Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

Ransomware Data Room – Ottobre 2022

Luca Mella : 3 Novembre 2022 08:41

Autore: Dott. Luca Mella, Cyber Security Expert (founder doubleextortion.com)

Negli ultimi anni, il fenomeno del ransomware è stato tanto dirompente da influire pesantemente nelle agende di sicurezza di moltissime organizzazioni, e non solo. La brutalità delle pratiche cyber criminali della doppia estorsione ha persino influito nelle politiche di Stati Uniti e Unione Europea: questi attacchi si sono sempre più rivelati strumento di pressione geopolitica nelle dialettiche tra le nazioni del Patto Atlantico e gli stati sotto l’influenza Russa, sino a divenire strumento di cyber-rappresaglia contestuali alle  operazioni militari in Ucraina. 

Monitorare gli attacchi ransomware moderni, le doppie estorsioni, uno dei “game-changer” che più sta condizionando il panorama della sicurezza cibernetica mondiale e nazionale, è la ragione fondante della Ransomware Data Room, un osservatorio, un luogo virtuale dove monitorare il fenomeno del ransomware attraverso la fattualità di dati e notizie.

Metodologia


PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Informazioni e dati su tentativi di estorsione cibernetica e attacchi ransomware sono acquisiti tramite dati OSINT, notizie pubbliche, open data, ed attraverso il portale doubleextortion.com.

Report dell’Osservatorio

  • Data Room: Gennaio 2022 (link)
  • Data Room: Febbraio 2022 (link)
  • Data Room: Marzo 2022 (link)
  • Data Room: Aprile 2022 (link)
  • Data Room: Maggio 2022 (link)
  • Data Room: Giugno 2022 (link)
  • Data Room: Luglio 2022 (link)
  • Data Room: Agosto 2022 (link)
  • Data Room: Settembre 2022 (link)

Data Room: Ottobre 2022

La Ransomware Data Room ha riscontrato evidenza di almeno 248 tentativi di estorsione cibernetiche e attacchi criminali operati da 22 attori di minaccia attivi nel periodo di riferimento. Il volume di attacchi registrati a Ottobre è in aumento a doppia cifra del +20.4% rispetto alla base mensile di Settembre.

Data Trends

Le estorsioni cibernetiche monitorate dall’osservatorio sono questo mese in leggero aumento rispetto alla base mensile. Gli attacchi manifestati dai gruppi cyber criminali si sono  concentrati in tre momenti: a ridosso del primo, del 17 e del 30 di Ottobre 2022, dove sono state registrate intense attività estorsive. 

L’organizzazione criminale di LockBit rimane il collettivo più attivo nel periodo colpendo aziende internazionali specializzate in business process outsourcing e nella supply chain di grandi aziende europee, insieme a Karakurt – seconda gang più attiva – considerato uno dei satelliti di Conti specializzato nella data extortion.

Nel picco del 17 del mese, di particolare rilievo, la serie di operazioni estorsive registrate ad opera di ViceSociety verso numerose organizzazioni educative e distretti scolastici.

Figura. Profilo dei tentativi di estorsione registrati nell’Ottobre 2022.

Le estorsioni digitali di Ottobre 2022 hanno coinvolto almeno 47 nazioni in tutto il mondo. Gli attacchi dei criminali cibernetici hanno colpito gli Stati Uniti d’America con maggiore forza rispetto ai mesi precedenti.

Sul versante europeo la situazione non è affatto rosea: Germania, Regno Unito sono le due nazioni più colpite questo mese. L’Italia, se pur più defilata rispetto al grosso dei colpi sferrati gang criminali più pericolose, risulta al quarto posto posto al pari della Spagna. Dopo la relativa quiete del mese di Settembre, il dato di Ottobre rappresenta senz’altro un innalzato livello di rischio per il tessuto sociale ed economico del Belpaese.

Inoltre, questo mese si registrano inoltre intensificazioni anche nelle attività ai danni di organizzazioni est-europee in Polonia, Serbia e Montenegro.

Figura. Nazioni più impattate da estorsioni cyber ad Ottobre 2022

I verticali interessati dagli attacchi ransomware di Settembre sono stati 83. Le razzie digitali dei criminali informatici hanno questo mese visto come principale protagonisti il settore della sanità ed il pubblico. Due verticali estremamente sensibili per le tipologie di dati trattati e per la sensibilità dei servizi come ospedali, organizzazioni sanitarie, cliniche e centri di ricerca medici. 

Sono state inoltre registrate attività estorsive verso diversi gruppi industriali specializzati nel settore delle costruzioni pesanti e dei macchinari industriali, settori che vedono al loro interno varie tipologie di compagnie: studi di progettazione di ingegneria, costruttori di infrastrutture critiche, società di certificazione, ispezione e manutenzione di impianti e infrastrutture.

Tuttavia, altri due settori fanno capolino nella parte alta della classifica di questo mese: le imprese di Telecomunicazioni e le filiere della Difesa, diverse delle quali appartenenti al panorama industriale francese.

Ottobre ha visto inoltre una serie di attacchi anche rivolti alle impresi di produzione di macchinari industriali, specie in Germania e Italia.

Figura. Settori produttivi più impattati da estorsioni ad Ottobre 2022

Osservatorio

Tra i numerosi casi di attacco registrati a Ottobre 2022, l’osservatorio ha valutato i seguenti casi di tentata doppia estorsione come di portata ed implicazione notevole per i rispettivi contesti di riferimento:   

Osservatorio italiano

Nel mese di Settembre 2022, l’osservatorio registra le seguenti estorsioni ransomware come maggiormente rilevanti nel contesto italiano: 

  • RansomEXX pubblica online 7GB di dati riconducibili alle supply chain di Ferrari (link)
  • Ragnar Locker pubblica 35GB di dati dopo l’attacco a Dollmar Spa, azienda leader italiana nel settore chimico (link)
  • Alphv pubblica online 28 GB di dati dalle intrusioni in GSE del mese scorso (link)
  • Comune di Rosignano Marittimo è colpito da un attacco ransomware (link)
  • Covisan, società che serve i principali operatori nei settori dei servizi finanziari, energia, retail e telecomunicazioni, viene colpita da un attacco ransomware (link)
  • L’italiana R1 nuovamente presa sotto estorsione da parte del gruppo Karakurt (link

Osservatorio mondiale

A livello globale, l’osservatorio segnala le seguenti casistiche ed eventi impattanti il mondo ransomware di rilievo internazionale:

  • I criminali di Everest ricattano clinica pediatrica specializzata negli Stati Uniti (link)
  • la gang Cuba attacca Global Inspection Services, azienda multinazionale specializzata nella conduzione di ispezioni, due diligence, qualificazione di fornitori e certificazioni per centrali elettriche, impianti meccanici, e infrastrutture oil&gas.
  • I criminali di Snatch hanno attaccato Oil India Limited, impresa pubblica del Ministero del Petrolio e del Gas Naturale del governo indiano specializzata nel trasporto e nella produzione di LPG.
  • Alphvm attacca Egyptian Electric Cooperative Association, cooperativa elettrica statunitense che distribuisce energia in molte delle regioni del sud dell’Illinois.
  • Alphvm prende di mira il Comando Conjunto de las Fuerzas Armadas Del Ecuador, organizzazione militare che ha lo scopo di difendere la sovranità territoriale per il supporto allo sviluppo nazionale dell’Equador, rubando documenti strategici e segreti militari.
  • Lockbit attacca Marktel, azienda spagnola specializzata in business process outsourcing nella supply chain di grandi gruppi industriali, telecomunicazioni ed energy.
  • Snatch attacca NEXEYA Group, dal 2019 sussidiaria francese di HENSOLDT, industria specializzata nella realizzazione di sistemi elettronici militari per la gestione del campo di battaglia con tecnologie IFF (Identification Friend or Foe) di ultima generazione.

Nuove Tattiche Tecniche e Procedure (TTPs)

Il mese di Ottobre sono state osservate pratiche offensive volte a rallentare ulteriormente le operazioni di ripristino in caso di attacco ransomware. 

In particolare è stata osservata da parte di affiliati al programma criminale Vice Sociery l’utilizzo di tecniche di rimozione accessi agli account utente utilizzati nelle aziende colpite (T1531).

Infatti, nel corso delle campagne di attacco verso numerosi distretti scolastici negli Stati Uniti durante il mese, Microsoft ha osservato i criminali di Vice Society effettuare un take over di due amministratori di sistema  ed il reset di oltre 150 mila password utente contestualmente al lancio del ransomware vero. Questa brutale pratica risulta estremamente dannosa durante le prime operazioni di rimedio in quanto persino gli accessi ai sistemi non colpiti dalla cifratura vengono inibiti, rallentando le seguenti attività di primo intervento. 

Luca Mella
Luca è un professionista della Cyber Security con una profonda passione per il mondo digitale e l’hacking. Luca è autore del progetto “doubleextortion.com”. Ha guidato il primo Computer Emergency Response Team (CERT) italiano certificato da Trusted Introducer ed insegna la malware analysis all’Università di Bologna, è un ex-membro del team “ANeSeC”, uno dei primi team italiani di cyber war-game nati nel lontano 2011.

Lista degli articoli

Articoli in evidenza

Se è gratuito, il prodotto sei tu. Google paga 314 milioni di dollari per violazione dei dati agli utenti Android

Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...

CTF di RHC 2025. Ingegneria sociale in gioco: scopri la quarta “flag” non risolta

La RHC Conference 2025, organizzata da Red Hot Cyber, ha rappresentato un punto di riferimento per la comunità italiana della cybersecurity, offrendo un ricco programma di talk, workshop e compet...

Linux Pwned! Privilege Escalation su SUDO in 5 secondi. HackerHood testa l’exploit CVE-2025-32463

Nella giornata di ieri, Red Hot Cyber ha pubblicato un approfondimento su una grave vulnerabilità scoperta in SUDO (CVE-2025-32463), che consente l’escalation dei privilegi a root in ambie...

Hackers nordcoreani a libro paga. Come le aziende hanno pagato stipendi a specialisti IT nordcoreani

Il Dipartimento di Giustizia degli Stati Uniti ha annunciato la scoperta di un sistema su larga scala in cui falsi specialisti IT provenienti dalla RPDC i quali ottenevano lavoro presso aziende americ...

Mi Ami, Non mi Ami? A scusa, sei un Chatbot!

Le persone tendono a essere più comprensive nei confronti dei chatbot se li considerano interlocutori reali. Questa è la conclusione a cui sono giunti gli scienziati dell’Universit&#x...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006