Italia 3° Paese più colpito dal ransomware e 5° per numero di aziende con reti compromesse in Europa

Lockbit e Conti i gruppi ransomware più attivi sul territorio. Credenziali di oltre mezzo milione di utenti italiani carpite dagli infostealer. Queste e altre minacce oggetto del nuovo rapporto Hi-Tech Crime Trends 2022/2023 di Group-IB

Pubblicato il 3 febbraio 2023

Group-IB, società globale di sicurezza informatica specializzata nell’indagine e nella prevenzione dei crimini informatici, ha pubblicato il suo rapporto annuale sulle principali minacce informatiche a livello globale e le sue previsioni per i diversi comparti economici su scala mondiale.

Ransomware
Il ransomware è la principale minaccia cyber contro aziende e organizzazioni in tutto il mondo. Nell’arco di un anno, dal secondo semestre 2021 al primo semestre 2022, 852 aziende europee sono state vittima della divulgazione di dati confidenziali su piattaforme dedicate (DLS, Dedicated Leak Sites – Un DLS è una piattaforma online creata da specifici gruppi ransomware su cui vengono caricati dati e file confidenziali carpiti dalla rete delle vittime, qualora queste decidano o non siano in grado di pagare il riscatto richiesto) a posteriore di attacchi condotti con successo da gang del ransomware.
Con i dati di 124 aziende italiane pubblicati su DLS (ben il 36% in più rispetto alle 89 registrate nel periodo precedente), l’Italia è stato il terzo Paese più colpito in Europa e il quinto a livello globale.

Le 124 organizzazioni italiane, le cui informazioni riservate sono state divulgate sulle piattaforme DLS, fanno capo primariamente ai settori manifatturiero (26), alimenti e bevande (9), trasporti (9), seguiti a ruota dai comparti beni di consumo (8), enti governativi e militari (7), sanità (5), immobiliare (4), scienze e ingegneria (4) e IT (3).
Nel periodo osservato i gruppi ransomware responsabili del maggior numero di attacchi contro l’Italia e successive divulgazioni sono stati Lockbit (responsabile della diffusione dei dati di 60 aziende), Conti (20), BlackCat (6), BlackByte (5) e Grief (5).

I cybercriminali impiegano i DLS quale strumento per la cosiddetta tecnica della doppia estorsione, dove l’attore della minaccia non solo cifra l’intera rete ma si appropria previamente dei dati sensibili e minaccia di pubblicarli online. L’uso dei DLS è uno dei principali fattori dell’ascesa dei gruppi ransomware.

Queste piattaforme sono di norma ospitate nel dark web. Alcuni gruppi di hacker invece le ospitano nell’Internet pubblico nella speranza di convincere la vittima – consapevole che i suoi documenti riservati sarebbero così di pubblico dominio – a pagare il riscatto.

Il reale numero di vittime del ransomware è chiaramente molto più elevato del numero di aziende i cui dati sono stati pubblicati online. Come evidenziato nel rapporto di Group-IB, peraltro, molti attacchi passano sotto i radar perché la maggior parte delle aziende opta per il pagamento del riscatto.

L’analisi del programma di affiliazione ransomware promosso da Hive, condotta da Group-IB, ha evidenziato, ad esempio, che la parte della piattaforma DLS di Hive esposta al pubblico conteneva le informazioni di solo circa il 10% delle vittime.

Initial Access Brokers (IABs)
I broker di accessi a reti compromesse (IABs) sono una delle colonne portanti della crescita fenomenale del ransomware a livello globale. Negli ultimi anni, gli operatori ransomware hanno acquistato accessi a reti compromesse sempre più di frequente sul dark web. Questo approccio consente loro di saltare le prime fasi di un attacco e di identificare più rapidamente nuove vittime idonee.

Tra il secondo semestre 2021 e il primo semestre 2022 il dipartimento di Threat Intelligence di Group-IB ha analizzato alcune pubblicità su forum sommersi rilevando un cospicuo aumento delle vendite di accessi a reti aziendali compromesse. Sono state registrate un totale di 2.348 istanze, ovvero due volte il numero di quelle rilevate nel periodo precedente (1.099 offerte di accesso).
In linea con il trend globale, il prezzo totale degli accessi a reti di aziende europee proposti su forum underground è aumentato “solo” del 92% a $1.130.498, a dispetto di incremento ben superiore del numero di accessi commercializzati. In Europa infatti tale numero è più che raddoppiato, passando da 260 nel periodo precedente a 620 tra il secondo semestre 2021 e il primo del 2022, cosa che spiega anche il crescente numero di incidenti ransomware nella regione.

Con offerte di accesso iniziale alle reti di 63 aziende locali rilevate su forum del dark web tra il secondo semestre 2021 e il primo del 2022 (+ 85% rispetto ai 34 del periodo precedente) l’Italia è al quinto posto in Europa.

Tra le vittime italiane degli operatori IAB figurano organizzazioni del comparto manifatturiero, e-commerce, trasporti, istruzione, energia, immobiliare, software, governo, IT e risorse naturali.
Gli attori della minaccia impiegano spesso le credenziali di account VPN e RDP (Remote Desktop Protocol, è un protocollo impiegato per l’accesso remoto ad un computer. La maggior parte dei cybercriminali acquistano un accesso RDP per nascondere le tracce della loro attività ai sistemi di sicurezza. Contemporaneamente, RDP può essere anche il primo passo di un vero e proprio attacco mirato ad una azienda qualora il computer a cui si accede sia connesso a una o più reti aziendali) per penetrare nella rete dell’azienda a cui mirano. I ricercatori di Group-IB ritengono che VPN, RDP, e Citrix continueranno ad essere le primarie tipologie di accesso commercializzate.

Ladri di informazioni: gli infostealer
Uno dei più singolari sviluppi del panorama globale delle minacce è la crescente popolarità degli information stealer, ovvero malware che sottraggono dettagli personali dai metadati del browser degli utenti. Questi stealer possono carpire credenziali, dettagli sulle carte bancarie, cookies, impronte nel browser e molto altro. Un recente attacco contro Uber è stato condotto con credenziali fornite proprio da un infostealer.

Group-IB ha rilevato che tra il 1° luglio 2021 e il 30 giugno 2022 sono stati messi in commercio oltre 96 milioni di log di infostealer, con dati compromessi provenienti per lo più da utenti statunitensi (80%), seguiti da utenti britannici (5.4%), indiani (4.6%), indonesiani (2.4%) e brasiliani (2%).

Analizzando i log degli infostealer offerti nell’underground, nel periodo tra il secondo semestre 2021 e il primo del 2022 il team di Threat Intelligence di Group-IB ha rilevato 580.301 account compromessi di utenti italiani, di cui numerosi carpiti persino da più stealer. Con 576.718 account carpiti, RedLine Stealer è stato l’infostealer di account italiani più popolare, seguito da AZORult (68.729) e iDex Stealer (5.853).

Giulio Vada, Head of Business Development Italy di Group-IB

“Il nostro rapporto sulle tendenze dei crimini hi-tech conferma nuovamente che i broker di accesso iniziale (IAB) sono ormai una forza sotterranea seria e organizzata che svolge un ruolo primario nell’esacerbazione del cybercrimine. Gli IAB stanno crescendo in maniera significativa in Europa e l’Italia non fa eccezione” ha sottolineato Giulio Vada, Head of Business Development Italy di Group-IB.

“Insieme agli infostealer, sono una minaccia critica da tenere sotto controllo nel 2023, anno in cui ci aspettiamo anche di vedere l’ascesa di piattaforme specializzate nella commercializzazione di log di infostealer contenenti anche i dati di grandi aziende. In questo contesto, assicurare che le misure di protezione contro i cyberattacchi siano affidabili e sicure quest’anno richiederà una raccolta e un monitoraggio delle offerte di accesso alle reti compromesse o di credenziali compromesse degli impiegati ancora più mirati”.

I rapporti annuali che Group-IB pubblica ormai dal 2012 integrano i dati raccolti attraverso le indagini condotte dall’azienda con i risultati delle attività di risposta agli incidenti informatici in tutto il mondo.

Il rapporto Hi-Tech Crime Trends di Group-IB consente ai tecnici specializzati, tra cui СISO, team SOC e DFIR, ricercatori e analisti di malware, nonché esperti di Threat Hunting, di analizzare la rilevanza delle politiche di cybersecurity, adeguare le difese dei propri sistemi e accrescere la propria capacità di contrastare le minacce informatiche più rilevanti per il proprio settore.

Grazie all’impiego di strumenti unici nel loro genere per circoscrivere l’infrastruttura dei cybercriminali e alle ricerche approfondite condotte dai propri team di sicurezza informatica in tutto il mondo, gli esperti di Group-IB identificano e confermano annualmente modelli comuni che danno luogo ad un quadro completo dello sviluppo delle minacce informatiche nel mondo. Ciò costituisce la base delle accurate previsioni incluse nel rapporto, che aiutano le aziende di tutto il mondo a costruire strategie di sicurezza informatica efficaci basate su minacce rilevanti.



Contenuti correlati

  • Ivan Gento Pariente Synology ransomware
    7 suggerimenti per riprendersi da un attacco ransomware

    Negli ultimi anni, gli attacchi ransomware si sono intensificati ed evoluti fino a diventare un modello di business, causando gravi danni in tutti i settori e provocando perdite significative di dati e beni per le organizzazioni. Il...

  • Chiusa con oltre 1.600 partecipanti l’edizione milanese di Security Summit

    La complessità dello scenario cyber è stata scandagliata nei tre percorsi, tecnico, gestionale e legale, durante la tappa milanese di Security Summit 2024, convegno organizzato da Clusit, Associazione Italiana per la Sicurezza Informatica, e Astrea, Agenzia di Comunicazione...

  • Anteprima SPS Italia 2024: intervista a Cinzia Bonomini e Marco Pelizzaro di Pilz Italia

    Siamo qui con Cinzia Bonomini e Marco Pelizzaro di Pilz Italia, in vista della sua partecipazione a SPS Italia 2024 di Parma, il prossimo 28-30 maggio, per capire qualcosa in più della sua filosofia e cosa porterà in...

  • Cybersecurity e la minaccia degli attacchi GenAI

    In tema di sicurezza informatica, Trend Micro ha annunciato i dati dello studio annuale sulle minacce più pericolose previste. L’ampia disponibilità e la qualità dell’intelligenza artificiale generativa sarà la causa principale di un cambiamento epocale negli attacchi...

  • Nasce Reitech, la business unit di Reinova dedicata al digital

    Nell’ambiente di innovazione e crescita promosso da Reinova, nasce Reitech: la nuova business unit dedicata al mondo digitale e a facilitare la digitalizzazione delle imprese. Una risposta alle esigenze del mercato in ambito software development, cybersecurity, intelligenza artificiale...

  • Robotica e Cybersecurity: un evento di Consorzio PI Italia

    Il Consorzio Profibus e Profinet Italia (PI Italia), parte integrante di Profibus & Profinet International (PI), annuncia l’imminente Main Event 2024 su “Robotica e Cybersecurity creiamo una fabbrica autonoma e protetta”. L’evento si terrà a San Vito di Bedizzole (Brescia), nella...

  • Safety e Security: anticorpi degli impianti

    Gli attacchi informatici sono in continua crescita dato che organizzazioni criminali si introducono nelle reti per rivendere le informazioni illegalmente ottenute o causare disservizi a ben specifici bersagli da danneggiare… Leggi l’articolo

  • TUV SUD - Denso certificazione ISOSAE 21434
    Denso ottiene la certificazione ISO/SAE 21434 per la cybersecurity nell’automotive

    TÜV SÜD ha rilasciato la certificazione ISO/SAE 21434 per la cybersecurity nel settore automotive a Denso Corporation. Con il miglioramento delle tecnologie legate al settore automobilistico, come le auto connesse, cresce anche l’importanza delle misure da adottare...

  • Palo Alto Networks 5G partner
    Soluzioni private di sicurezza 5G con Palo Alto Networks e i suoi partner

    Palo Alto Networks ha reso disponibili una serie di soluzioni e servizi di sicurezza privata 5G end-to-end in collaborazione con i principali partner Private 5G. L’unione tra la sicurezza 5G di livello enterprise di Palo Alto Networks...

  • Ferrovie: l’importanza della cybersecurity

    Obiettivo della moderna industria ferroviaria è un’efficienza sempre maggiore e una pronta risposta alle necessità dei passeggeri, implementando al contempo digitalizzazione e connettività con i sistemi. Fondamentale però anche l’implementazione della sicurezza In un mondo in rapida...

Scopri le novità scelte per te x