Quanti sono gli attacchi ransomware che hanno colpito le infrastrutture critiche? Abbiamo sentito molto parlare di Colonial Pipeline e JBS, ma ovviamente costituiscono solo la punta dell'iceberg. L'Internet Crime Complaint Center dell'FBI (IC3) ha pubblicato il conteggio di quelli che hanno interessato gli Stati Uniti. È utile dargli uno sguardo per avere almeno un'idea di massima delle proporzioni del problema.

I dati sono contenuti nell'Internet Crime Report, sono relativi al 2021 e includono i rilevamenti a partire proprio dal caso Colonial Pipeline. Ebbene, nel periodo in esame sono stati denunciati 649 attacchi ransomware contro infrastrutture critiche statunitensi.

Nel report compaiono complessivamente 16 settori "i cui beni, sistemi e reti, fisici o virtuali, considerati così vitali per gli Stati Uniti che la loro incapacità o distruzione avrebbe un effetto debilitante" sulla salute pubblica, la sicurezza e altri elementi critici. Fra questi 16 settori di infrastrutture critiche, almeno 14 includono almeno un'impresa vittima di un attacco ransomware.

In cima alla lista figurano assistenza sanitaria e salute pubblica, a cui vengono ricondotti 148 incidenti ransomware. Seconda piazza per i servizi finanziari, con 89 attacchi. Terzo è stato settore IT, con 74 vittime di ransomware. Il critical manifacturing non sale sul podio, ma vi è molto vicino con 65 incidenti denunciati.

I vettori di attacco

IC3 sottolinea informazioni già note da tempo, ma per questo non meno insidiose. I primi tre vettori per le intrusioni iniziali sono stati le email di phishing, lo sfruttamento del protocollo RDP (Remote Desktop Protocol) e delle vulnerabilità software. Il numero degli attacchi è aumentato con l'aumento del lavoro da remoto e della didattica a distanza.

Più interessanti sono i dati che riguardano gli attaccanti, tutti motivati finanziariamente. Responsabili della maggior parte degli attacchi sono stati tre gruppi ransomware-as-a-service: Conti, LockBit e REvil, che si sono ripartiti le potenziali vittime per settore. Secondo il report, Conti ha colpito prevalentemente il critical manifacturing, le strutture commerciali e i settori alimentare e agricolo. LockBit ha prediletto sferrare attacchi contro le strutture governative, l'assistenza sanitaria e i settori della sanità pubblica e dei servizi finanziari. REvil / Sodinokobi è stato invece focalizzato sui servizi finanziari e l'Information Technology.

Ricordiamo che REvil ha chiuso i battenti, mentre LockBit e Conti sono tuttora in attività, con quest'ultimo in difficoltà da quando ha dichiarato apertamente il suo appoggio a Putin nella guerra contro l'Ucraina. Questi, tuttavia, non sono gli unici gruppi attivi: ci sono collettivi emergenti altrettanto insidiosi, come quelli di cui abbiamo parlato in questo articolo. Anche alla luce di questo, IC3 allerta su un aumento degli attacchi contro le infrastrutture critiche nel 2022.

Non solo ransowmare

Anche se il ransomware è la minaccia numero uno, non è l'unica, Il report in oggetto infatti sottolinea che gli attacchi economicamente più onerosi sono stati quelli BEC, che hanno causato perdite per oltre 2 miliardi di dollari. Fra i motivi del loro successo è l'evoluzione delle tecniche di attacco, l'impiego di kit di phishing migliori e di piattaforme più sofisticate per la gestione degli attacchi.