MAGGIO 2022 PAG. 60 - Swascan: nuovo report sulle cybergang ransomware
Aggiornata la mappa delle organizzazioni criminali informatiche - Dai russi di LockBit a Snatch passando per gli iraniani di Stormous, la classifica delle 15 cybergang più attive
331 obiettivi attaccati in 64 paesi nel solo mese di marzo, con danni considerevoli alle strutture digitali e informatiche, esfiltrazione di dati e richieste di ricatto a danno di aziende e infrastrutture critiche. Questo il bottino di guerra delle prime quindici cybergang più attive nel mese di marzo 2022, secondo il rapporto “Gang Ransomware” redatto dal SOC e Threat Intelligence team di Swascan. Una analisi condotta attraverso la piattaforma proprietaria italiana di Cyber Threat Intelligence e rilasciata on line sul sito della società italiana di cybersicurezza. Un’analisi attenta e dettagliata, che fornisce una mappa aggiornata dell’attività cybercriminale in rete al tempo del conflitto ucraino.
“Ad inizio 2022 – come riporta nel rapporto il CEO di Swascan, Pierguido Iezzi – il ransomware si conferma lo strumento preferito dai criminal hacker. Con banche statali e agenzie militari prese di mira, i recenti attacchi guidati dalla Russia in Ucraina hanno portato la questione della sicurezza informatica in prima linea, dimostrando come il volume delle informazioni disponibili online rendano il mondo dell’hacking estremamente semplificato, quasi ready to use: ingenti moli di email compromesse, credenziali di accesso ai sistemi, vulnerabilità dei sistemi, zero-day sono infatti facilmente reperibili in rete. Inoltre la velocità devastante e distruttiva dei ransomware hanno evidenziato come i modelli e i framework di cyber security basati sulla pura resilienza non sono più sufficienti: bastano infatti meno di cinque minuti per crittografare 100.000 files. Il paradigma cyber di tutela deve affiancare alla capacità di resilienza anche strumenti, competenze e tecnologie di resistenza”
Scorrendo la classifica delle cybergang distintesi nell’ultimo mese di marzo, al primo posto con oltre 100 attacchi messi a segno, spicca la russa LockBit, nata nel giugno 2019, specializzata nel compromettere le reti delle vittime attraverso una varietà di tecniche sofisticate.
Al secondo posto, superata da LockBit a inizio 2022, troviamo la russa Conti. Con un totale di 180 milioni di dollari di estorsioni dalle sue vittime nel 2021, questa gang era considerata la più pericolosa al mondo fino all’inizio del conflitto, quando, schieratasi apertamente su posizioni pro Putin, ha subito una grave defezione con importanti leak riguardanti la sua attività criminale. A marzo ha totalizzato quasi 80 attacchi.
Al terzo posto troviamo BlackCat, conosciuta anche come ALPHV: gang ransomware di origine sconosciuta emersa a metà novembre 2021, ha lanciato oltre 30 attacchi contraddistinti da metodologie sofisticate e innovative.
Dal quarto al quindicesimo posto troviamo una serie di realtà , tutte prevalentemente provenienti dai cosiddetti rogue states: i taiwanesi di AgainstTheWest, dediti ad attacchi contro organizzazioni cinesi; Blackbyte e Vice society, impegnate nella violazione di obiettivi grandi e piccoli negli Stati Uniti; la neonata Pandora, attiva da inizio marzo 2022 con un attacco importante al gruppo giapponese Denso, fornitore di Toyota; Karakurt, specializzata in attacchi ad aziende di piccole dimensioni; SunCrypt, la prima gang ad aver introdotto attacchi ransom DDoS come tattica di estorsione; Lapsus$, caratterizzata da attacchi ransomware non tradizionali che si limitano al furto di dati e all’estorsione, senza la criptazione dei dati delle vittime; Cuba, basata in Russia e con una spiccata propensione al ransomware nei settori finanziario, governativo, sanitario, manifatturiero e informatico.
Il rapporto, disponibile all’indirizzo https://www.swascan.com/it/gang-ransomware/, analizza poi le specifiche delle gang più importanti, prende in considerazione le capacità cyber di Russia e Ucraina, il ruolo degli Stati Uniti e dell’Europa e, infine, dipinge una previsione delle future attività delle gang ransomware.
“I gruppi ransomware – considera a quest’ultimo proposito Iezzi – esfiltrano i dati delle vittime in una posizione offiste prima della crittografia, minacciando la fuoriuscita di dati se un riscatto non viene pagato. Questa forma di doppia estorsione è sempre più utilizzata e si dimostra sempre più redditizia. Occorre poi considerare, visti i recenti sviluppi sul piano geopolitico, la crescente connivenza tra Cyber Crime e Cyber war. Un attacco ransomware - anche se portato a segno da attori non ufficialmente schierati o senza alcuna motivazione politica - è comunque in grado di aumentare indirettamente la potenza di fuoco di un attore statale, proprio grazie alla quantità di dati messi in rete, venduti o consegnati dai cybercriminali”.
“Se l’attacco contro il contest Eurovision era in un certo senso aspettato, e ciò ha sicuramente aiutato l’opera di difesa, la ritorsione di Killnet - che comunque nega di essere dietro l’attacco fallito dei giorni scorsi – poteva potenzialmente andare a colpire ovunque nel perimetro digitale del nostro Paese”.
Pierguido Iezzi Ceo di Swascan prosegue nel suo commento mettendo in evidenza l’aumento anomalo del traffico degli accessi al sito della Polizia di Stato rivendicato nella chat di Telegram del collettivo russo.
“Per il momento si è trattato di una dimostrazione di forza – specifica Iezzi - un DDoS proprio contro chi ha impedito che l’Eurovision fosse compromesso. Un attacco fortemente simbolico e volto a seminare il panico più che a causare danni reali a infrastrutture e servizi. Sfortunatamente, l’attuale contesto di cyber war è la dimostrazione di come la resilienza cyber non è sufficiente senza la componente di resistenza”, ha concluso l’esperto.
Francesco S. Salieri