{"id":68274,"date":"2022-05-20T15:44:29","date_gmt":"2022-05-20T13:44:29","guid":{"rendered":"https:\/\/www.area-press.eu\/comunicatistampa\/?p=68274"},"modified":"2022-05-20T15:44:29","modified_gmt":"2022-05-20T13:44:29","slug":"group-ib-presenta-il-suo-compendio-annuale-sul-ransomware","status":"publish","type":"post","link":"https:\/\/www.area-press.eu\/comunicatistampa\/2022\/05\/20\/group-ib-presenta-il-suo-compendio-annuale-sul-ransomware\/","title":{"rendered":"Group-IB presenta il suo compendio annuale sul ransomware"},"content":{"rendered":"

Amsterdam, 19.05.2022 – Group-IB<\/strong>, uno dei leader della cybersecurity su scala globale, presenta il suo secondo compendio annuale \u201cRansomware Uncovered \"Logo_Group-IB\" 2021\/2022\u201d<\/strong><\/a> sull’evoluzione della minaccia informatica numero uno. I risultati della seconda edizione del rapporto indicano che l’ascesa dell\u2019impero del ransomware non ha conosciuto alcuna battuta di arresto e che la richiesta media di riscatto \u00e8 aumentata del 45%<\/strong>, fino a raggiungere 247.000<\/strong> dollari nel 2021. Le gang del ransomware sono anche diventate molto pi\u00f9 avide rispetto allo scorso anno. Ad esempio, il gruppo Hive ha richiesto il riscatto record di 240 milioni di dollari<\/strong> a MediaMarkt (in Italia MediaWorld). Il riscatto pi\u00f9 elevato nel 2020 \u00e8 stato di \u201csoli\u201d 30 milioni di dollari. Hive e la new entry della \u201ccaccia grossa\u201d (il cosiddetto Big Game Hunting) nel 2021, Grief<\/strong>, sono entrati rapidamente nella top 10 delle organizzazioni criminali per numero di aziende i cui dati sono stati pubblicati su apposite piattaforme online (DLS \u2013 Data Leak Sites). Una pratica che tra il primo trimestre 2021 e il primo trimestre 2022 ha interessato i dati di 986 aziende europee<\/strong> vittime di attacchi ransomware. Con 148<\/strong> aziende i cui dati sono stati caricati sui DLS l\u2019Italia \u00e8 al terzo posto in Europa e al quinto su scala globale<\/strong>.<\/p>\n

La catena di montaggio del ransomware<\/h2>\n

Il nuovo compendio fa il punto sulle pi\u00f9 recenti tattiche, tecniche e procedure (TTP) adottate dagli attori delle minacce ransomware e osservate dal team Digital Forensics e Incident Response (DFIR) di Group-IB nelle sedi dell\u2019azienda in tutto il mondo. Oltre ai 700<\/strong> attacchi esaminati nel 2021 da Group-IB nel quadro delle proprie attivit\u00e0 di risposta agli incidenti informatici e di Cyber Threat Intelligence, il rapporto tratta anche le piattaforme online su cui vengono divulgati i dati delle vittime del ransomware (DSL = Data Leak Sites).<\/p>\n

Gli attacchi ransomware operati da esseri umani mantengono uno stabile margine di vantaggio nel panorama delle minacce informatiche degli ultimi tre anni. L\u2019ascesa dei broker di accesso iniziale (IAS), descritta nell\u00b4 Hi-Tech Crime Trends di Group-IB<\/a>, e la proliferazione di programmi di Ransomware-as-a-Service (RaaS) sono elementi trainanti della crescita continua delle attivit\u00e0 ransomware. Il RaaS ha permesso ai cybercriminali inesperti di unirsi al gioco, facendo lievitare il numero delle vittime.<\/p>\n

Sulla base dell\u2019analisi di oltre 700 attacchi perpetrati nel 2021, gli esperti DFIR di Group-IB hanno stimato che la richiesta media di riscatto si \u00e8 attestata sui 247.000 dollari<\/strong> nel 2021, il 45% in pi\u00f9 rispetto al 2020. L\u2019accresciuta sofisticatezza del ransomware risulta chiaramente visibile dai tempi di fermo delle vittime, passati dai 18 giorni del 2020 ai 22<\/strong> del 2021.<\/p>\n

\"\"<\/a><\/p>\n

Gli ideatori dei programmi RaaS hanno iniziato a offrire ai propri clienti non solo kit di ransomware, ma anche strumenti per l\u2019esfiltrazione dei dati, al fine di semplificare e snellire le operazioni. Di conseguenza, la tecnica della doppia estorsione si \u00e8 diffusa in modo ancora pi\u00f9 capillare: i dati sensibili delle vittime sono stati esfiltrati per forzare il pagamento del riscatto nel 63%<\/strong> dei casi analizzati dal team DFIR di Group-IB. Tra il primo trimestre 2021 e il primo trimestre 2022, le gang del ransomware hanno pubblicato sui DLS i dati appartenenti ad oltre 3.500<\/strong> vittime. La maggior parte delle aziende i cui dati sono stati diffusi tramite DLS nel 2021 ha sede negli Stati Uniti (1.655), 986 sono invece le aziende europee colpite. <\/strong>\u00a0Con 148 <\/strong>vittime i cui dati sono stati esfiltrati e pubblicati sui DLS, l\u2019Italia occupa il<\/strong> quinto posto <\/strong>nella classifica mondiale e il terzo <\/strong>in quella europea, seguita a ruota dalla Germania con 143 aziende. La maggior parte delle organizzazioni i cui dati sono stati divulgati fa capo al settore industriale (322, di cui 28 italiane<\/strong>), immobiliare (305) e dei servizi professionali (256). In Italia anche il settore dei trasporti (15 aziende) e il commercio (13 aziende) risultano interessati dal fenomeno.<\/strong><\/p>\n

\"\"<\/p>\n

Lockbit,<\/strong> Conti<\/strong> e Pysa<\/strong> si sono rivelate le organizzazioni pi\u00f9 aggressive per numero di aziende i cui dati sono stati caricati sui DLS, rispettivamente 670, 640<\/strong> e 186, tra cui figurano anche aziende italiane, <\/strong>nella fattispecie rispettivamente 45, 25 e 12 vittime<\/strong>. Le due new entry nel Big Game Hunting del 2021, Hive e Grief (una riedizione di DoppelPaymer), sono entrati rapidamente nella top 10 delle gang del ransomware per numero di vittime i cui dati sono stati postati sui DLS.<\/p>\n

Bot ingannevoli<\/h2>\n

Nel 2021 l\u2019abuso di server RDP esposti su Internet \u00e8 stato ancora una volta il metodo pi\u00f9 comune per l\u2019accesso iniziale alle reti target – il 47%<\/strong> di tutti gli attacchi analizzati dagli esperti DFIR di Group-IB \u00e8 iniziato con la compromissione di un servizio remoto esterno.<\/p>\n

\"\"<\/p>\n

Le E-mail di spear phishing contenenti malware comune si sono riconfermate in seconda posizione (26%).<\/strong> L\u2019impiego di malware standard nelle prime fasi di un attacco ha guadagnato popolarit\u00e0 tra gli attori del ransomware rendendo pi\u00f9 complicata l\u2019attribuzione degli attacchi ransomware. Nel 2021 infatti molti bot come Emotet, Qakbot<\/strong> e IcedID<\/strong> sono stati utilizzati da pi\u00f9 attori, mentre nel 2020 alcune tipologie di malware comune erano legate a specifiche gang. Il team DFIR di Group-IB ha ad esempio osservato che IcedID \u00e8 stato impiegato da vari gruppi ransomware per assicurarsi l’accesso iniziale. Tra questi Egregor, REvil, Conti, XingLocker, RansomExx.<\/p>\n

In generale, numerose organizzazioni ransomware si sono affidate a tecniche abituali e strumenti legittimi durante il corso di un attacco. Malware comuni sono stati spesso utilizzati per avviare altre attivit\u00e0 a posteriori dell\u2019esecuzione, ad esempio il caricamento di framework come Cobalt Strike (osservato nel 57% degli attacchi).<\/p>\n

Altre gang ransomware si sono cimentate invece in approcci molto inusuali. Gli affiliati di REvil hanno sfruttato vulnerabilit\u00e0 zero-day per attaccare i clienti di Kaseya. BazarLoader, utilizzato nelle operazioni di Ryuk, \u00e8 stato distribuito tramite vishing (phishing vocale). Le e-mail di phishing contenevano informazioni su “abbonamenti a pagamento”, che \u2013 secondo quanto affermato – potevano essere disdetti telefonicamente. Durante la telefonata, gli attaccanti attiravano la vittima su un sito web fasullo e fornivano istruzioni per scaricare e aprire un documento compromesso, che scaricava ed eseguiva BazarLoader.<\/p>\n

\u201cA fronte delle molteplici ridenominazioni forzate dalle operazioni di polizia e della fusione delle TTP, dovuta alla costante migrazione degli affiliati da un programma Ransomware-as-a-Service (RaaS) all’altro, sta diventando sempre pi\u00f9 difficile per i professionisti della sicurezza tenere traccia delle tattiche e degli strumenti in continua evoluzione impiegati dagli attori del ransomware\u201d, afferma Oleg Skulkin<\/strong>, responsabile del team DFIR di Group-IB. \u201cPer tenere al corrente i responsabili della cybersecurity aziendale e prepararli ad eventuali incidenti ransomware, abbiamo evidenziato le principali tendenze e i cambiamenti delle TTP sotto forma di indicazioni praticabili, mappate e organizzate secondo la matrice MITRE ATT&CK\u00ae\u201d.<\/p>\n

La seconda edizione 2021\/2022 del rapporto “Ransomware Uncovered” presenta quindi una matrice MITRE ATT&CK\u00ae che contiene informazioni sulle TTP impiegate pi\u00f9 di frequente durante gli attacchi ransomware operati da esseri umani. Il nuovo compendio \u00e8 scaricabile dal sito web di Group-IB.<\/p>\n","protected":false},"excerpt":{"rendered":"

Amsterdam, 19.05.2022 – Group-IB, uno dei leader della cybersecurity su scala globale, presenta il suo secondo compendio annuale \u201cRansomware Uncovered 2021\/2022\u201d sull’evoluzione della minaccia informatica numero uno. I risultati della seconda edizione del rapporto indicano che l’ascesa dell\u2019impero del ransomware non ha conosciuto alcuna battuta di arresto e che la richiesta media di riscatto \u00e8 […]<\/p>\n","protected":false},"author":5240,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[29,7,10],"tags":[32447,32448,20611,32449,32450,32451,32452,32453,32454,32455,32456,32457,32458,3455,32459,32460,32461,32462,6096,32463],"class_list":["post-68274","post","type-post","status-publish","format-standard","hentry","category-comunicati","category-economia-e-finanza","category-informatica","tag-big-game-hunting","tag-conti","tag-cybersicurezza","tag-data-leak-sites","tag-dati-esfiltrati","tag-dfir","tag-dsl","tag-emotet","tag-grief","tag-group-ib","tag-hive","tag-icedid","tag-lockbit","tag-malware","tag-oleg-skulkin","tag-pysa","tag-qakbot","tag-raas","tag-ransomware","tag-ransomware-uncovered-2021"],"_links":{"self":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts\/68274","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/users\/5240"}],"replies":[{"embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/comments?post=68274"}],"version-history":[{"count":3,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts\/68274\/revisions"}],"predecessor-version":[{"id":68282,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts\/68274\/revisions\/68282"}],"wp:attachment":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/media?parent=68274"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/categories?post=68274"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/tags?post=68274"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}