Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

RHC ransomware Data Room – Febbraio 2022

Luca Mella : 28 Febbraio 2022 15:40

Autore: Dott. Luca Mella, Cyber Security Expert (founder doubleextortion.com)Data Pubblicazione: 28/02/2022

Negli ultimi anni, il fenomeno del ransomware è stato tanto dirompente da influire pesantemente nelle agende di sicurezza di moltissime organizzazioni, e non solo. La brutalità delle pratiche cyber criminali della doppia estorsione ha persino influito nelle politiche di Stati Uniti e Unione Europea: questi attacchi si sono sempre più rivelati strumento di pressione geopolitica nelle dialettiche tra le nazioni del Patto Atlantico e gli stati sotto l’influenza Russa, sino a divenire strumento di cyber-rappresaglia contestuali alle operazioni militari in Ucraina.

Monitorare gli attacchi ransomware moderni, le doppie estorsioni, uno dei “game-changer” che più sta condizionando il panorama della sicurezza cibernetica mondiale e nazionale, è la ragione fondante della Ransomware Data Room, un osservatorio, un luogo virtuale dove monitorare il fenomeno del ransomware attraverso la fattualità di dati e notizie.

Metodologia


PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Informazioni e dati su tentativi di estorsione cibernetica e attacchi ransomware sono acquisiti tramite dati OSINT, notizie pubbliche, open data, ed attraverso il portale doubleextortion.com.Report dell’Osservatorio.

Data Room: Febbraio 2022

La Ransomware Data Room ha riscontrato evidenza di almeno 206 tentativi di estorsione cibernetiche e attacchi criminali operati da 17 attori di minaccia attivi nel periodo di riferimento. In netto aumento rispetto ai circa 150 del mese precedente nonostante le attività siano state concentrate su meno attori attivi.

Data Trends

Gli attacchi osservati si sono distribuiti con cadenza elevata nel corso del mese, con un lieve rallentamento tra il 10 ed il 13 Febbraio 2022. Tuttavia, picchi di attività sono stati registrati il 21 Febbraio 2022 ed il 9 Febbraio 2022, data di pubblicazione dei breach degli attacchi compiuti verso PetroVietnam, compagnia petrolifera di stato vietnamita, da parte del gruppo cyber criminali russofono Snatch.

Il secondo picco registrato è stato invece a ridosso del 21 Febbraio 2022, pochi giorni prima dell’escalation militare russa che ha riportato la guerra in Europa dopo oltre 70 anni. Oltre alla ondata di attacchi rivolti alle imprese italiane portati a termine da LockBit, per lo più medie in questo frangente, il picco di attività ha portato con sé un pesante attacco del gruppo Hive verso le Hyundai Samho Heavy Industries, longevi costruttori di navi Sud Coreani che da decenni servono i mercati asiatici per la fornitura di flotte mercantili, ma anche militari attraverso la divisione Naval & Special Ship Business Unit (NSSBU).

Figura. Profilo dei tentativi di estorsione registrati nel Febbraio 2022.

In totale, compagnie ed enti di 41 nazioni sono state coinvolte in tentati attacchi a doppia estorsione nel Febbraio 2022. Anche questa volta, cumulativamente, l’occidente si conferma primo bersaglio.

Per volume di attacchi, spiccano a Febbraio gli Stati Uniti, primo paese su cui insistono le organizzazioni cyber criminali, ma ancora una volta i volumi ingenti di attacchi verso Regno Unito, Germania, Italia e Francia, stanno a ricordarci che l’area europea è il secondo bersaglio prediletto per le gang cyber criminali.

Benché la graduatoria delle nazioni più colpite non riservi mirabolanti sorprese, vi è un elemento di interesse: rispetto al mese di Gennaio la distribuzione degli attacchi sulle cinque nazioni più colpite è più uniforme, indice di una intensificazione delle operazioni sul territorio digitale europeo.

Figura. Nazioni più impattate da estorsioni cyber a Febbraio 2022

I verticali colpiti dalle estorsioni sono stati oltre 86. A differenza dello scorso mese, il settore manifatturiero è stato bersagliato con insistenza, specie nelle industrie nella lavorazione di metalli nel Regno Unito ed in Germania.

Inoltre, una serie di attacchi ad aziende che si occupano della produzione di Software ci rammenta di quanto ancora attuale sia il rischio delle supply chain del software, per le quali è ormai estremamente consigliato adottare approcci sistematici come le revisioni delle Software Bill of Material, e gli audit a fornitori.

Figura. Settori produttivi più impattati da estorsioni a Febbraio 2022

Osservatorio

Tra i numerosi casi di attacco registrati a Febbraio 2022, l’osservatorio ha valutato i seguenti casi di tentata doppia estorsione come di portata ed implicazione notevole per i rispettivi contesti di riferimento:  

Osservatorio italiano

Nel mese di Febbraio 2022, l’osservatorio registra le seguenti estorsioni ransomware come maggiormente rilevanti nel contesto italiano:

  • Attacco al gruppo italiano CIAM SpA da parte della Gang Conti, eccellenza umbra tra i leader italiani nella refrigerazione e nel designnel settore nel settore HO.RE.CA (link)
  • Estorsione gruppo CGT, holding del celebre brand di macchinari edili da cantiere “CAT”, attaccato dal gruppo criminale russo Alphvm/BlackCat (link)
  • Attacco ai danni della multiutilities Dolomiti Energia, compagnia trentina che serve energia, gas e acqua a centinaia di migliaia di famiglie nel trentino (link).
  • Estorsione e data leak all’agenzia governativa italiana per il turismo ENIT, ente di promozione coinvolto negli scandali del 2014, attaccato dai criminali russi di LockBit che hanno prelevato 4,5 GB di dati dai sistemi interni (link)

Osservatorio mondiale

A livello globale, l’osservatorio segnala le seguenti casistiche ed eventi impattanti il mondo ransomware di rilievo internazionale:

  • Attacchi alle infrastrutture e servizi aeroportuali di Swissport, leader svizzero nei ground services aeroportuali i cui sistemi informatici sono stati sabotati e posti sotto estorsione dalla gang criminale russa Alphvm/Blackcat (link)
  • Minacce ed attacchi informatici ai danni delle produzioni petrolifere olandesi e belghe con le estorsioni a Evos e SEA-Invest, player internazionali di supporto e logistica nelle operazioni offshore di estrazione petrolifera (link)
  • La reazione della gang criminale Conti ai contrattacchi cibernetici in risposta all’invasione delle truppe di terra russe in Ucraina, che ha dichiarato pubblicamente di supportare l’operazione militare e minacciato di rappresaglie chi avesse effettuato attacchi ai danni di agenzie russe, condizione che ha creato forte dissenso interno anche all’interno dell’ecosistema criminale di Conti stesso (link)

Nuove Tattiche Tecniche e Procedure (TTPs)

In questo mese, sono emerse nuove evoluzioni emergenti nelle pratiche di estorsione dell’ecosistema cyber criminale. In particolare, un portavoce della gang criminale Alphvm/Blackcat ha reso nota la roadmap di sviluppo dei servizi ransomware dell’organizzazione, indicando nuovi metodi estorsivi altamente pericolosi per chi cadrà vittima degli attacchi digitali a doppia estorsione.

Di seguito i principali quattro:

  • Servizi di call center in outsourcing per contattare massivamente i clienti finali delle aziende vittima dell’attacco, con possibilità di contatto diretto persino verso i competitor per informare dell’avvenuto furto di dati.
  • Servizi DDoS con botnet dedicata gestita direttamente gruppo Alphvm/Blackcat, differenziata rispetto ai servizi generalisti ed in grado di rimanere celata.
  • Servizi di brute forcing di credenziali con data center proprietari e GPU in affitto per migliorare l’efficacia delle intrusioni operate dagli affiliati, condizione che rende sempre più imminente la necessità della pervasività del secondo fattore di autenticazione per gli account amministrativi.
  • Servizi di distribuzione e storage dei dati rubati su delle sorte di “Mega” nella darknet, gestiti direttamente dal gruppo, resistenti ai blocchi dei provider di servizi di archiviazione tradizionali che renderebbero ancor più difficile la risposta alle pubblicazioni di dati rubati da parte delle aziende colpite.

Luca Mella
Luca è un professionista della Cyber Security con una profonda passione per il mondo digitale e l’hacking. Luca è autore del progetto “doubleextortion.com”. Ha guidato il primo Computer Emergency Response Team (CERT) italiano certificato da Trusted Introducer ed insegna la malware analysis all’Università di Bologna, è un ex-membro del team “ANeSeC”, uno dei primi team italiani di cyber war-game nati nel lontano 2011.

Lista degli articoli

Articoli in evidenza

Se è gratuito, il prodotto sei tu. Google paga 314 milioni di dollari per violazione dei dati agli utenti Android

Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...

CTF di RHC 2025. Ingegneria sociale in gioco: scopri la quarta “flag” non risolta

La RHC Conference 2025, organizzata da Red Hot Cyber, ha rappresentato un punto di riferimento per la comunità italiana della cybersecurity, offrendo un ricco programma di talk, workshop e compet...

Linux Pwned! Privilege Escalation su SUDO in 5 secondi. HackerHood testa l’exploit CVE-2025-32463

Nella giornata di ieri, Red Hot Cyber ha pubblicato un approfondimento su una grave vulnerabilità scoperta in SUDO (CVE-2025-32463), che consente l’escalation dei privilegi a root in ambie...

Hackers nordcoreani a libro paga. Come le aziende hanno pagato stipendi a specialisti IT nordcoreani

Il Dipartimento di Giustizia degli Stati Uniti ha annunciato la scoperta di un sistema su larga scala in cui falsi specialisti IT provenienti dalla RPDC i quali ottenevano lavoro presso aziende americ...

Mi Ami, Non mi Ami? A scusa, sei un Chatbot!

Le persone tendono a essere più comprensive nei confronti dei chatbot se li considerano interlocutori reali. Questa è la conclusione a cui sono giunti gli scienziati dell’Universit&#x...