area-press.eu

Tag: Group-IB

  • Scam alla base del 57% di tutti i crimini informatici del 2021 — Digital Risk Summit

    Gli analisti di Group-IB confermano: nel 2021 lo scam è stato il tipo più comune di frode informatica. In Europa lo specialista di cybersecurity ha rilevato un incremento dell’89% delle piattaforme scam che impersonano marchi noti create su base mensile e – nel solo arco di tempo tra ottobre e dicembre 2021 – la creazione di oltre 150 pagine fasulle al mese legate a particolari ricorrenze o situazioni contingenti.

    Logo GAmsterdam ¦ Group-IB, uno dei leader mondiali della sicurezza informatica, condivide oggi la sua analisi della minaccia informatica più diffusa al mondo: lo scam. Responsabile del 57% di tutti i crimini informatici a sfondo economico, l’industria dello scam si sta sempre più strutturando e coinvolge un numero sempre maggiore di soggetti suddivisi in gruppi gerarchizzati. Il numero di tali gruppi ha raggiunto la cifra record di 390, ovvero 3,5 volte in più rispetto all’anno precedente, quando i gruppi attivi erano circa 110. Favorito da piattaforme Scam-as-a-Service (SaaS), nel 2021 il numero di criminali informatici facenti capo ad una singola gang di scammer è aumentato di 10 volte rispetto al 2020, raggiungendo le 100 unità. Il traffico web è assurto inoltre a sistema circolatorio delle attività di scam: I ricercatori di Group-IB sottolineano che il numero di siti web utilizzati per acquistare e fornire traffico “abusivo” e illegale o che attirano vittime in attività fraudolente è aumentato di 1,5 volte. Gli scammer entrano infine nel 2022 con un nuovo livello di automazione degli attacchi scam: niente più utenti non mirati. Ora si rivolgono a gruppi specifici di vittime per aumentare i tassi di conversione, e i social network sono sempre più spesso il primo punto di contatto tra gli scammer e le loro potenziali vittime.

    Nel corso della conferenza online Digital Risk Summit 2022, suddivisa in sessioni analitiche e tecnologiche, Group-IB ha condiviso i risultati delle sue ricerche su vari schemi di scam, ottenuti con l’aiuto di reti neurali e sistemi di punteggio basati sul machine learning, integrati nella piattaforma Group-IB Digital Risk Protection, progettata per mitigare i rischi digitali esterni in cui incorrono proprietà intellettuali e identità dei marchi. Tra i partecipanti alla conferenza figurano il Centro Informatico Internazionale delle Nazioni Unite (UNICC), Scamadviser (un progetto globale indipendente), Ebank (Egitto), e molti altri.

    Scam “onnipotente”

    Alla luce del crescente numero di utenti Internet quotidianamente raggirati dai cybercriminali, i truffatori prediligono le buone vecchie tecniche di attacco, come il phishing (18%), lo scam e le frodi (57%) oltre a infezioni tramite malware e attacchi alla reputazione (25%). Nel 2021, lo scam è stato il tipo di crimine informatico più comune.

    57% cybercrimes are scam
    (c) 2022 – Group-IB
    types of cybercrimes
    (c) 2022 – Group-IB

     

     

     

     

     

     

     

     

     

    Anche il numero di piattforme scam che impersonano marchi noti create su base mensile è aumentato. In Europa gli analisti di Group-IB hanno registrato un incremento dell’89%.

    scam increase map
    (c) 2022 – Group-IB

    Prendendo spunto dalle attività condotte con successo dagli hacker ai danni di organizzazioni aziendali e governative in tutto il mondo, gli scammer hanno adottato le loro metodologie per perfezionare i propri schemi. Soggetti solitari e caotici hanno iniziato ad attirare intere bande criminali organizzate fornendo servizi SaaS (Scam-as-a-Service). “Una forte tendenza che abbiamo osservato nel 2021 è stato l’ingresso di scammer senza infamia e senza lode in gruppi controllati da criminali altamente qualificati dal punto di vista tecnico”, afferma Antony Dolgalev, Deputy Head of Digital Risk Protection di Group-IB.

    “La nostra piattaforma basata sull’intelligenza artificiale ha identificato tra i 75 e i 110 gruppi di scammer nel 2020, con un numero medio di 10 membri per gruppo. Il numero medio di link a siti scam per gruppo aveva raggiunto le 100 unità. Il SaaS ha contribuito non solo a far crescere l’appetito dei truffatori, ma anche il settore stesso. Nel 2021 infatti il nostro sistema DRP (Digital Risk Protection) ha monitorato 350 gruppi, arrivando a picchi di fino a 390 gruppi in taluni momenti. Il numero di cybercriminali membri di gruppi di scammer è aumentato altrettanto drasticamente, con una media tra 100 e 1.000 per gruppo. Di conseguenza anche la loro infrastruttura è cresciuta proporzionalmente: il numero medio di link a siti di scam per gruppo oscilla tra 2.000 e 3.000″.

    Scam ad hoc per occasioni speciali

    Gli scammer continuano ad abusare di ricorrenze e situazioni particolari per le loro frodi, tra queste il black friday, programmi e attività del governo, offerte per la giornata della salute e simili. Tra l’altro anche il settore delle Risorse Umane è stato uno degli ambiti più abusati a scopo di truffa: tra ottobre e dicembre 2021 in Europa sono state create oltre 150 pagine fasulle al mese legate alla ricerca di impiego.

    In numerosi casi celebrità e marchi popolari sono stati impersonati per attrarre le vittime, una tattica che continua a dare i suoi frutti. Inoltre, alla luce della situazione sanitaria globale, il numero di scam sul Covid-19 è aumentato notevolmente, e in modo particolare lo scam legato alla commercializzazione di falsi vaccini e certificati Covid. In tutto il mondo sono stati rilevati oltre 7,5 milioni di abbonati a gruppi che proponevano documenti Covid fasulli.

    Il traffico web ti interessa quanto agli scammer?

    Il numero di siti web utilizzati per acquistare e fornire traffico abusivo e illegale è aumentato di 1,5 volte. Per ovviare alla creazione e manutenzione di risorse proprie, alcuni scammer hanno preferito dirottare il traffico web su risorse di proprietà di altri scammer, naturalmente a pagamento qualora il furto di denaro fosse andato a buon fine.

    “Gli scammer ora si focalizzano sulla generazione di traffico mirato. In passato il modello adottato mirava ad attirare anche utenti inadatti su risorse fraudolente, ma dal 2021 la strategia è cambiata drasticamente. Ora gli scammer si rivolgono a gruppi specifici di vittime per incrementare i tassi di conversione. Una sola piattaforma per la rivendita di traffico illecito genera un fatturato medio di 2.758 USD la settimana per singola offerta,” aggiunge Antony Dolgalev. “La piattaforma per la commercializzazione di traffico web abusivo e illecito presa ad esempio dagli analisti del team DRP di Group-IB risulta essere distribuita primariamente in India, USA e Vietnam.”

    I cybercriminali non si sono avvalsi di strategie deboli per il targeting degli URL. Gli esperti di Group-IB hanno rilevato al contrario una forte tendenza ad utilizzare un URL targeting perfezionato: un link web valido una solta volta e condiviso esclusivamente con un particolare utente in un particolare momento, destinato quindi ad un pubblico specifico. Gli indirizzi web personalizzati di norma includevano non solo data, orario e un codice hash, ma anche informazioni geolocalizzate, la versione del sistema operativo, il tipo di browser impiegato e il nome dell’operatore internet. Anche a livello di personalizzazione dei contenuti non si sono riscontrate debolezze. I truffatori hanno impiegato sistemi di personalizzazione avanzata con moduli web auto-compilati su una pagina che presentava i dati personali dell’utente, estratti dai cookies del browser.

    Ciao [nome utente], facciamo quattro chiacchiere!

    La digitalizzazione è un trend di portata globale. Le frodi informatiche non fanno eccezione e il fatto che il numero degli utenti internet sia aumentato a circa 4,95 miliardi nel 2021 ha contribuito alla sua avanzata. Inoltre, il numero di utenti dei social network e di utenti unici di smartphone è arrivato a 4,62 miliardi di persone ( (+10% rispetto al 2020). Nel 2021 il preludio del 48,15% dei tentativi di scam consisteva in un dialogo attivo con la vittima, hanno concluso gli esperti. È stata altresì rilevata una tendenza alla semplificazione delle landing page fasulle, con il progressivo passaggio degli scammer alla proposta di offerte fraudolente attraverso piattaforme legittime come Facebook e Instagram. La ragione dell’impiego dei social network è semplice. Prima di tutto è il modo migliore per ispirare fiducia. In secondo luogo, i servizi dei social network vengono moderati in maniera insufficiente.

    incermento scam
    (c) Group-IB

    I trend identificati dagli esperti di Group-IB sono stati confermati altresì dai partner dell’azienda che hanno partecipato al Summit. Jorij Abraham, Direttore Generale dell’Alleanza Globale Anti-Scam e  Consulente Scam, ha affermato che gli scammer si stanno progressivamente professionalizzando e che il numero di Scam riportati è passato da 139 a 266 milioni (93%).

    “Il numero di cybercrimini aumenta di anno in anno. Dobbiamo anticipare gli scammer. Per farlo, gli attori del mercato della cybersecurity devono condividere il proprio know-how e propri dati. Solo in questo modo potremo spuntarla”, afferma Jorij Abraham. “A fronte della proliferazione dei dati e dello sviluppo di nuove tecnologie come i deepfake, è sempre più difficile identificare lo scam.”

    L’hype generato dai metaversi a livello globale è in costante crescita. Gli analisti del team DRP di Group-IB si aspettano quindi che il volume dello scam aumenterà anche nei metaversi. La stessa situazione si riscontra nell’ambito delle criptovalute e negli NFT, dove lo scam è già molto popolare. Anche l’utilizzo di deepfake e voicefake (imitazione della voce) aumenterà — che figurano già tra i metodi prediletti per per attacchi scam. Gli esperti prevedono infine che strumenti di deanonimizzazione saranno impiegati nell’ambito dei ricatti e della personalizzazione delle vittime.

  • Group-IB presenta il suo compendio annuale sul ransomware

    Amsterdam, 19.05.2022 – Group-IB, uno dei leader della cybersecurity su scala globale, presenta il suo secondo compendio annuale “Ransomware Uncovered Logo_Group-IB 2021/2022” sull’evoluzione della minaccia informatica numero uno. I risultati della seconda edizione del rapporto indicano che l’ascesa dell’impero del ransomware non ha conosciuto alcuna battuta di arresto e che la richiesta media di riscatto è aumentata del 45%, fino a raggiungere 247.000 dollari nel 2021. Le gang del ransomware sono anche diventate molto più avide rispetto allo scorso anno. Ad esempio, il gruppo Hive ha richiesto il riscatto record di 240 milioni di dollari a MediaMarkt (in Italia MediaWorld). Il riscatto più elevato nel 2020 è stato di “soli” 30 milioni di dollari. Hive e la new entry della “caccia grossa” (il cosiddetto Big Game Hunting) nel 2021, Grief, sono entrati rapidamente nella top 10 delle organizzazioni criminali per numero di aziende i cui dati sono stati pubblicati su apposite piattaforme online (DLS – Data Leak Sites). Una pratica che tra il primo trimestre 2021 e il primo trimestre 2022 ha interessato i dati di 986 aziende europee vittime di attacchi ransomware. Con 148 aziende i cui dati sono stati caricati sui DLS l’Italia è al terzo posto in Europa e al quinto su scala globale.

    La catena di montaggio del ransomware

    Il nuovo compendio fa il punto sulle più recenti tattiche, tecniche e procedure (TTP) adottate dagli attori delle minacce ransomware e osservate dal team Digital Forensics e Incident Response (DFIR) di Group-IB nelle sedi dell’azienda in tutto il mondo. Oltre ai 700 attacchi esaminati nel 2021 da Group-IB nel quadro delle proprie attività di risposta agli incidenti informatici e di Cyber Threat Intelligence, il rapporto tratta anche le piattaforme online su cui vengono divulgati i dati delle vittime del ransomware (DSL = Data Leak Sites).

    Gli attacchi ransomware operati da esseri umani mantengono uno stabile margine di vantaggio nel panorama delle minacce informatiche degli ultimi tre anni. L’ascesa dei broker di accesso iniziale (IAS), descritta nell´ Hi-Tech Crime Trends di Group-IB, e la proliferazione di programmi di Ransomware-as-a-Service (RaaS) sono elementi trainanti della crescita continua delle attività ransomware. Il RaaS ha permesso ai cybercriminali inesperti di unirsi al gioco, facendo lievitare il numero delle vittime.

    Sulla base dell’analisi di oltre 700 attacchi perpetrati nel 2021, gli esperti DFIR di Group-IB hanno stimato che la richiesta media di riscatto si è attestata sui 247.000 dollari nel 2021, il 45% in più rispetto al 2020. L’accresciuta sofisticatezza del ransomware risulta chiaramente visibile dai tempi di fermo delle vittime, passati dai 18 giorni del 2020 ai 22 del 2021.

    Gli ideatori dei programmi RaaS hanno iniziato a offrire ai propri clienti non solo kit di ransomware, ma anche strumenti per l’esfiltrazione dei dati, al fine di semplificare e snellire le operazioni. Di conseguenza, la tecnica della doppia estorsione si è diffusa in modo ancora più capillare: i dati sensibili delle vittime sono stati esfiltrati per forzare il pagamento del riscatto nel 63% dei casi analizzati dal team DFIR di Group-IB. Tra il primo trimestre 2021 e il primo trimestre 2022, le gang del ransomware hanno pubblicato sui DLS i dati appartenenti ad oltre 3.500 vittime. La maggior parte delle aziende i cui dati sono stati diffusi tramite DLS nel 2021 ha sede negli Stati Uniti (1.655), 986 sono invece le aziende europee colpite.  Con 148 vittime i cui dati sono stati esfiltrati e pubblicati sui DLS, l’Italia occupa il quinto posto nella classifica mondiale e il terzo in quella europea, seguita a ruota dalla Germania con 143 aziende. La maggior parte delle organizzazioni i cui dati sono stati divulgati fa capo al settore industriale (322, di cui 28 italiane), immobiliare (305) e dei servizi professionali (256). In Italia anche il settore dei trasporti (15 aziende) e il commercio (13 aziende) risultano interessati dal fenomeno.

    Lockbit, Conti e Pysa si sono rivelate le organizzazioni più aggressive per numero di aziende i cui dati sono stati caricati sui DLS, rispettivamente 670, 640 e 186, tra cui figurano anche aziende italiane, nella fattispecie rispettivamente 45, 25 e 12 vittime. Le due new entry nel Big Game Hunting del 2021, Hive e Grief (una riedizione di DoppelPaymer), sono entrati rapidamente nella top 10 delle gang del ransomware per numero di vittime i cui dati sono stati postati sui DLS.

    Bot ingannevoli

    Nel 2021 l’abuso di server RDP esposti su Internet è stato ancora una volta il metodo più comune per l’accesso iniziale alle reti target – il 47% di tutti gli attacchi analizzati dagli esperti DFIR di Group-IB è iniziato con la compromissione di un servizio remoto esterno.

    Le E-mail di spear phishing contenenti malware comune si sono riconfermate in seconda posizione (26%). L’impiego di malware standard nelle prime fasi di un attacco ha guadagnato popolarità tra gli attori del ransomware rendendo più complicata l’attribuzione degli attacchi ransomware. Nel 2021 infatti molti bot come Emotet, Qakbot e IcedID sono stati utilizzati da più attori, mentre nel 2020 alcune tipologie di malware comune erano legate a specifiche gang. Il team DFIR di Group-IB ha ad esempio osservato che IcedID è stato impiegato da vari gruppi ransomware per assicurarsi l’accesso iniziale. Tra questi Egregor, REvil, Conti, XingLocker, RansomExx.

    In generale, numerose organizzazioni ransomware si sono affidate a tecniche abituali e strumenti legittimi durante il corso di un attacco. Malware comuni sono stati spesso utilizzati per avviare altre attività a posteriori dell’esecuzione, ad esempio il caricamento di framework come Cobalt Strike (osservato nel 57% degli attacchi).

    Altre gang ransomware si sono cimentate invece in approcci molto inusuali. Gli affiliati di REvil hanno sfruttato vulnerabilità zero-day per attaccare i clienti di Kaseya. BazarLoader, utilizzato nelle operazioni di Ryuk, è stato distribuito tramite vishing (phishing vocale). Le e-mail di phishing contenevano informazioni su “abbonamenti a pagamento”, che – secondo quanto affermato – potevano essere disdetti telefonicamente. Durante la telefonata, gli attaccanti attiravano la vittima su un sito web fasullo e fornivano istruzioni per scaricare e aprire un documento compromesso, che scaricava ed eseguiva BazarLoader.

    “A fronte delle molteplici ridenominazioni forzate dalle operazioni di polizia e della fusione delle TTP, dovuta alla costante migrazione degli affiliati da un programma Ransomware-as-a-Service (RaaS) all’altro, sta diventando sempre più difficile per i professionisti della sicurezza tenere traccia delle tattiche e degli strumenti in continua evoluzione impiegati dagli attori del ransomware”, afferma Oleg Skulkin, responsabile del team DFIR di Group-IB. “Per tenere al corrente i responsabili della cybersecurity aziendale e prepararli ad eventuali incidenti ransomware, abbiamo evidenziato le principali tendenze e i cambiamenti delle TTP sotto forma di indicazioni praticabili, mappate e organizzate secondo la matrice MITRE ATT&CK®”.

    La seconda edizione 2021/2022 del rapporto “Ransomware Uncovered” presenta quindi una matrice MITRE ATT&CK® che contiene informazioni sulle TTP impiegate più di frequente durante gli attacchi ransomware operati da esseri umani. Il nuovo compendio è scaricabile dal sito web di Group-IB.