Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Ransomware Data Room – Novembre 2022

Luca Mella : 5 Dicembre 2022 08:00

Autore: Dott. Luca Mella, Cyber Security Expert (founder doubleextortion.com)

Negli ultimi anni, il fenomeno del ransomware è stato tanto dirompente da influire pesantemente nelle agende di sicurezza di moltissime organizzazioni, e non solo. La brutalità delle pratiche cyber criminali della doppia estorsione ha persino influito nelle politiche di Stati Uniti e Unione Europea: questi attacchi si sono sempre più rivelati strumento di pressione geopolitica nelle dialettiche tra le nazioni del Patto Atlantico e gli stati sotto l’influenza Russa, sino a divenire strumento di cyber-rappresaglia contestuali alle  operazioni militari in Ucraina. 

Monitorare gli attacchi ransomware moderni, le doppie estorsioni, uno dei “game-changer” che più sta condizionando il panorama della sicurezza cibernetica mondiale e nazionale, è la ragione fondante della Ransomware Data Room, un osservatorio, un luogo virtuale dove monitorare il fenomeno del ransomware attraverso la fattualità di dati e notizie.

Metodologia

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Informazioni e dati su tentativi di estorsione cibernetica e attacchi ransomware sono acquisiti tramite dati OSINT, notizie pubbliche, open data, ed attraverso il portale doubleextortion.com.

Report dell’Osservatorio

  • Data Room: Gennaio 2022 (link)
  • Data Room: Febbraio 2022 (link)
  • Data Room: Marzo 2022 (link)
  • Data Room: Aprile 2022 (link)
  • Data Room: Maggio 2022 (link)
  • Data Room: Giugno 2022 (link)
  • Data Room: Luglio 2022 (link)
  • Data Room: Agosto 2022 (link)
  • Data Room: Settembre 2022 (link)
  • Data Room: Ottobre 2022 (link)

Data Room: Novembre 2022

La Ransomware Data Room ha riscontrato evidenza di almeno 302 tentativi di estorsione cibernetiche e attacchi criminali operati da 30 attori di minaccia attivi nel periodo di riferimento. Il trend in aumento degli attacchi registrati questo Novembre lambisce il +22.9% rispetto alla base mensile di Ottobre. Oltre ai tuttaltro che trascurabili volumi, sono state registrate attività estorsive da parte di nuovi attori ransomware: Play ransomware, la gang Relic e DataLeak ransomware.

Data Trends

Le estorsioni cibernetiche monitorate dall’osservatorio sono questo mese in aumento rispetto alla base mensile. Gli attacchi manifestati dai gruppi cyber criminali sono stati persistenti durante tutto l’arco del mese, con picchi di attività estorsive registrati a ridosso dei primi giorni di Novembre, in seguito alternati per tutto l’intenso il mese. 

LockBit detiene il primato del collettivo più attivo nel periodo colpendo numerose aziende internazionali. Tuttavia nel corso del mese abbiamo assistito ad una consistente ripresa delle operazioni da parte della gang ransomware LV, particolarmente attiva proprio all’inizio del mese.

Durante i picchi della seconda metà Novembre, un coppioso volume di estorsioni è stato portato a termine dalle gang BlackCat e Bianlian, dirette per lo più verso organizzazioni statunitensi ed europee.

Profilo dei tentativi di estorsione registrati nell’Ottobre 2022.

Le estorsioni digitali di Novembre 2022 hanno coinvolto almeno 61 nazioni in tutto il mondo, un numero di stati in espansione del +39.0% rispetto al quantitativo di Ottobre. Di consueto, gli attacchi dei criminali cibernetici si sono concentrati per la maggior parte verso gli Stati Uniti d’America.

Tuttavia, durante questo mese, il secondo posto della classifica finisce al di fuori dei confini Europei: a  Novembre l’India è stato il secondo paese per estorsioni. Gli stati europei non tardano però a comparire. Dopo il terzo gradino del Canada, troviamo Germania e Francia tra le vittime più colpite. 

Il dato di Novembre per l’Italia rimane cauto, il numero di attacchi è da ottava posizione. Comunque, il nostro paese rimane costantemente all’interno della top-10 nelle preferenze dei cyber criminali.

Tra le nazioni più colpite durante il mese, troviamo anche stati nel continente africano come Gambia, Uruguay, Nigeria ed Egitto. Un teatro solitamente meno presidiato dagli attaccanti di matrice criminale, la cui comparsa può significare un rafforzo degli interessi da parte degli attori operanti nell’underground cibernetico verso dati e documenti trattati dalle organizzazioni in questa delicata regione.

Nazioni più impattate da estorsioni cyber a Novembre 2022

I verticali interessati dagli attacchi ransomware di Novembre sono stati 80. Le estorsioni durante il mese hanno interessato principalmente il settore pubblico e le organizzazioni governative. Verticali estremamente sensibili per la rilevanza geopolitica dei dati trattati e dei servizi erogati. 

Molteplici gli attacchi anche verso Istituti Finanziari, Banche e Fintech, un settore  estremamente critico che nonostante le regolamentazioni, continua ad essere posto a rischio dalle estorsioni cibernetiche.

Di estremo rilievo anche i volumi di attacchi verso tre verticali chiave per le supply chain di produzione e le infrastrutture critiche: il settore del software, dei servizi digitali e delle telecomunicazioni sono all’interno della “zona rossa” di questo mese per via dell’eccezionale bersagliamento da parte crimine informatico organizzato.

Settori produttivi più impattati da estorsioni ad Novembre 2022

Osservatorio

Tra i numerosi casi di attacco registrati a Novembre 2022, l’osservatorio ha valutato i seguenti casi di tentata doppia estorsione come di portata ed implicazione notevole per i rispettivi contesti di riferimento:   

Osservatorio italiano

Nel mese di Novembre 2022, l’osservatorio registra le seguenti estorsioni ransomware come maggiormente rilevanti nel contesto italiano: 

  • I criminali russi di BlackBasta attaccano il colosso italiano della meccatronica Bitron, con impatti in Europa, Sud-America e Asia (link)
  • Hive attacca Landi Renzo, il colosso italiano dell’automotive leader nell’impistica per veicoli alimentati a GPL e Metano (link)
  • Attacco al comune di Torre del Greco da parte di attori ransomware non identificati (link)
  • Attacco alla Compagnia Valdostana delle Acque (CVA), azienda da 800 M€ che opera nella produzione di energia elettrica da fonti rinnovabili (link)
  • Attacco  ransomware al Comune di Macerata operato dalla firma criminale Royal (link)
  • Autovie Venete, concessionaria delle autostrade A4 Venezia-Trieste, A23 Palmanova-Udine Sud,A28 Portogruaro-Pordenone-Conegliano, A57 tangenziale di Mestre e della A34 Villesse Gorizia, viene colpita da un attacco ransomware non identificato (link)

Osservatorio mondiale

A livello globale, l’osservatorio segnala le seguenti casistiche ed eventi impattanti il mondo ransomware di rilievo internazionale:

  • BlackBasta attacca Genesys Aerosystems, compagnia americana produttrice di autopiloti per aereoplani commerciali ed elicotteri i cui sistemi sono stati installati in oltre 40,000 velivoli.
  • Gli affiliati di LockiBit hanno colpito il colosso Continental, leader mondiale nella produzione di pneumatici con 193 mila dipendenti. Oltre 40 TB di dati trafugati (link)
  • Revil attacca Medibank, tra i principali istituti assicurativi sanitari in Austalia con 3.9 milioni di clienti, oltre l’attacco, i criminali hanno apertamente “consigliato” di vendere le azioni della compagnia.
  • BlackBasta attacca Wilken Software Group, nota azienda tedesca produttrice di sistemi ERP per smart-cities e large enterprise.
  • Royal ransomware attacca il circuito di Silverstone in Inghilterra, il noto tracciato che regolarmente ospita la celbre tappa del campionato di Formula 1 (link)
  • ViceSociety attacca le subsidiary di Marocco e Kuwait di IKEA, il colosso multinazionale svedese dell’arredo moderno (link)

Nuove Tattiche Tecniche e Procedure (TTPs)

Durante il mese di Novembre sono stati osservati nuove attività ransomware provenienti da organizzazioni micro-criminali, meno evolute delle varianti ransomware collegate ai noti gruppi delle doppie estorsioni, ma comunque, sia per volumi, sia per diffusione, estremamente pericolose. 

Analisi recenti di Lab52 hanno mostrato che almeno 7 nuove famiglie ransomware in corso di diffusione nel micro-crimine (A.E.S.R.T, Clownic, ElevateRansom, CBTL, GetFu**ed, SLAM e AXLocker) utilizzano metodi di cifratura accumunati da due principali aspetti tecnici:

  1. Le strutture del codice sono riconducibili ai pattern di Hidden Tear, il ransomware rilasciato in forma open source nell’Agosto del 2015.
  2. In molti casi le procedure di cifratura comprendono le sole parti di crittazione simmetrica tramite chiave generata, a differenza di quanto avviene negli schemi di crittazione ransomware più avanzati, dove vengono utilizzate anche funzioni trapdoor. 

In aggiunta, alcune di queste famiglie ransomware diffuse nel micro-crimine utilizzano persino semi di generazione delle chiavi di cifratura simmetrica statici. Ciò implica che le eventuali richieste di ricatto operate da questi attori possono essere bypassate attraverso il reverse engineering e l’analisi crittografica dei campioni ransomware coinvolti negli incidenti.  

Luca Mella
Luca è un professionista della Cyber Security con una profonda passione per il mondo digitale e l’hacking. Luca è autore del progetto “doubleextortion.com”. Ha guidato il primo Computer Emergency Response Team (CERT) italiano certificato da Trusted Introducer ed insegna la malware analysis all’Università di Bologna, è un ex-membro del team “ANeSeC”, uno dei primi team italiani di cyber war-game nati nel lontano 2011.

Lista degli articoli

Articoli in evidenza

Sicurezza è Lavoro: dal cantiere al cloud, dobbiamo proteggere chi costruisce l’Italia!

1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...

Buon World Password Day! Tra MIT, Hacker, Infostealer e MFA. Perchè sono così vulnerabili

Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...

Benvenuti su Mist Market: dove con un click compri droga, identità e banconote false

Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...

La Cina Accusa la NSA di aver usato Backdoor Native su Windows per hackerare i Giochi Asiatici

Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico s...

WindTre comunica un DataBreach che ha coinvolto i sistemi dei rivenditori

Il 25 febbraio 2025 WindTre ha rilevato un accesso non autorizzato ai sistemi informatici utilizzati dai propri rivenditori. L’intrusione, riconosciuta come un’azione malevola, è st...