Un anno di ransomware Data Room – L’osservatorio di Dicembre 2022

Luca Mella : 5 Gennaio 2023 08:15

Autore: Dott. Luca Mella, Cyber Security Expert (founder doubleextortion.com)

Negli ultimi anni, il fenomeno del ransomware è stato tanto dirompente da influire pesantemente nelle agende di sicurezza di moltissime organizzazioni, e non solo. La brutalità delle pratiche cyber criminali della doppia estorsione ha persino influito nelle politiche di Stati Uniti e Unione Europea: questi attacchi si sono sempre più rivelati strumento di pressione geopolitica nelle dialettiche tra le nazioni del Patto Atlantico e gli stati sotto l’influenza Russa, sino a divenire strumento di cyber-rappresaglia contestuali alle  operazioni militari in Ucraina. 

Monitorare gli attacchi ransomware moderni, le doppie estorsioni, uno dei “game-changer” che più sta condizionando il panorama della sicurezza cibernetica mondiale e nazionale, è la ragione fondante della Ransomware Data Room, un osservatorio, un luogo virtuale dove monitorare il fenomeno del ransomware attraverso la fattualità di dati e notizie.

Metodologia

Informazioni e dati su tentativi di estorsione cibernetica e attacchi ransomware sono acquisiti tramite dati OSINT, notizie pubbliche, open data, ed attraverso il portale doubleextortion.com.

Report dell’Osservatorio

• Data Room: Gennaio 2022 (link)
• Data Room: Febbraio 2022 (link)
• Data Room: Marzo 2022 (link)
• Data Room: Aprile 2022 (link)
• Data Room: Maggio 2022 (link)
• Data Room: Giugno 2022 (link)
• Data Room: Luglio 2022 (link)
• Data Room: Agosto 2022 (link)
• Data Room: Settembre 2022 (link)
• Data Room: Ottobre 2022 (link)
• Data Room: Novembre 2022 (link)

Data Room: Dicembre 2022

La Ransomware Data Room ha riscontrato evidenza di almeno 244 tentativi di estorsione cibernetiche e attacchi criminali operati da 20 attori di minaccia attivi nel periodo di riferimento. Il trend in decrescita degli attacchi registrati questo Dicembre arriva al -19.2% rispetto alla base mensile di Novembre. Nonostante la fluttuazione negativa, i volumi su base trimestrale risultano tutt’altro che trascurabili a conferma del trend di crescita ancora in essere. 

Data Trends

Gli attacchi dei gruppi ransomware cyber criminali sono stati particolarmente insistenti durante la prima metà del mese, con picchi intorno al 20-21 di Dicembre, mentre le attività estorsive hanno fatto registrare un rallentamento nella seconda metà. 

LockBit detiene il primato del collettivo più attivo nel periodo. Tuttavia nel corso del mese abbiamo assistito ad una consistente ripresa delle operazioni da parte della gang ransomware Snatch, la quale ha rotto il silenzio dopo un periodo di apparente inattività.

Durante i picchi di Dicembre, un coppioso volume di estorsioni è stato portato a termine dalle gang Play ransomware ed Alphv/BlackCat dirette verso organizzazioni europee e statunitensi.

Le estorsioni digitali di Dicembre 2022 hanno coinvolto almeno 49 nazioni in tutto il mondo, Una superfice dove si sono concentrati gli attacchi del 19.6% più ristretta rispetto alla base mensile di Novembre.

Prima nazione colpita rimane costantemente gli Stati Uniti d’America, che ha accentrato a se circa un terzo degli attacchi.

Invece, nei gradini più bassi del podio vi sono state variazioni significative: il secondo posto della classifica finisce al Canada, poi Regno Unito, Germania testa a testa con il Brasile ed in seguito Spagna ed India a parimerito sul quindo gradino e poi Italia e Francia in bagarre sul sesto. 

I verticali interessati dagli attacchi ransomware di Novembre sono stati 69. Le estorsioni hanno insistito pesantemente sulle pubbliche amministrazioni e le organizzazioni governative occidentali, ma non solo: sono stati colpiti anche enti governativi  in Africa ed in Sud America.

Molteplici gli attacchi anche verso il settore dei Servizi Informatici, elemento fondamentale nelle supply chain di grandi industrie, di Istituti Finanziari e di operatori sanitari. Un settore  estremamente critico che continua ad essere posto a rischio dalle estorsioni cibernetiche.

Osservatorio

Tra i numerosi casi di attacco registrati a Dicembre 2022, l’osservatorio ha valutato i seguenti casi di tentata doppia estorsione come di portata ed implicazione notevole per i rispettivi contesti di riferimento:   

Osservatorio italiano

Nel mese di Dicembre 2022, l’osservatorio registra le seguenti estorsioni ransomware come maggiormente rilevanti nel contesto italiano: 

• Il Comune di Torre del Greco viene colpito dal ransomware: il riscatto è di 200.000 euro (link).
• Azienda Ospedaliera di Alessandria colpita da RagnarLocker, gli attaccanti “graziano” l’ente e si “limitano” a trafugare i dati sensibili dei pazienti (link).
• Phobos attaca la l’attacco alla supply chain IT, Advanced System viene utilizzato come vettore per attaccare enti locali nel sud Italia (link).
• I criminali ransomware di Hive attaccano uno dei principali gruppi italiani specializzato nella ristorazione di scuole, imprese e sanità (link).

Osservatorio mondiale

A livello globale, l’osservatorio segnala le seguenti casistiche ed eventi impattanti il mondo ransomware di rilievo internazionale:

• Play ransomware attacca la supply chain IT dell’industria marittima svedese, DonsöData cade vittima degli attacchi ransomware che coinvolgoni altri tre gruppi, tra cui anche l’armatore FURETANK coinvolto anche nelle filiere del nucleare svedese.
• La testata inglese The Guardian viene presa di mira da un attacco ransomware, sono stati registrati ritardi nelle stampe cartacee (link)
• ViceSociety attacca l’IUT di Parigi (University Institute of Technology), istituto francese specializzato in alta formazione tecnologica.
• L’ospedale francese André Mignot di Versailles è stato costretto a rinviare gli interventi chirurgici pianificati a causa di un attacco ransomware (link)

Nuove Tattiche Tecniche e Procedure (TTPs)

Durante il mese di Dicembre sono stati osservati inasprimenti nelle pratiche estorsive di due gang ransomware tra le più pericolose pericolose: Hive e BlackCat.

Alphv/BlackCat ha esteso le diffusioni di dati rubati anche con siti dedicati sulla clear-net creati in modo da sembrare una copia esatta del sito aziendale originale. In pratica una sorta di clone similare a quanto avviene a valle di una campagna di phishing, ma con la differenza che il sito clone contiene sezioni dedicate allo scaricamento dei dati rubati. 

Mentre Hive ha recentemente adottato il medesimo modus operandi introdotto da BlackCat in Q2, ovvero il supporto a veri e propri portali di accesso a data lake contenenti i dati rubati dalle vittime, ora indicizzati da motori di ricerca dedicati nelle darknet dei criminali.

Luca Mella
Luca è un professionista della Cyber Security con una profonda passione per il mondo digitale e l’hacking. Luca è autore del progetto “doubleextortion.com”. Ha guidato il primo Computer Emergency Response Team (CERT) italiano certificato da Trusted Introducer ed insegna la malware analysis all’Università di Bologna, è un ex-membro del team “ANeSeC”, uno dei primi team italiani di cyber war-game nati nel lontano 2011.

Lista degli articoli