hanno mostrato che almeno 7 nuove famiglie ransomware in corso di diffusione nel micro-crimine (A.E.S.R.T, Clownic, ElevateRansom, CBTL, GetFu**ed, SLAM e AXLocker) utilizzano metodi di cifratura accumunati da due principali aspetti tecnici:

1. Le strutture del codice sono riconducibili ai pattern di Hidden Tear, il ransomware rilasciato in forma open source nell’Agosto del 2015.
2. In molti casi le procedure di cifratura comprendono le sole parti di crittazione simmetrica tramite chiave generata, a differenza di quanto avviene negli schemi di crittazione ransomware più avanzati, dove vengono utilizzate anche funzioni trapdoor. 

In aggiunta, alcune di queste famiglie ransomware diffuse nel micro-crimine utilizzano persino semi di generazione delle chiavi di cifratura simmetrica statici. Ciò implica che le eventuali richieste di ricatto operate da questi attori possono essere bypassate attraverso il reverse engineering e l’analisi crittografica dei campioni ransomware coinvolti negli incidenti.  

Luca Mella
Luca è un professionista della Cyber Security con una profonda passione per il mondo digitale e l’hacking. Luca è autore del progetto “doubleextortion.com”. Ha guidato il primo Computer Emergency Response Team (CERT) italiano certificato da Trusted Introducer ed insegna la malware analysis all’Università di Bologna, è un ex-membro del team “ANeSeC”, uno dei primi team italiani di cyber war-game nati nel lontano 2011.

Lista degli articoli