Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

RHC ransomware Data Room – Febbraio 2022

Luca Mella : 28 Febbraio 2022 15:40

Autore: Dott. Luca Mella, Cyber Security Expert (founder doubleextortion.com)Data Pubblicazione: 28/02/2022

Negli ultimi anni, il fenomeno del ransomware è stato tanto dirompente da influire pesantemente nelle agende di sicurezza di moltissime organizzazioni, e non solo. La brutalità delle pratiche cyber criminali della doppia estorsione ha persino influito nelle politiche di Stati Uniti e Unione Europea: questi attacchi si sono sempre più rivelati strumento di pressione geopolitica nelle dialettiche tra le nazioni del Patto Atlantico e gli stati sotto l’influenza Russa, sino a divenire strumento di cyber-rappresaglia contestuali alle operazioni militari in Ucraina.

Monitorare gli attacchi ransomware moderni, le doppie estorsioni, uno dei “game-changer” che più sta condizionando il panorama della sicurezza cibernetica mondiale e nazionale, è la ragione fondante della Ransomware Data Room, un osservatorio, un luogo virtuale dove monitorare il fenomeno del ransomware attraverso la fattualità di dati e notizie.

Metodologia


Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:
L'acquisto del fumetto sul Cybersecurity Awareness
Ascoltando i nostri Podcast
Seguendo RHC su WhatsApp
Seguendo RHC su Telegram
Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.


Informazioni e dati su tentativi di estorsione cibernetica e attacchi ransomware sono acquisiti tramite dati OSINT, notizie pubbliche, open data, ed attraverso il portale doubleextortion.com.Report dell’Osservatorio.

Data Room: Febbraio 2022

La Ransomware Data Room ha riscontrato evidenza di almeno 206 tentativi di estorsione cibernetiche e attacchi criminali operati da 17 attori di minaccia attivi nel periodo di riferimento. In netto aumento rispetto ai circa 150 del mese precedente nonostante le attività siano state concentrate su meno attori attivi.

Data Trends

Gli attacchi osservati si sono distribuiti con cadenza elevata nel corso del mese, con un lieve rallentamento tra il 10 ed il 13 Febbraio 2022. Tuttavia, picchi di attività sono stati registrati il 21 Febbraio 2022 ed il 9 Febbraio 2022, data di pubblicazione dei breach degli attacchi compiuti verso PetroVietnam, compagnia petrolifera di stato vietnamita, da parte del gruppo cyber criminali russofono Snatch.

Il secondo picco registrato è stato invece a ridosso del 21 Febbraio 2022, pochi giorni prima dell’escalation militare russa che ha riportato la guerra in Europa dopo oltre 70 anni. Oltre alla ondata di attacchi rivolti alle imprese italiane portati a termine da LockBit, per lo più medie in questo frangente, il picco di attività ha portato con sé un pesante attacco del gruppo Hive verso le Hyundai Samho Heavy Industries, longevi costruttori di navi Sud Coreani che da decenni servono i mercati asiatici per la fornitura di flotte mercantili, ma anche militari attraverso la divisione Naval & Special Ship Business Unit (NSSBU).

Figura. Profilo dei tentativi di estorsione registrati nel Febbraio 2022.

In totale, compagnie ed enti di 41 nazioni sono state coinvolte in tentati attacchi a doppia estorsione nel Febbraio 2022. Anche questa volta, cumulativamente, l’occidente si conferma primo bersaglio.

Per volume di attacchi, spiccano a Febbraio gli Stati Uniti, primo paese su cui insistono le organizzazioni cyber criminali, ma ancora una volta i volumi ingenti di attacchi verso Regno Unito, Germania, Italia e Francia, stanno a ricordarci che l’area europea è il secondo bersaglio prediletto per le gang cyber criminali.

Benché la graduatoria delle nazioni più colpite non riservi mirabolanti sorprese, vi è un elemento di interesse: rispetto al mese di Gennaio la distribuzione degli attacchi sulle cinque nazioni più colpite è più uniforme, indice di una intensificazione delle operazioni sul territorio digitale europeo.

Figura. Nazioni più impattate da estorsioni cyber a Febbraio 2022

I verticali colpiti dalle estorsioni sono stati oltre 86. A differenza dello scorso mese, il settore manifatturiero è stato bersagliato con insistenza, specie nelle industrie nella lavorazione di metalli nel Regno Unito ed in Germania.

Inoltre, una serie di attacchi ad aziende che si occupano della produzione di Software ci rammenta di quanto ancora attuale sia il rischio delle supply chain del software, per le quali è ormai estremamente consigliato adottare approcci sistematici come le revisioni delle Software Bill of Material, e gli audit a fornitori.

Figura. Settori produttivi più impattati da estorsioni a Febbraio 2022

Osservatorio

Tra i numerosi casi di attacco registrati a Febbraio 2022, l’osservatorio ha valutato i seguenti casi di tentata doppia estorsione come di portata ed implicazione notevole per i rispettivi contesti di riferimento:  

Osservatorio italiano

Nel mese di Febbraio 2022, l’osservatorio registra le seguenti estorsioni ransomware come maggiormente rilevanti nel contesto italiano:

  • Attacco al gruppo italiano CIAM SpA da parte della Gang Conti, eccellenza umbra tra i leader italiani nella refrigerazione e nel designnel settore nel settore HO.RE.CA (link)
  • Estorsione gruppo CGT, holding del celebre brand di macchinari edili da cantiere “CAT”, attaccato dal gruppo criminale russo Alphvm/BlackCat (link)
  • Attacco ai danni della multiutilities Dolomiti Energia, compagnia trentina che serve energia, gas e acqua a centinaia di migliaia di famiglie nel trentino (link).
  • Estorsione e data leak all’agenzia governativa italiana per il turismo ENIT, ente di promozione coinvolto negli scandali del 2014, attaccato dai criminali russi di LockBit che hanno prelevato 4,5 GB di dati dai sistemi interni (link)

Osservatorio mondiale

A livello globale, l’osservatorio segnala le seguenti casistiche ed eventi impattanti il mondo ransomware di rilievo internazionale:

  • Attacchi alle infrastrutture e servizi aeroportuali di Swissport, leader svizzero nei ground services aeroportuali i cui sistemi informatici sono stati sabotati e posti sotto estorsione dalla gang criminale russa Alphvm/Blackcat (link)
  • Minacce ed attacchi informatici ai danni delle produzioni petrolifere olandesi e belghe con le estorsioni a Evos e SEA-Invest, player internazionali di supporto e logistica nelle operazioni offshore di estrazione petrolifera (link)
  • La reazione della gang criminale Conti ai contrattacchi cibernetici in risposta all’invasione delle truppe di terra russe in Ucraina, che ha dichiarato pubblicamente di supportare l’operazione militare e minacciato di rappresaglie chi avesse effettuato attacchi ai danni di agenzie russe, condizione che ha creato forte dissenso interno anche all’interno dell’ecosistema criminale di Conti stesso (link)

Nuove Tattiche Tecniche e Procedure (TTPs)

In questo mese, sono emerse nuove evoluzioni emergenti nelle pratiche di estorsione dell’ecosistema cyber criminale. In particolare, un portavoce della gang criminale Alphvm/Blackcat ha reso nota la roadmap di sviluppo dei servizi ransomware dell’organizzazione, indicando nuovi metodi estorsivi altamente pericolosi per chi cadrà vittima degli attacchi digitali a doppia estorsione.

Di seguito i principali quattro:

  • Servizi di call center in outsourcing per contattare massivamente i clienti finali delle aziende vittima dell’attacco, con possibilità di contatto diretto persino verso i competitor per informare dell’avvenuto furto di dati.
  • Servizi DDoS con botnet dedicata gestita direttamente gruppo Alphvm/Blackcat, differenziata rispetto ai servizi generalisti ed in grado di rimanere celata.
  • Servizi di brute forcing di credenziali con data center proprietari e GPU in affitto per migliorare l’efficacia delle intrusioni operate dagli affiliati, condizione che rende sempre più imminente la necessità della pervasività del secondo fattore di autenticazione per gli account amministrativi.
  • Servizi di distribuzione e storage dei dati rubati su delle sorte di “Mega” nella darknet, gestiti direttamente dal gruppo, resistenti ai blocchi dei provider di servizi di archiviazione tradizionali che renderebbero ancor più difficile la risposta alle pubblicazioni di dati rubati da parte delle aziende colpite.

Luca Mella
Luca è un professionista della Cyber Security con una profonda passione per il mondo digitale e l’hacking. Luca è autore del progetto “doubleextortion.com”. Ha guidato il primo Computer Emergency Response Team (CERT) italiano certificato da Trusted Introducer ed insegna la malware analysis all’Università di Bologna, è un ex-membro del team “ANeSeC”, uno dei primi team italiani di cyber war-game nati nel lontano 2011.

Lista degli articoli

Articoli in evidenza

38 milioni di Numeri di telefono di Italiani in vendita nel Dark Web. E’ che Smishing Sia!
Di Redazione RHC - 06/09/2025

Sette italiani su dieci hanno il proprio numero di telefono incluso in questa banca dati. Ma cosa significa attualmente disporre di un tale quantitativo di numeri telefonici concentrati all’interno ...

Se Flash è morto, ecco a voi l’SVG Assassino! Il phishing 2.0 è in alta definizione
Di Redazione RHC - 05/09/2025

I criminali informatici hanno lanciato una nuova ondata di attacchi che utilizzano file SVG per distribuire pagine di phishing. Gli esperti di VirusTotal hanno segnalato che gli aggressori si spaccian...

Supercomputer: l’Italia al sesto e decimo posto nella classifica TOP500 del 2025
Di Redazione RHC - 05/09/2025

Il mondo dei supercomputer è entrato nell’era dell’exascale computing. La classifica TOP500 di giugno per il 2025 ha registrato tre sistemi americani ai vertici, un debutto clamoroso dall’Europ...

16 miliardi di credenziali rubate da Apple, Meta e Google in vendita per 121.000 dollari
Di Redazione RHC - 05/09/2025

Il team di Darklab, la community di esperti di threat intelligence di Red Hot Cyber, ha individuato un annuncio sul marketplace del dark web “Tor Amazon”, l’analogo criminale del celebre e-comme...

Dal Commodore 64 a GitHub! Il BASIC di Gates e Allen diventa open source dopo 48 anni
Di Redazione RHC - 04/09/2025

Microsoft ha ufficialmente reso pubblico il codice sorgente della sua prima versione di BASIC per il processore MOS 6502, che per decenni è esistito solo sotto forma di fughe di notizie, copie da mus...