Group-IB, le minacce informatiche allarmano l’economia globale

Ransomware, reti compromesse, credenziali carpite dagli infostealer: ecco alcune minacce informatiche al centro delle preoccupazioni dell’economia globale.

minacce informatiche head of sales

Group-IB ha pubblicato il rapporto Hi-Tech Crime Trends 2022/2023 sull’evoluzione delle principali minacce informatiche che preoccupano l’economia globale.

Il ransomware è la principale minaccia cyber contro aziende e organizzazioni in tutto il mondo. Dal secondo semestre 2021 al primo semestre 2022, 852 aziende europee sono state vittima della divulgazione di dati confidenziali su piattaforme dedicate (DLS – dedicated leak sites) a posteriore di attacchi condotti da gang del ransomware. Un DLS è una piattaforma online creata da gruppi ransomware, su cui vengono caricati dati e file confidenziali carpiti alle vittime, qualora queste decidano di non pagare il riscatto richiesto.

L’Italia la più colpita

Con i dati di 124 aziende italiane pubblicati su DLS (il 36% in più rispetto alle 89 del periodo precedente), l’Italia è stato il terzo Paese più colpito in Europa e il quinto a livello globale. Le 124 organizzazioni italiane, le cui informazioni riservate sono state divulgate sulle piattaforme DLS, fanno capo ai settori manifatturiero (26), alimenti e bevande (9), trasporti (9). Seguono i comparti beni di consumo (8), enti governativi e militari (7), sanità (5), immobiliare (4), scienze e ingegneria (4) e IT (3). Nel periodo osservato i gruppi ransomware responsabili del maggior numero di attacchi contro l’Italia e successive divulgazioni sono stati Lockbit (responsabile della diffusione dei dati di 60 aziende). Seguono Conti (20), BlackCat (6), BlackByte (5) e Grief (5).

Minacce informatiche e cybercrime

I cybercriminali impiegano i DLS come strumento per la cosiddetta “tecnica della doppia estorsione”. L’attore della minaccia non solo cifra l’intera rete, ma si appropria previamente dei dati sensibili e minaccia di pubblicarli online. L’uso dei DLS è uno dei principali fattori dell’ascesa dei gruppi ransomware. Queste piattaforme sono di norma ospitate nel dark web. Alcuni gruppi di hacker invece le ospitano nell’Internet pubblico. Nella speranza di convincere la vittima – consapevole che i suoi documenti riservati sarebbero di pubblico dominio – a pagare il riscatto.

Il reale numero di vittime è chiaramente molto più elevato del numero di aziende i cui dati sono stati pubblicati online. Come evidenziato nel rapporto di Group-IB, molti attacchi passano sotto i radar perché la maggior parte delle aziende opta per il pagamento del riscatto. L’analisi del programma di affiliazione ransomware condotta da Group-IB ha evidenziato che la parte della piattaforma DLS di Hive esposta al pubblico conteneva le informazioni di solo il 10% delle vittime.

Il ruolo del dark web

I broker di accessi a reti compromesse (IABs) sono una delle colonne portanti della crescita fenomenale del ransomware a livello globale. Negli ultimi anni, gli operatori ransomware hanno acquistato accessi a reti compromesse sempre più di frequente sul dark web. Questo approccio consente di saltare le prime fasi di un attacco e di identificare più rapidamente nuove vittime idonee. Tra il secondo semestre 2021 e il primo semestre 2022 il dipartimento di Threat Intelligence di Group-IB ha analizzato alcune pubblicità su forum sommersi. Ha rilevato un cospicuo aumento delle vendite di accessi a reti aziendali compromesse. Sono state registrate un totale di 2.348 istanze, due volte il numero di quelle rilevate nel periodo precedente (1.099 offerte di accesso).

Minacce informatiche ed economia globale

In linea con il trend globale, il prezzo totale degli accessi a reti di aziende europee proposti su forum underground è aumentato “solo” del 92% a $1.130.498, a dispetto di incremento ben superiore del numero di accessi commercializzati. In Europa infatti tale numero è più che raddoppiato, passando da 260 nel periodo precedente a 620 tra il secondo semestre 2021 e il primo del 202. Cosa che spiega anche il crescente numero di incidenti ransomware nella regione. Con offerte di accesso iniziale alle reti di 63 aziende locali rilevate su forum del dark web tra il secondo semestre 2021 e il primo del 2022 (+ 85% rispetto ai 34 del periodo precedente) l’Italia è al quinto posto in Europa.

Ladri di informazioni

Uno dei più singolari sviluppi del panorama globale delle minacce è la crescente popolarità degli information stealer. In altre parole, malware che sottraggono dettagli personali dai metadati del browser degli utenti. Questi stealer possono carpire credenziali, dettagli sulle carte bancarie, cookies, impronte nel browser e molto altro. Group-IB ha rilevato che tra il primo luglio 2021 e il 30 giugno 2022 sono stati messi in commercio oltre 96 millioni di log di infostealer.

I dati compromessi provenivano per lo più da utenti statunitensi (80%), seguiti da utenti britannici (5.4%), indiani (4.6%), indonesiani (2.4%) e brasiliani (2%). Tra il secondo semestre 2021 e il primo del 2022 Group-IB ha rilevato 580.301 account compromessi di utenti italiani, di cui numerosi carpiti persino da più stealer. RedLine Stealer è stato l’infostealer di account italiani più popolare, seguito da AZORult (68.729) e iDex Stealer (5.853).

L’ascesa dei gruppi IAB

Giulio Vada, Head of Business Development Italy di Group-IB
Il nostro rapporto sulle tendenze dei crimini hi-tech conferma nuovamente che i broker di accesso iniziale (IAB) sono ormai una forza sotterranea seria e organizzata che svolge un ruolo primario nell’esacerbazione del cybercrimine. Gli IAB stanno crescendo in maniera significativa in Europa e l’Italia non fa eccezione. Insieme agli infostealer, sono una minaccia critica da tenere sotto controllo nel 2023.

Anno in cui ci aspettiamo anche di vedere l’ascesa di piattaforme specializzate nella commercializzazione di log di infostealer contenenti anche i dati di grandi aziende. In questo contesto, assicurare che le misure di protezione contro i cyberattacchi siano affidabili e sicure quest’anno richiederà una raccolta e un monitoraggio delle offerte di accesso alle reti compromesse o di credenziali compromesse degli impiegati ancora più mirati.