L’Italia si classifica per l’ennesima volta il terzo Paese più colpito dal ransomware. Nel periodo incluso fra il secondo semestre 2021 e il primo semestre 2022, Lockbit e Conti sono stati i gruppi più attivi nel Belpaese, che risulta anche quinto in Europa per numero di aziende con reti compromesse. In particolare, Lockbit è riconosciuto come responsabile della diffusione dei dati di 60 aziende del Belpaese, Conti di 20. Seguono BlackCat con 6 vittime in Italia e BlackByte con 5 vittime. Sono alcuni dei dati contenuti nel report annuale Hi-Tech Crime Trends 2022/2023 edito da Group-IB e relativo alle principali minacce informatiche a livello globale.

Il report rivela inoltre che nel periodo di analisi sono state 852 le aziende europee vittime della divulgazione di dati confidenziali su piattaforme dedicate (DLS, Dedicated Leak Sites) a seguito di attacchi ransomware. Di queste, 124 aziende erano italiane (con un incremento del 36% rispetto alle 89 registrate nel periodo precedente) nei settori manifatturiero (26), alimenti e bevande (9), trasporti (9), seguiti a ruota dai comparti beni di consumo (8), enti governativi e militari (7), sanità (5), immobiliare (4), scienze e ingegneria (4) e IT (3).

Come molti sanno bene, il reale numero di vittime è molto più elevato di quelli riportati perché, come ricordano gli esperti di Group-IB, molti attacchi continuano a passare sotto ai radar in quanto la maggior parte delle aziende opta per il pagamento del riscatto anziché per la denuncia, nel tentativo di evitare danni di immagine. Danni che puntualmente si verificano nei casi di mancato pagamento quando, facendo fede alla tecnica della doppia estorsione, gli attaccanti pubblicano dati e file confidenziali carpiti dalla rete delle vittime.

Situazione globale

Per dare un’idea della proporzione fra i casi denunciati e quelli reali, gli esperti di Group-IB hanno analizzato il programma di affiliazione ransomware promosso da Hive e hanno rilevato che la parte pubblica della piattaforma DLS conteneva le informazioni di solo circa il 10% delle vittime.

IAB e Infostealer

Spesso quando si parla di ransomware si fa esplicitamente riferimento agli affiliati agganciandosi al modello attualmente più diffuso del Ransomware-as-a-Service. È corretto, ma queste non sono le uniche figure in gioco in un attacco ransomware. Anzi, l’affiliato entra in gioco in una fase successiva del processo rispetto ad altri “professionisti” del cybercrime: gli Initial Access Broker (IAB). Molti esperti li reputano una delle colonne portanti della crescita fenomenale del ransomware a livello globale, e fondamentalmente sono coloro che acquisiscono illegalmente e rivendono sul dark web gli accessi alle reti compromesse.

Nel periodo di esame del report gli esperti di Group-IB hanno rilevato sul dark web 2.348 istanze di vendite di accessi a reti aziendali compromesse a livello globale, di cui 620 in Europa. Qui emerge un altro dato importante per l’Italia: con esplicito riferimento al nostro Paese, nel periodo di analisi sono stati posti in vendita gli accessi a 63 aziende, che equivale a un incremento dell’85% rispetto ai 34 del periodo precedente. Questo rende l’Italia il quinto Paese in Europa per accessi rivenduti sul dark web.

Situazione europea

Chi sono le vittime? Aziende del comparto manifatturiero, e-commerce, trasporti, istruzione, energia, immobiliare, software, governo, IT e risorse naturali. Da dove arrivano le credenziali? Da account non sicuri di VPN, RDP e Citrix, che sono e probabilmente continueranno ad essere le primarie tipologie di accesso commercializzate. Con quali strumenti le rubano? Sempre più spesso con gli Infostealer.

Forma contratta di “information stealer”, l’infostealer è un malware progettato per sottrarre dati personali (credenziali, carte di credito, cookie e altro) dai metadati del browser degli utenti. nel periodo incluso fra il primo luglio 2021 e il 30 giugno 2022 Group-IB ha rilevato oltre 96 millioni di log di infostealer. Analizzando i log degli infostealer offerti nell’underground, Group-IB ha rilevato 580.301 account compromessi di utenti italiani, di cui numerosi carpiti persino da più stealer.