Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

RHC ransomware Data Room – Gennaio 2022

Luca Mella : 2 Febbraio 2022 08:34

Autore: Dott. Luca Mella, Cyber Security Expert (founder doubleextortion.com)

Data Pubblicazione: 5/02/2022

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Negli ultimi anni, il fenomeno del ransomware è stato tanto dirompente da influire pesantemente nelle agende di sicurezza di moltissime aziende, organizzazioni, e non solo.

La dirompente brutalità delle pratiche cyber criminali della doppia estorsione ha persino influito nelle politiche di Stati Uniti e Unione Europea: questi attacchi si sono sempre più rivelati strumento di pressione geopolitica nelle dialettiche tra le nazioni del Patto Atlantico e gli stati sotto l’influenza Russa.

Monitorare gli attacchi ransomware moderni, le doppie estorsioni, uno dei “game-changer” che più sta condizionando il panorama della sicurezza cibernetica mondiale e nazionale, è la ragione fondante della Ransomware Data Room, un osservatorio, un luogo virtuale dove monitorare il fenomeno del ransomware attraverso la fattualità di dati e notizie.

Metodologia.

Informazioni e dati su tentativi di estorsione cibernetica e attacchi ransomware sono acquisiti tramite dati OSINT, notizie pubbliche, open data, ed attraverso il portale doubleextortion.com.

Data Room: Gennaio 2022

La Ransomware Data Room ha riscontrato evidenza di almeno 153 tentativi di estorsione cibernetiche e attacchi criminali operati da 24 attori di minaccia attivi nel periodo di riferimento.

Data Trends

Gli attacchi osservati si sono distribuiti con cadenza costante nella prima parte del mese, nel termine delle festività natalizie italiane ed a ridosso delle festività ortodosse. In questo frangente si sono registrati picchi di attività il 12 Gennaio 2022 ed il 17 Gennaio 2022, data di pubblicazione del data leak del colosso del lusso italiano Moncler da parte del nuovo gruppo cyber criminale Alphvm/BlackCat.

In seguito, è stato registrato uno spiccato aumento di attività tra il 25 ed il 27 Gennaio 2022 a causa di una intensa operatività dei gruppi LockBit e Snatch, dove è stato riscontrato il potenziale coinvolgimento del Ministero di Giustizia francese tra le vittime dei tentativi di estorsione.


Figura. Profilo dei tentativi di estorsione registrati nel Gennaio 2022.

Organizzazioni di 33 nazioni sono state oggetto di tentativi di doppia estorsione ransomware nel Gennaio 2022, cumulativamente, l’occidente si conferma primo bersaglio di questo dirompente fenomeno.

Tuttavia, tra queste ne spiccano cinque per volumi di attacchi: gli Stati Uniti, primo paese su cui insistono le organizzazioni cyber criminali, ma anche Francia, Regno Unito, Germania e Italia a rappresentare l’area economica europea come altro punto fermo degli interessi estorsivi delle gang cyber criminali.

Di particolare interesse in questo frangente è un’accanita intensificazione registrata nella seconda metà del periodo verso le realtà francesi che hanno persino coinvolto enti governativi centrali come il Ministero della Giustizia Francese, con tempismi e circostanze che aprono a grandi punti interrogativi sulle possibili correlazioni con le tensioni internazionali per la questione Ucraina.


Figura. Nazioni più impattate da estorsioni cyber a Gennaio 2022

I verticali impattati dalle estorsioni sono stati oltre 60, ma tra questi alcuni con più insistenza. La filiera delle costruzioni e delle infrastrutture è stata tra le più colpite dalle operazioni cyber criminali, insieme al manifatturiero, colonna portante delle economie occidentali.

Spiccano inoltre una serie di attacchi ad aziende che si occupano di fornire servizi a supporto del business, come accounting, consulenza manageriale, supporto nella gestione e recruiting, ma questa non è l’unica sorpresa: aziende operanti nei servizi finanziari sono anch’esse pesantemente coinvolte dai tentativi di estorsione criminale. Questo dato riserva una forte preoccupazione specie per via della forte regolamentazione che da sempre caratterizza questo verticale e per la sensibilità delle informazioni trattate.


Figura. Settori produttivi più impattati da estorsioni a Gennaio 2022

Osservatorio

Tra i numerosi casi di attacco registrati a Gennaio 2022, l’osservatorio ha valutato i seguenti casi di tentata doppia estorsione come di portata ed implicazione particolarmente notevole per i rispettivi settori e contesti di riferimento:

Osservatorio italiano

Nel mese di Gennaio 2022, l’osservatorio registra le seguenti estorsioni ransomware come maggiormente rilevanti nel contesto italiano:

  • Compromissione ed estorsione della ASL Napoli 3 Sud, dove la gang Sabbath ha dichiarato l’infiltrazione di 240 server dell’ente ed il bypass degli strumenti di difesa di nuova generazione Cortex in uso all’ente;
  • Compromissione di medie aziende private italiane come U.FORM presa di mira da Grief Ransomware e LA PONTE MARMI, presa di mira dal ransomware LockBit 2.0;
  • Compromissione del Comune di Rivoli, dove a causa di un ancora ignoto attacco informatico, sono rimasti isolati i servizi di stato civile ed anagrafe.

Osservatorio mondiale

A livello globale, l’osservatorio segnala le seguenti casistiche ed eventi impattanti il mondo ransomware di rilievo internazionale:

  • Attacchi all’industria del lusso con la tentata estorsione al gruppo Moncler, i cui dati sono stati pubblicati il 17 Gennaio 2022 dopo gli hackeraggi del 23 Dicembre 2021;
  • Minacce ed estorsioni nel settore della difesa israeliana, Rafael Advanced Defense Systems, ad opera di MosesStaff che minaccia di pubblicare locazioni di uffici e residenze di ufficiali e personale della azienda produttrice di missili e sistemi antimissile;
  • Tentativi di estorsione ai danni del Ministero della Giustizia Francese apparso nel portale della gang criminale LockBit;
  • Arresto di 14 presunti membri della gang REvil, operato direttamente dall’FSB russo in circostanze ed in momenti di particolare tensione internazionale.

Nuove Tattiche Tecniche e Procedure (TTPs)

In questo mese, è stata rilevato un nuovo metodo di estorsione, relativamente al ransomware DeadBolt, che ha colpito attraverso uno zeroday, I NAS del Famoso vendor QNAP. Nello specifico, la cyber gang oltre a prendere di mira I possessori dei NAS, chiedendo per la chiave di cifratura 0,03 bitcoin (circa 1.100 dollari), si è rivolta alla stessa QNAP dicendo che se è disposta a pagare 5 Bitcoin del valore di 184.000 dollari, avrebbe fornito l’exploit dello zeroday utilizzato. Inoltre, nel messaggio, ha chiesto sempre a QNAP la cifra di 50 bitcoin del valore di circa 1,9 milioni di dollari, per rilasciare la chiave principale di decrittazione per sbloccare tutte le vittime dell’infezione.

Si sta inoltre assistendo ad un incremento dell’offerta RaaS relativamente ai ransomware Linux, infatti oltre che a HelloKitty, BlackMatter, REvil, AvosLocker e Hive, di recente LockBit ha concentrato parte dei suoi sforzi per compromettere le macchine virtuali VMware ESXi ospitate sui server Linux per poi attivare il payload di cifratura. Questo denota un interesse che si sta spostando dai server fisici alle macchine virtuali che oggi vengono utilizzate da tutte le aziende per risparmiare risorse dei computer, consolidare i server e semplificare le operazioni di backup.

Inoltre, fonti confidenziali hanno riportato l’utilizzo di pratiche di estorsione secondarie tramite l’invio di comunicazioni minatorie a clienti di aziende vittima di attacco ransomware anche nel panorama italiano.

Luca Mella
Luca è un professionista della Cyber Security con una profonda passione per il mondo digitale e l’hacking. Luca è autore del progetto “doubleextortion.com”. Ha guidato il primo Computer Emergency Response Team (CERT) italiano certificato da Trusted Introducer ed insegna la malware analysis all’Università di Bologna, è un ex-membro del team “ANeSeC”, uno dei primi team italiani di cyber war-game nati nel lontano 2011.

Articoli in evidenza

L’evoluzione dell’Identità Digitale: Dalle Password alla MFA. Le cose che devi sapere

L’essere umano nella vita quotidiana ha avuto sempre la necessità di essere riconosciuto ed identificato per usufruire di servizi e prestazioni. Ciò è stato possibile utilizzando...

Apache Tomcat sotto attacco: grave vulnerabilità RCE. Exploit pubblico e sfruttamento in corso

Una bug recentemente scoperto su Apache Tomcat è sfruttato attivamente a seguito del rilascio di una proof-of-concept (PoC) pubblica, 30 ore dopo la divulgazione ufficiale Si tratta del ...

51 anni, russo-israeliano e genio del crimine. il talento tecnologico non ha limiti anagrafici

Che siano cybercriminali responsabili di migliaia di vittime in cinque anni di attività è un fatto indiscutibile, e questo deve restare ben impresso nelle nostre menti. Tuttavia, questa stor...

Gli Hacktivisti di Anonymous Italia colpiscono nuovi obiettivi in Russia

Negli ultimi mesi, il panorama dell’hacktivismo cibernetico ha visto un’intensificazione degli scontri tra gruppi di hacktivisti con orientamenti geopolitici opposti. In particolare, abb...

Apple contro il Governo del Regno Unito! La battaglia segreta sulla crittografia si è svolta a porte chiuse

La causa intentata da Apple contro il governo britannico ha iniziato a essere discussa a porte chiuse presso la Royal Courts of Justice di Londra. L’azienda non è d’accordo con la r...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS

Copyright @ REDHOTCYBER Srl
PIVA 17898011006