Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

Un anno di ransomware Data Room – L’osservatorio di Dicembre 2022

Luca Mella : 5 Gennaio 2023 08:15

Autore: Dott. Luca Mella, Cyber Security Expert (founder doubleextortion.com)

Negli ultimi anni, il fenomeno del ransomware è stato tanto dirompente da influire pesantemente nelle agende di sicurezza di moltissime organizzazioni, e non solo. La brutalità delle pratiche cyber criminali della doppia estorsione ha persino influito nelle politiche di Stati Uniti e Unione Europea: questi attacchi si sono sempre più rivelati strumento di pressione geopolitica nelle dialettiche tra le nazioni del Patto Atlantico e gli stati sotto l’influenza Russa, sino a divenire strumento di cyber-rappresaglia contestuali alle  operazioni militari in Ucraina. 

Monitorare gli attacchi ransomware moderni, le doppie estorsioni, uno dei “game-changer” che più sta condizionando il panorama della sicurezza cibernetica mondiale e nazionale, è la ragione fondante della Ransomware Data Room, un osservatorio, un luogo virtuale dove monitorare il fenomeno del ransomware attraverso la fattualità di dati e notizie.

Metodologia


Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi». Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Informazioni e dati su tentativi di estorsione cibernetica e attacchi ransomware sono acquisiti tramite dati OSINT, notizie pubbliche, open data, ed attraverso il portale doubleextortion.com.

Report dell’Osservatorio

  • Data Room: Gennaio 2022 (link)
  • Data Room: Febbraio 2022 (link)
  • Data Room: Marzo 2022 (link)
  • Data Room: Aprile 2022 (link)
  • Data Room: Maggio 2022 (link)
  • Data Room: Giugno 2022 (link)
  • Data Room: Luglio 2022 (link)
  • Data Room: Agosto 2022 (link)
  • Data Room: Settembre 2022 (link)
  • Data Room: Ottobre 2022 (link)
  • Data Room: Novembre 2022 (link)

Data Room: Dicembre 2022

La Ransomware Data Room ha riscontrato evidenza di almeno 244 tentativi di estorsione cibernetiche e attacchi criminali operati da 20 attori di minaccia attivi nel periodo di riferimento. Il trend in decrescita degli attacchi registrati questo Dicembre arriva al -19.2% rispetto alla base mensile di Novembre. Nonostante la fluttuazione negativa, i volumi su base trimestrale risultano tutt’altro che trascurabili a conferma del trend di crescita ancora in essere. 

Data Trends

Gli attacchi dei gruppi ransomware cyber criminali sono stati particolarmente insistenti durante la prima metà del mese, con picchi intorno al 20-21 di Dicembre, mentre le attività estorsive hanno fatto registrare un rallentamento nella seconda metà. 

LockBit detiene il primato del collettivo più attivo nel periodo. Tuttavia nel corso del mese abbiamo assistito ad una consistente ripresa delle operazioni da parte della gang ransomware Snatch, la quale ha rotto il silenzio dopo un periodo di apparente inattività.

Durante i picchi di Dicembre, un coppioso volume di estorsioni è stato portato a termine dalle gang Play ransomware ed Alphv/BlackCat dirette verso organizzazioni europee e statunitensi.

Figura. Profilo dei tentativi di estorsione registrati nel Dicembre 2022.

Le estorsioni digitali di Dicembre 2022 hanno coinvolto almeno 49 nazioni in tutto il mondo, Una superfice dove si sono concentrati gli attacchi del 19.6% più ristretta rispetto alla base mensile di Novembre.

Prima nazione colpita rimane costantemente gli Stati Uniti d’America, che ha accentrato a se circa un terzo degli attacchi.

Invece, nei gradini più bassi del podio vi sono state variazioni significative: il secondo posto della classifica finisce al Canada, poi Regno Unito, Germania testa a testa con il Brasile ed in seguito Spagna ed India a parimerito sul quindo gradino e poi Italia e Francia in bagarre sul sesto. 

Figura. Nazioni più impattate da estorsioni cyber a Dicembre 2022

I verticali interessati dagli attacchi ransomware di Novembre sono stati 69. Le estorsioni hanno insistito pesantemente sulle pubbliche amministrazioni e le organizzazioni governative occidentali, ma non solo: sono stati colpiti anche enti governativi  in Africa ed in Sud America.

Molteplici gli attacchi anche verso il settore dei Servizi Informatici, elemento fondamentale nelle supply chain di grandi industrie, di Istituti Finanziari e di operatori sanitari. Un settore  estremamente critico che continua ad essere posto a rischio dalle estorsioni cibernetiche.

Figura. Settori produttivi più impattati da estorsioni ad Dicembre 2022

Osservatorio

Tra i numerosi casi di attacco registrati a Dicembre 2022, l’osservatorio ha valutato i seguenti casi di tentata doppia estorsione come di portata ed implicazione notevole per i rispettivi contesti di riferimento:   

Osservatorio italiano

Nel mese di Dicembre 2022, l’osservatorio registra le seguenti estorsioni ransomware come maggiormente rilevanti nel contesto italiano: 

  • Il Comune di Torre del Greco viene colpito dal ransomware: il riscatto è di 200.000 euro (link).
  • Azienda Ospedaliera di Alessandria colpita da RagnarLocker, gli attaccanti “graziano” l’ente e si “limitano” a trafugare i dati sensibili dei pazienti (link).
  • Phobos attaca la l’attacco alla supply chain IT, Advanced System viene utilizzato come vettore per attaccare enti locali nel sud Italia (link).
  • I criminali ransomware di Hive attaccano uno dei principali gruppi italiani specializzato nella ristorazione di scuole, imprese e sanità (link).

Osservatorio mondiale

A livello globale, l’osservatorio segnala le seguenti casistiche ed eventi impattanti il mondo ransomware di rilievo internazionale:

  • Play ransomware attacca la supply chain IT dell’industria marittima svedese, DonsöData cade vittima degli attacchi ransomware che coinvolgoni altri tre gruppi, tra cui anche l’armatore FURETANK coinvolto anche nelle filiere del nucleare svedese.
  • La testata inglese The Guardian viene presa di mira da un attacco ransomware, sono stati registrati ritardi nelle stampe cartacee (link)
  • ViceSociety attacca l’IUT di Parigi (University Institute of Technology), istituto francese specializzato in alta formazione tecnologica.
  • L’ospedale francese André Mignot di Versailles è stato costretto a rinviare gli interventi chirurgici pianificati a causa di un attacco ransomware (link)

Nuove Tattiche Tecniche e Procedure (TTPs)

Durante il mese di Dicembre sono stati osservati inasprimenti nelle pratiche estorsive di due gang ransomware tra le più pericolose pericolose: Hive e BlackCat.

Alphv/BlackCat ha esteso le diffusioni di dati rubati anche con siti dedicati sulla clear-net creati in modo da sembrare una copia esatta del sito aziendale originale. In pratica una sorta di clone similare a quanto avviene a valle di una campagna di phishing, ma con la differenza che il sito clone contiene sezioni dedicate allo scaricamento dei dati rubati. 

Mentre Hive ha recentemente adottato il medesimo modus operandi introdotto da BlackCat in Q2, ovvero il supporto a veri e propri portali di accesso a data lake contenenti i dati rubati dalle vittime, ora indicizzati da motori di ricerca dedicati nelle darknet dei criminali.

Luca Mella
Luca è un professionista della Cyber Security con una profonda passione per il mondo digitale e l’hacking. Luca è autore del progetto “doubleextortion.com”. Ha guidato il primo Computer Emergency Response Team (CERT) italiano certificato da Trusted Introducer ed insegna la malware analysis all’Università di Bologna, è un ex-membro del team “ANeSeC”, uno dei primi team italiani di cyber war-game nati nel lontano 2011.

Lista degli articoli

Articoli in evidenza

Google trasforma il web in una vetrina per l’AI! Un disastro a breve per l’economia digitale
Di Redazione RHC - 26/07/2025

Google sta trasformando il suo motore di ricerca in una vetrina per l’intelligenza artificiale, e questo potrebbe significare un disastro per l’intera economia digitale. Secondo un nuovo...

Gli Exploit SharePoint sono in corso: aziende e enti nel mirino
Di Sandro Sana - 26/07/2025

Il panorama delle minacce non dorme mai, ma stavolta si è svegliato con il botto. Il 18 luglio 2025, l’azienda di sicurezza Eye Security ha lanciato un allarme che ha subito trovato eco ne...

Operazione Checkmate: colpo grosso delle forze dell’ordine. BlackSuit è stato fermato!
Di Redazione RHC - 25/07/2025

Nel corso di un’operazione internazionale coordinata, denominata “Operation Checkmate”, le forze dell’ordine hanno sferrato un duro colpo al gruppo ransomware BlackSuit (qu...

I Mostri sono stati puniti! GreySkull: 18 condanne e 300 anni di carcere per i pedofili
Di Redazione RHC - 25/07/2025

Il Dipartimento di Giustizia degli Stati Uniti ha segnalato lo smantellamento di quattro piattaforme darknet utilizzate per la distribuzione di materiale pedopornografico. Contemporaneamente, un dicio...

Nuovi attacchi all’Italia da NoName057(16) e una Infiltrazione nel sistema idrico ceco
Di Redazione RHC - 24/07/2025

“Combattere il cybercrime è come estirpare le erbacce: se non elimini le radici a fondo, queste ricresceranno” e oggi, più che mai, questa verità si conferma ess...

Iscriviti alla nostra newsletter

Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.

 
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006