Group-IB analizza le ultime tendenze in fatto di sicurezza informatica: ad oggi, l’Italia è il quarto Paese più colpito dal ransomware in Europa (+28% nel 2023).
Lo studio annuale “Hi-Tech Crime Trends” mette in evidenza le minacce informatiche attive nella regione europea per il 2023/2024. Il rapporto include anche un’analisi approfondita dell’evoluzione delle sfide della cybersecurity in Europa.
Aumentano gli attacchi ransomware in Europa (+52%) ai danni delle industrie manifatturiere, del settore immobiliare e della logistica. Il Regno Unito, la Francia e la Germania hanno mantenuto il loro status di Paesi più frequentemente presi di mira dagli affiliati ai Ransomware-as-a-service (RaaS). Al quarto posto c’è l’Italia.
Nel corso del 2023, l’Europa è stata flagellata da 108 attacchi informatici condotti da vari gruppi di hacker sponsorizzati da governi. Le istituzioni governative e militari figurano quale obiettivo principale, con 48 attacchi ai loro danni. Gli Information Stealer rappresentano un problema significativo, con 250.000 dispositivi infetti (il 23% in più rispetto al 2022) nella regione europea, i cui log sono stati resi disponibili sull’Underground Clouds of Logs (UCL), e altri 647.485 host, i cui log sono stati messi in vendita nel dark web, con un aumento del 28% rispetto all’anno precedente.
Sicurezza informatica – Europa sotto tiro
Complessivamente, nel 2023 Group-IB ha attribuito 523 attacchi ad attori sponsorizzati da Stati terzi in tutto il mondo. Gli attacchi alle organizzazioni europee hanno rappresentato il 21% del totale. L’Europa ha subito 108 attacchi informatici condotti da vari gruppi di hacker finanziati da governi. Tra i gruppi che hanno operato in Europa sono da annoverare Lazarus, Mustang Panda, APT41 e Sandman (tutti provenienti dall’Asia orientale), insieme a APT28, BlackEnergy, Gamaredon, Turla e Callisto (tutti provenienti dalla regione della Comunità degli Stati Indipendenti (CSI)). Gli attacchi sono stati complessi e mirati, il che sottolinea la tendenza crescente a utilizzare il cyberspazio per raggiungere obiettivi governativi.
Con 31 incidenti censiti, l’Ucraina si posiziona in cima alla lista delle vittime di attacchi che hanno coinvolto attori delle minacce finanziati da Stati terzi, probabilmente un riflesso dei conflitti in corso nella regione. Gli altri quattro Paesi europei più bersagliati dai gruppi APT sono stati la Polonia (11 attacchi), la Germania, la Francia e l’Italia, con 6 attacchi ciascuno.
Ransomware: crescita doppia nel 2023
Il ransomware, che ha mantenuto il suo formidabile vantaggio sia in termini di scala sia di impatto, ha continuato a rappresentare una minaccia significativa per il mercato europeo. Ancora una volta l’Europa è stata la seconda regione più colpita a livello globale dopo il Nord America, con 1.186 aziende che hanno visto le loro informazioni pubblicate su Data Leak Sites (DLS) del ransomware. Ciò si traduce in un aumento del 52% circa rispetto all’anno precedente, quando le informazioni appartenenti a “solo” 781 aziende europee colpite sono apparse sui DLS.
Nel 2023, il settore manifatturiero è risultato il più bersagliato nella regione, cubando per il 16% di tutte le aziende colpite cui dati sono stati pubblicati sui DLS. Il settore immobiliare si è classificato al secondo posto ed è stato coinvolto nell’8% di tutti gli attacchi nella regione europea. La logistica segue al terzo posto con il 5% degli attacchi.
Per quanto riguarda i gruppi di ransomware più attivi nella regione, LockBit è in testa con il 26% degli attacchi in Europa, seguito da Play con il 9% e da Black Basta con il 7%.
Mercato ribassista: rallenta l’attività dei broker
In leggera flessione le organizzazioni che favoriscono la diffusione dei ransomware vendendo accessi iniziali a reti aziendali sul dark web, noti come Initial Access Brokers (IAB). Si sono adattati alle esigenze di altri attori delle minacce nella regione europea. Nel 2023 in Europa sono stati commercializzati 628 accessi a reti aziendali compromesse, con un calo del 7% rispetto al 2022 (674 offerte). I 5 Paesi europei più presi di mira dagli IAB sono stati Regno Unito (111), Francia (83), Spagna (70), Germania (63) e Italia (62).
Il settore dei servizi professionali è stato il più colpito nel 2023, con offerte di accesso raddoppiate rispetto al 2022, per un totale di 52 (8% di tutte le offerte riferite alla regione). Seguono il settore manifatturiero con 44 offerte (7%) quello del commercio e dello shopping con 37 offerte (6%) pubblicate dagli IAB.
Le offerte di accesso VPN sono diminuite del 50%, mentre quelle di account RDP sono aumentate del 34%. Le offerte di accesso con privilegi utente sono aumentate del 35% nel 2023. Ciò è indice di una maggiore differenziazione dell’accesso da parte delle aziende o di carenti competenze tra gli IAB.
Sicurezza informatica: Raccoon & Co. rubano cose
I log carpiti dagli infostealer sono divenuti uno degli strumenti principali per l’accesso alle reti aziendali perché sono semplici, ma molto efficaci. Gli infostealer sono un tipo di malware che raccoglie le credenziali salvate nei browser, i dettagli delle carte di credito, le informazioni dei portafogli di criptovalute, i cookie, la cronologia di navigazione e altre informazioni dai browser installati sui computer infetti. Gli Underground Clouds of Logs (UCL) gratuiti sono una delle principali fonti di dati sugli host infetti.
La Spagna è in testa con un’impennata del numero di host su UCL del 48% (31.665), mentre un anno fa era solo terza. Segue al secondo posto la Francia, leader nel 2022, con un numero di host su UCL in calo del 3% (25.873). La Polonia conclude la top tre dei Paesi più colpiti in Europa con un aumento del 6% (23.393). Altri due Paesi hanno registrato una crescita significativa nel 2023: la Germania (+32%, 22.966) e l’Italia (+18%, 22.309).
Rispetto al 2022, l’elenco degli Infostealer più popolari utilizzati per compromettere gli host e i cui log sono stati trovati su UCL è leggermente cambiato. Vidar, che l’anno scorso era al secondo posto, ha perso terreno rispetto allo stealer META ed è ora quarto. I tre principali infostealer che attaccano gli utenti in Europa sono quindi RedLine Stealer, META e Raccoon.
Una marea di leaks
Nel 2023 sono stati rilevati in Europa 386 nuovi casi di data leak i cui contenuti risultano pubblicamente accessibili. Nell’ambito di questi incidenti, sono stati compromessi oltre 292.034.484 milioni di stringhe con dati di utenti. Francia, Spagna e Italia sono stati i Paesi più colpiti con rispettivamente 64, 62 e 52 casi di fuga di dati.
Gli indirizzi e-mail, i numeri di telefono e le password costituiscono il rischio più elevato perché possono essere impiegati dai cybercriminali per vari tipi di attacchi. Di tutti i dati trapelati, 140.642.816 voci contenevano indirizzi e-mail (di cui 96.590.836 univoci). Inoltre, sono state trafugate 9.784.230 di password (di cui 3.832.504 univoche) e 157.074.355 voci con numeri di telefono (di cui 95.728.584 univoci).
