cyber sicurezza

Ransomware gang: l’economia segreta della mala digitale

Home Cultura e società digitali
Indirizzo copiato

Le ransomware gang sono organizzazioni criminali altamente strutturate che operano globalmente, utilizzando sofisticate tecniche di attacco informatico per estorcere denaro, sfruttando vulnerabilità aziendali e sviluppando strategie sempre più complesse

Pubblicato il 31 dic 2024
Anna Vaccarelli

Dirigente Tecnologo IIT CNR

ransomware (2) (1)

I principali gruppi cybercriminali organizzati online sono le “ransomware gang: sono le più diffuse perché gli attacchi ransomware garantiscono guadagni consistenti e pressoché sicuri: oltre a cercare di ottenere un riscatto per “sbloccare” i sistemi criptati, minacciano di vendere i dati esfiltrati, con un doppio potenziale guadagno.

Ransomware e sistemi obsoleti, doppia minaccia per le aziende: tre passi per rimediare

La struttura delle ransomware gang

I gruppi di hacker sono organizzati in modo strutturato, più o meno complesso a seconda delle loro dimensioni e degli obiettivi e livello di sofisticazione. Di solito c’è una struttura gerarchica con compiti differenziati:

  • I leader o fondatori che definiscono gli obiettivi e la direzione
  • I membri di livello intermedio con compiti specifici
  • I nuovi membri che svolgono compiti più semplici

Ciascuno opera a seconda della propria specializzazione. Ci sono:

  • Programmatori che creano malware e strumenti di hacking
  • Esperti di social engineering
  • Specialisti di network e sistemi
  • Analisti di dati per estrarre informazioni utili
  • Gestori di infrastrutture per mantenere server e reti

La comunicazione è gestita attraverso

  • canali crittografati come Telegram o reti private
  • Forum online nascosti per la condivisione di informazioni
  • Raramente Incontri fisici

Reclutamento e attacchi

Il reclutamento avviene a cura di personale specifico (HR) su forum underground o competizioni di hacking, oltre che in base alla valutazione delle competenze tecniche e dell’affidabilità.

Gli attacchi sono attentamente pianificati in tutti i dettagli, sono preceduti da una fase di ricognizione; quindi, c’è il vero e proprio attacco, di seguito il mantenimento dell’accesso fino a quando è necessario e, infine, la pulizia delle tracce.

Sempre più di frequente questi gruppi decidono di collaborare o allearsi anche temporaneamente per il raggiungimento di alcuni obiettivi.

Di sicuro hanno la capacità di tenersi continuamente aggiornati, spesso e purtroppo molto più dei difensori.

La modalita attacchi “as a Service”

Si sta diffondendo sempre di più la modalità di vendita di attacchi “as a Service” su piattaforme appositamente realizzate nel dark web, veri e propri marketplace su cui avvengono i contatti tra i criminali, che detengono il software o i kit di attacco, e i potenziali acquirenti. Questi sono, a loro volta cybercriminali, magari meno esperti, che con competenze non eccezionali riescono a portare a segno il ricatto.

Una percentuale di tutte le transazioni va agli amministratori della piattaforma (come se fosse Amazon…), in parte va agli affiliati che hanno svolto l’attacco e in parte ad altri fornitori di servizi. Gli affiliati ricevono in proporzione al loro livello di “bravura”, cioè in base a quanti attacchi hanno portato a buon fine. Inizialmente le loro percentuali sono basse, ma, man mano che la loro “reputazione” migliora, possono arrivare all’80% dell’incasso.

I gestori principali della piattaforma (il livello di gerarchia più alto) detengono i dati e sviluppano il back-end della piattaforma e spesso provengono da gruppi criminali diversi, mettendo in comune competenze e esperienze differenti. Al secondo livello ci sono i “tecnici”: sviluppatori, pentester, reverse-engineer, amministratori di sistema, negoziatori, reclutatori, responsabili delle risorse umane ed esperti legali. Molti di loro sono di lingua russa, che è diventata la lingua primaria dell’ecosistema dei criminali informatici[1]. Il terzo livello è composto da fornitori di servizi esterni, che includono intermediari di pagamento, sviluppatori di criptovalute, distributori di malware, fornitori di servizi di riciclaggio di denaro e hosting con infrastrutture resistenti agli attacchi.

I principali gruppi di cybercriminali le loro piattaforme

Nel rapporto Enisa Threat Landscape 20232 è riportata l’attività delle principali cybergang che sono soprattutto ransomware, da luglio 2022 a giugno 2023 e, su tutte, emerge LockBit (Fig. 1). Viene superata da CL0P tra maggio e giugno del 2023 grazie alla strategia adottata da CL0P di sfruttare le vulnerabilità Zero-Day.

Fig. 1 Attività delle principali cybergang ransomware a livello globale secondo Enisa

Nella Fig. 2 troviamo uno zoom sui 5 gruppi più attivi sul panorama mondiale

Fig. 2 La Top5 dei gruppi più attivi a livello globale secondo Enisa

La Top5 dei gruppi più attivi a livello globale secondo Enisa

Nella Fig. 3 la fotografia dei 5 gruppi più attivi in Europa: alcuni sono gli stessi che hanno il predominio a livello globale (LockBit, BlackCat, CL0P), mentre altri sono particolarmente attivi soprattutto in Europa.

Fig. 3 La Top 5 dei gruppi ransomware più attivi in Europa (dati Enisa)

La Top 5 dei gruppi ransomware più attivi in Europa

L’Italia è la seconda nazione più colpita da LockBit con il 14,29% dei loro attacchi (dopo la Francia, 29,91%) e da BlackCat con il 21,43% (poco dopo la Germania 23,81%). Evidentemente i beni digitali delle organizzazioni italiane sono particolarmente vulnerabili e quindi interessanti per gli attaccanti.

LockBit

LockBit3 è probabilmente la cybergang più longeva, apparsa nel 2019 con il nome ABCD. È sostanzialmente una piattaforma di “Ransomware As A Service” (RaaS) oggetto di azioni di contrasto da parte delle forze dell’ordine a livello internazionale. Questa peculiarità, insieme al successo dei loro attacchi, fa sì che la loro visibilità e la loro “reputazione” crescano continuamente nel panorama cybercriminale e molti nuovi hacker chiedano di affiliarsi. Solo nella seconda metà del 2023 ha sferrato 438 attacchi a livello mondiale guadagnandosi la “medaglia” di gruppo più attivo al mondo.

Tra gli altri citiamo l’attacco a Entrust, un’azienda che fornisce soluzioni di identità, pagamenti e protezione dei dati; LockBit a sua volta ha accusato Entrust di averli contrattaccati, o almeno di aver effettuato un DDoS sul loro sito di fuga di notizie. L’azienda olandese ID-ware è stata vittima di un incidente ransomware. ID-ware fornisce smartcard che possono essere utilizzate per verificare l’identità per ottenere l’accesso alle strutture.

Infine, anche Mercury IT, un fornitore di servizi gestiti con sede in Nuova Zelanda, è stata vittima di un attacco da parte di Lockbit: ha bloccato i sistemi e ha anche rubato alcuni dati riservati appartenenti ai clienti dell’azienda. L’incidente ha portato a una dichiarazione pubblica da parte dell’Ufficio del Commissario per la privacy in Nuova Zelanda di voler avviare un’indagine.

Il 20 febbraio 2024 la National Crime Agency (NCA) UK ha comunicato di aver preso il controllo dei servizi di LockBit, il gruppo di criminalità informatica più aggressivo al mondo, smantellando l’intera infrastruttura della cyber gang, ma secondo alcuni è rinata con altro nome.

8Base

Il gruppo ransomware 8Base1,2 è emerso, nella sua forma attuale, all’inizio del 2023. A maggio 2023, il gruppo è passato a un modello multi-estorsione che include un sito di blog per le vittime basato su TOR. La nascita vera e propria può essere fatta risalire a campagne molto più piccole nel 2022. Il ransomware 8Base presenta alcune somiglianze superficiali con altre famiglie di ransomware ed estorsioni come Phobos, RansomHouse e Hive, sebbene non siano stati confermate da legami o relazioni formali. Le campagne ransomware 8Base hanno preso di mira da numerosi settori, tra cui finanza, produzione, tecnologia informatica e assistenza sanitaria.

Il gruppo ha come vittime preferite le piccole/medie imprese del settore tecnico/scientifico e manifatturiero, contro cui sono stati rivolti rispettivamente il 36% e il 17% degli attacchi finora registrati. Sul loro sito dichiarano di essere pentester e cercano organizzazioni particolarmente vulnerabili. Inoltre, si impegnano a offrire “le condizioni più leali per la restituzione dei dati”!

Anche 8Base adotta la tecnica della doppia estorsione (double extortion), alla quale aggiunge ulteriore pressione psicologica per il pagamento del riscatto tramite i messaggi.

BlackBasta

Nasce probabilmente ad aprile del 2022 [2],[3]. Dopo che la cyber gang Conti ha cessato le sue attività nel maggio 2022, gli affiliati si sono divisi in diversi gruppi, uno dei quali si ritiene si sia “riversato” in Black Basta. Un’analisi condotta nei primi mesi di attività di Black Basta ha evidenziato che le tecniche, tattiche e procedure (TTP) presentavano alcuni punti di contatto con quelle del gruppo cybercrime russo Anunak (FIN7).

Tra aprile 2022 e maggio 2024 Black Basta ha colpito circa 500 di organizzazioni in numerosi settori produttivi a livello globale. In Italia, le sue vittime conosciute sono aziende nei settori della produzione industriale, energetico, tecnologico, logistico e delle telecomunicazioni. Fra le presunte vittime “eccellenti” vi sono Hyundai Motor Europe e la multinazionale elettrotecnica svizzero-svedese ABB. Anche questo gruppo opera con la tecnica della doppia estorsione nella modalità RaaS.

Pare che abbiano ricevuto almeno 100 milioni di dollari in riscatti da più di 90 vittime fino a novembre 2023.

Akira

Gruppo apparso all’inizio del 2023[4],[5] che nel primo anno di attività ha attaccato oltre 250 organizzazioni in tutto il mondo e riscosso circa 42M$. Sembra che alcuni dei suoi membri siano ex del gruppo Conti e buona parte del denaro riscosso sembra essere stato dirottato su account usati dal vecchio Conti Group. Secondo gli esperti anche le tecniche di attacco hanno punti in comune con quelle del Conti Group, anche se dal 2022 il loro software è di dominio pubblico e qualunque cybecriminale può utilizzarlo o ispirarsi ad esso.

Akira lavora con la doppia estorsione e il suo punto di forza è la distruzione dei backup. Questa è la ragione per cui si consiglia per i backup la regola del 3-2-1: conservare almeno tre copie di backup in due posti diversi e disconnettere completamente una di esse dalla rete.

Anche Akira ha dei “principi”: afferma, infatti che l’importo del riscatto viene determinato in base al reddito e ai risparmi dell’azienda interessata; questo fa dedurre che prima di ogni attacco, oltre a una analisi tecnica, c’è un’attenta analisi finanziaria. Di solito Akira richiede un riscatto compreso tra 200.000 e 4.000.000 di dollari.

Ragnar Locker

Ragnar Locker è attivo dal 2019 ed è il nome del ransomware sviluppato e gestito dal gruppo.

È diventato famoso attaccando infrastrutture critiche in tutto il mondo, tra cui recentemente gli attacchi contro la compagnia di bandiera portoghese e un ospedale in Israele. In Italia ha colpito, dal 2020, l’Azienda Ospedaliera di Alessandria, la Campari s.p.a. e la Dollmar s.p.a., importante distributore di prodotti chimico-industriali.

Per ottenere il ripristino dei dati i criminali richiedevano riscatti da 5 a 70 milioni di dollari, ma a fronte del pagamento la restituzione non aveva luogo; seguiva piuttosto l’ulteriore ricatto della pubblicazione sul Darkweb dei dati esfiltrati (tecnica della “doppia estorsione”).

Inoltre, il gruppo criminale dissuadeva le vittime dal rivolgersi alla polizia, minacciando, in caso contrario, di pubblicare i dati sulla propria pagina nel Darkweb, chiamata Wall of Shame (il “Muro della Vergogna”), poi messa sotto sequestro.

Questo tipo di ransomware prende di mira dispositivi che hanno installato i sistemi operativi Microsoft Windows e in genere sfrutta servizi esposti come Remote Desktop Protocol per ottenere l’accesso al sistema.

Ragnar Locker è considerato molto pericoloso, data la vocazione ad attaccare infrastrutture critiche.

Gli investigatori hanno cominciato le indagini nell’ottobre 2021 e si sono concluse a ottobre 2023, coinvolgendo Interpol, Europol, Fbi e le forze dell’ordine di vari Paesi europei, tra cui Francia e Italia (Polizia di Stato)[6]. L’attività investigativa, condotta dagli specialisti della Polizia postale anche mediante intercettazioni telematiche transnazionali dei server in mano al gruppo criminale, è partita dall’analisi forense dei sistemi informatici attaccati da Ragnar Locker nell’ottobre del 2020; i poliziotti sono riusciti a identificare, ricostruire e localizzare l’intera infrastruttura criminale, protetta da un complesso sistema di anonimizzazione multilivello, che sfruttava server dislocati in tutto il mondo.

Meow

La cybergang Meow4 è organizzata e specializzata nella vendita di dati, generalmente informazioni riservate. È stata intercettata recentemente proprio mentre vendeva dati all’interno del forum underground in lingua russa, XSS.

Sul forum XSS, Meow ha pubblicato un messaggio che spiega chiaramente la loro strategia: “Benvenuti al mercato dei dati! Non facciamo cose a caso! Il nostro servizio è costantemente aggiornato e solo da noi puoi acquistare informazioni segrete da molte delle più grandi aziende del mondo, sui loro piani, progetti, clienti, conti bancari, previsioni, sviluppi, disegni e altre informazioni più recenti.”

Il punto di forza di Meow è offrire i dati i esattamente come vengono estratti dai server aziendali, garantendo agli acquirenti informazioni autentiche e di prima mano.

I loro server sono dotati di oltre 500 TB di spazio di archiviazione e sono costantemente aggiornati con nuovi dati; possono, quindi, offrire anche un servizio di rivendita di dati esfiltrati da altri partner, intercettando nuove dinamiche del mercato nero digitale. La vendita può finanziare ulteriori attività criminali, con un incremento del rischio per i sistemi.

Hive

Il gruppo Hive2,4 si afferma nel 2021 come una piattaforma RaaS con un sito (lo “shame wall”) molto curato. Pare che l’organizzatore di Hive, “kkk”, richiese sul forum underground russo XSS qualcuno che potesse realizzarlo, per un compenso pari a 2000 euro. Hive ha lavorato con la tecnica della doppia estorsione e ha colpito varie organizzazioni anche in Italia: società toscana Alia Spa, Mediaworld, l’Unità locale socio sanitaria di Padova e il gruppo Ferrovie dello Stato.

La cybergang è stata apparentemente sgominata nel 2023. Gli investigatori sono riusciti a scoprire dettagli operativi sul gruppo e alla fine sono riusciti a infiltrarsi nell’infrastruttura del gruppo e a smantellarla, ma non è scomparsa per sempre (come spesso accade in questi casi): infatti, il gruppo criminale ha ripreso le sue attività sotto altro nome e si è formato un altro nuovo gruppo denominato Hunters.

MedusaLocker

Il gruppo di cybercriminali MedusaLocker [7],[8] (o Medusa Ransomware) è diventato uno dei più famosi nello scenario dei ransomware. Il nome fa chiaramente riferimento al personaggio mitologico di Medusa che pietrificava chiunque la guardasse: in analogia, il ransomware inoculato nelle vittime ne “pietrifica” i sistemi. È conosciuto dal 2019 ma è realmente attivo dal 2022. Sono note diverse varianti del ransomware Medusa, sviluppate negli anni, che richiamano i molti capelli “serpenti” del personaggio mitologico. La cybergang opera secondo il modello RaaS e opera con partner sparsi in tutto il mondo, rendendone difficile l’individuazione

Fig. 4 Varianti del Ransomware Medusa (immagine di Rakesh Krishnan)

Comprendere la strategia di attacco di Medusa è fondamentale per ideare le contromisure. Il ransomware ottiene l’accesso ai sistemi principalmente tramite protocolli Remote Desktop Protocol (RDP) vulnerabili e campagne di phishing ingannevoli. Una volta violato un sistema, Medusa cancella i backup delle copie per impedire il ripristino dei dati, aumenta i privilegi del sistema, disattiva i meccanismi di difesa e diffonde i suoi “tentacoli” sulla rete. Il culmine del suo attacco è la crittografia dei dati e la presentazione di una richiesta di riscatto che richiede il pagamento in cambio della decrittazione.

Il gruppo Medusa Ransomware condivide gli annunci delle vittime tramite Medusa Blog. L’intestazione della pagina mostra i link di Telegram e X (ex Twitter) oltre ai loro loghi. Un canale Telegram è dedicato al contatto con le vittime.

Il gruppo Medusa inizialmente si è “esercitato” nei paesi in via di sviluppo, dove le difese sono minori e ha perfezionato il proprio malware e la strategia di attacco, riuscendo poi a colpire decine di organizzazioni in tutto il mondo in settori diversissimi: sanitario, tecnologia, istruzione, manifatturiero, media, minerario e alberghiero.

FIN7

FIN7[9] è un gruppo con origini in Russia, è attivo dal 2012. inizialmente, specializzato nell’uso di malware POS (Point of Sale) per frodi finanziarie, a partire dal 2020, ha spostato la sua attenzione sulle operazioni ransomware, affiliandosi a noti gruppi RaaS come REvil e Conti e lanciando i propri programmi RaaS con i nomi Darkside e successivamente BlackMatter. Il collettivo è noto anche con altri nomi, come Sangria Tempest, Carbon Spider e Carbanak Group, in modo da rendere più difficoltose le operazioni di attribuzione degli attacchi.

Il gruppo ha creato società di sicurezza informatica false, come Combi Security e Bastion Secure, per ingaggiare hacker esperti e i ricercatori di sicurezza, arruolarli, ingannandoli sulle sue vere attività. Negli anni ha temporaneamente rallentato l’attività a causa dell’arresto di alcuni membri, ma le attività di FIN7 sono continuate, nonostante l’emergere di gruppi scissionisti.

Recentemente è tornato alla ribalta e con la vendita di “AvNeutralizer“, un sofisticato strumento progettato allo scopo di neutralizzare i sistemi di sicurezza aziendali e dei singoli endpoint. AvNeutralizer (noto anche con il nome di AuKill) è uno strumento chiave nell’arsenale di FIN7, sviluppato e creato direttamente dal gruppo hacker. AvNeutralizer è stato associato inizialmente solo agli attacchi legati a BlackBasta, nel 2022, ma in seguito il malware è stato riconosciuto essere impiegato in altre operazioni ransomware, rivelando quindi una diffusione più ampia rispetto a quanto creduto in origine.

Prima di AvNeutralizer, FIN7 aveva creato precedenti versioni: AvosLocker, MedusaLocker, BlackCat, Trigona e il famigerato LockBit. AvNutralizer viene commercializzato su forum hacker di lingua russa almeno dal 2022, con prezzi che oscillano tra i 4000 e i 15000 dollari.

Ransomcortex

Ransomcortex[10],[11] è un gruppo relativamente recente, che afferma di non aver mai fornito Ransomware as a Service: tutto il software di crittografia utilizzato è di terze parti. A differenza di altri gruppi ransomware, Ransomcortex ha scelto di concentrare i suoi attacchi esclusivamente sulle strutture sanitarie: tra le prime vittime, tre strutture sanitarie brasiliane e una canadese.

I dati sanitari, particolarmente sensibili e preziosi, consentono ai criminali frodi finanziarie (con le informazioni personali possono aprire conti bancari, richiedere carte di credito, attivare prestiti e altre operazioni finanziarie, sommando il furto di identità alla frode finanziaria), estorsioni (prima alla struttura sanitaria e, se non paga, ai singoli pazienti) e vendita nel mercato nero, dove le informazioni sanitarie sono particolarmente redditizie. Inoltre, i dati di contatto personali consentono campagne di phishing e truffe online mirate.

Il gruppo è molto ben organizzato. Fa recruitment direttamente dal sito cercando:

  • chiunque possa fornire assistenza fisica per aiutare le aziende a effettuare pagamenti in grandi città, dietro compenso
  • persone per azioni “fisiche”, oppure stalker, osinter e “swatter”.

Garantiscono l’anonimato dei collaboratori purché contribuiscano positivamente agli “affari”.

Hanno alcuni “principi” che rendono pubblici:

  • non permettono lavori contro determinate nazioni come Russia, CIS, Cuba, Corea del Nord, Iran e Cina.
  • Non accettano lavori verso organizzazioni che sono già state vittime e che hanno già pagato.
  • Non sono attivisti, lavorano solo per scopi finanziari

Vanir Group

Il gruppo Vanir 4 è formato da ex affiliati di altri gruppi di ransomware come Lockbit, Karakurt e Knight, quindi persone con esperienza e competenza nel campo degli attacchi informatici.

La strategia del gruppo Vanir è di colpire di preferenza le organizzazioni con sistemi di sicurezza obsoleti o mal configurati, ma, se intravedono guadagni significativi, non escludono di attaccare anche aziende con protezioni più avanzate.

Sul suo sito di data leak, appare il testo verde fluorescente su sfondo nero, come nei vecchi terminali, con un messaggio per la nuova vittima:

“Salve, Devi essere l’amministratore di dominio o il CEO, in altre parole, la nostra ultima vittima. Se stai leggendo questo messaggio, significa che l’infrastruttura interna della tua azienda è stata compromessa, tutti i tuoi backup sono stati eliminati o crittografati. Abbiamo anche rubato la maggior parte dei dati importanti detenuti dalla tua azienda. Andando avanti, sarebbe nel tuo interesse cooperare con noi, per prevenire ulteriori disgrazie. Siamo a conoscenza di tutto. Abbiamo studiato attentamente tutte le tue finanze e sappiamo quanto è un prezzo equo per te da pagare, tenendo conto di ciò, sappi che ti tratteremo con giustizia. Quando scegli di ignorare la nostra gentilezza e di segnalare alle forze dell’ordine o agli esperti di recupero dati per aiutarti a trovare un modo per recuperare i tuoi dati persi, perdi solo TEMPO e SOLDI, e noi nel processo perdiamo la nostra pazienza. Perdere la nostra pazienza comporterebbe la perdita delle tue informazioni sensibili a vantaggio dei tuoi concorrenti e di altri criminali informatici che certamente ne trarrebbero profitto. Sarebbe nel tuo miglior interesse evitare questo. Siamo sempre disposti a negoziare poiché crediamo che il dialogo debba essere sempre la prima opzione e le azioni drastiche debbano essere salvate per ultime. Se non riusciremo a raggiungere un accordo, venderemo o cederemo tutte le informazioni che abbiamo rubato. Navigare in questo sito è stato mantenuto al minimo e semplice. Per elencare tutti i comandi, digita help nel terminale.”

Le loro richieste vanno tra l’1,5 e il 2% del fatturato annuale dell’azienda vittima. E, come altri gruppi cybercriminali, dichiarano di non attaccare i paesi del Comunità degli Stati Indipendenti (Armenia, Azerbaigian, Bielorussia, Kazakistan, Kirghizistan, Moldavia, Russia, Tagikistan, Uzbekistan, Afghanistan, Mongolia, Turkmenistan) e provengono tutti dall’Europa dell’Est. Si ispirano a LockBit e Akira.

In una intervista rilasciata a Red Hot Cyber[12] alla domanda “Avete qualche messaggio finale per le organizzazioni che potrebbero diventare vostre future vittime?” rispondono: “Non siate stupidi, pagate il riscatto, facciamo sul serio e la morte della vostra azienda non è altro che un piccolo divertimento per noi. Non puoi essere l’eroe. Sottomettiti o sarai distrutto.”

Ransomhub

Scoperto a febbraio 2024, questo threat actor si è subito presentato come il più grande gruppo ransomware attualmente attivo. Le analisi hanno rivelato una notevole somiglianza tra RansomHub4 e Knight, suggerendo un rebranding del precedente malware. Dopo aver annunciato la chiusura delle attività, Knight ha reso pubblico il codice sorgente in Golang, facilitando così la crescita di RansomHub.

La rapida ascesa di RansomHub è dovuta a diversi fattori. Fin dall’inizio, il gruppo ha mirato a settori cruciali come l’healthcare (p.es. Change Healthcare), oltre a colpire la supply chain (come nel caso italiano di Cloud Europe – Mangimi Fusco) e il settore business, con attacchi alla casa d’aste Christie’s. Inoltre, RansomHub ha introdotto una strategia innovativa vendendo direttamente i dati sensibili rubati come alternativa alla pubblicazione sul Data Leak Site. Il reclutamento di affiliati di alto profilo, come Scattered Spider e Notchy, approfittando del declino di BlackCat/ALPHV, ha ulteriormente consolidato la posizione di RansomHub nel panorama delle minacce informatiche.

L’addestramento delle ransomware gang

Pare che la tendenza attuale nel mondo degli hacker sia provare strumenti e strategie di attacco nei Paesi in via di sviluppo prima di attaccare i loro veri obiettivi nei Paesi “sviluppati”[13]. In questo modo, gli hacker si allenano e perfezionano il loro modo di “lavorare” e, nel frattempo rubano anche facilmente denaro ai target colpiti in questi Paesi, che sono meno preparati ad affrontare le minacce informatiche, perché c’è una bassa consapevolezzadella sicurezza informatica. Infatti, in molti di questi Paesi, l’obiettivo principale è di sfruttare le tecnologie digitali per creare aziende redditizie, e raggiungere gli stessi livelli di servizio dei Paesi “occidentali”.

Le contromisure

Creare adeguate misure di sicurezza certamente rallenta questo processo, sia perché richiede un tempo di formazione di personale specializzato sia perché ha un costo. Inoltre, la formazione degli utenti è bassissima e spesso le persone non seguono le norme di sicurezza. Bisogna anche considerare che, in questi Paesi, la digitalizzazione procede molto più rapidamente rispetto, ad esempio, all’Europa e la protezione di reti e infrastrutture non riesce a tenere il passo della trasformazione digitale.

Nel mondo occidentale le forse dell’ordine sono specializzate nella “caccia” ai cybercriminali, mentre nei Paesi in via di sviluppo è molto difficile che le autorità abbiano i mezzi e le competenze per perseguire i criminali digitali. Questo fa di questi Paesi una sorta di zona franca, in cui le conseguenze sono spesso nulle, sia dal punto di vista delle perdite economiche (se l’attacco fallisce) sia dal punto di vista legale.

Gli hacker, quindi, utilizzano i Paesi n via di sviluppo come una sorta di sandbox: possono provare nel mondo reale i nuovi malware o le nuove tecniche e dopo i primi attacchi, possono aggiustare il tiro, migliorare il software e risolvere eventuali problemi prima di attaccare un’organizzazione in un paese sviluppato.

Conclusioni

Lo scenario presentato non è certamente esaustivo ed è in continua evoluzione: le ransomware gang possono essere sgominate, ma spesso si riformano sotto altro nome oppure sottogruppi si staccano e confluiscono in altre organizzazioni oppure, ancora, si alleano per dei periodi. È difficile seguire queste dinamiche: alcuni indizi ci vengono dallo “stile” degli attacchi, dal software utilizzato che fa risalire a una cybergang piuttosto che a un’altra. Alcune cybergang sono diventate cybergang “di Stato” cioè sferrano attacchi d’accordo con un certo Paese, verso i nemici di quel Paese. Oggi questo avviene soprattutto in Russia e nei suoi Paesi “satellite”, negli scenari di guerra, sia quello Russo-Ucraino sia quello Israelo-palestinese.

Note

[1] Report IOCTA dell’Europol

[2] https://www.telsy.com/black-basta-team-e-gli-attacchi-ransomware-a-doppia-estorsione/

[3] https://www.redhotcyber.com/post/black-basta-terrore-dal-web-profondo-500-attacchi-dal-2022-e-molti-sulle-infrastrutture-critiche/

[4] https://www.redhotcyber.com/post/ransomware-akira-distruggere-completamene-tutti-i-backup-e-la-chiave-del-successo/

[5] https://therecord.media/akira-ransomware-attacked-hundreds-millions

[6] Polizia di Stato https://www.poliziadistato.it/articolo/cyber-crime–colpito-uno-dei-maggiori-gruppi-hacker

[7] https://socradar.io/dark-web-profile-medusa-ransomware-medusalocker/

[8] https://www.redhotcyber.com/post/medusa-ransomware-la-nuova-cybergang-che-strizza-locchio-a-lockbit/

[9] SentinelOne

[10] https://www.tekapp.it/post/nuovo-gruppo-ransomware-ransomcortex-mira-alle-strutture-ospedaliere

[11] https://www.redhotcyber.com/post/ospedali-tremate-arriva-ransomcortex-la-gang-ransomware-che-prende-di-mira-le-strutture-sanitarie/

[12] https://www.redhotcyber.com/post/nuovo-gruppo-ransomware-vanir-group-subito-tre-vittime-nel-loro-data-leak-site/

[13] https://www.pandasecurity.com/it/mediacenter/gli-hacker-provano-attacchi-nei-paesi-in-via-di-sviluppo/

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

V
Anna Vaccarelli
Dirigente Tecnologo IIT CNR
Seguimi su

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • l'analisi di bertelè

    Trimestrali Meta, Microsoft e Google: che ci dicono sul prossimo futuro

    26 Apr 2024

    di Umberto Bertelè

    Condividi

  • agritech

    Piano Mattei: la svolta tech per l'agricoltura africana

    25 Nov 2024

    di Mario Di Giulio

    Condividi

  • Intelligenza artificiale

    La "voce" dell'AI è femmina? Ma è sessismo

    01 Ago 2024

    di Marco Ongaro

    Condividi

Prossimo

Trimestrali Meta, Microsoft e Google: che ci dicono sul prossimo futuro

Articolo 1 di 4