Negli ultimi due anni, oltre alla Covid-19 si è diffusa una vera e propria pandemia digitale causata dal ransomware. L’aumento di questi attacchi è dovuto a diversi elementi quali ad esempio l’utilizzo di questa arma per estorcere denaro alle aziende, l’aumento dello smart working e l’espansione delle criptovalute che permettono transazioni pseudo-anonime.
Grazie alla ricerca svolta dalla società di cyber security Ancharia è possibile esaminare un set di dati contenente informazioni relative a tutti gli attacchi ransomware rivendicati sul Dark Web dalle principali gang criminali negli anni 2020 e 2021, al fine di ricavarne importanti relazioni e preziose indicazioni; ad esempio, è possibile capire chi sono i principali gruppi ransomware attualmente operativi, quali di questi sono più attivi, quali prendono di mira le organizzazioni italiane, quali sono i settori economici di maggiore interesse e cosa è cambiato nel 2021 rispetto all’anno 2020. Indicazioni utili per approntare una strategia di difesa efficace per l’anno appena iniziato.
Indice degli argomenti
Il ransomware e le estorsioni
Il ransomware rappresenta, in questo momento storico, la principale minaccia alla sicurezza delle informazioni per qualsiasi organizzazione. Gli attacchi sono spesso rivolti a obiettivi di alto profilo: aziende, agenzie governative, enti pubblici e organizzazioni sanitarie.
Un attacco ransomware potrebbe causare danni devastanti a qualsiasi organizzazione in quanto viene compromessa:
- l’integrità dei dati (che siano essi di business o personali) che vengono cifrati dal ransomware;
- la disponibilità di uno o più servizi (di dominio pubblico o privato);
- la riservatezza dei dati se oltre alla cifratura c’è stata una esfiltrazione degli stessi.
Ad oggi, le gang criminali sono arrivati a utilizzare fino a 4 tipologie di estorsione per costringere le vittime a pagare:
- cifratura dei dati: alle vittime viene chiesto il pagamento di una somma (molto spesso stabilita sulla base del fatturato dell’azienda) per riottenere l’accesso a dati e sistemi compromessi a causa della cifratura;
- pubblicazione dei dati: se l’azienda si rifiuta di pagare il riscatto, gli hacker pubblicano un po’ alla volta le informazioni trafugate. Qui, oltre al danno di reputazione, c’è anche l’eventuale sanzione regolata dal GDPR alla quale la società potrebbe andare incontro;
- attacco DDoS: di nuovo, se l’azienda non paga il riscatto i cyber criminali lanciano attacchi di tipo Denial of Service con l’obiettivo di rendere indisponibili i servizi web dell’organizzazione;
- minacce ai contatti: i cyber criminali iniziano a contattare clienti, fornitori, partner e dipendenti, nel caso in cui abbiano rubato loro informazioni personali, minacciandoli di divulgare le loro informazioni personali.
Purtroppo sono poche le aziende che possono permettersi di pagare un riscatto e il fatto più preoccupante è che il pagamento dello stesso non garantisce che si possa recuperare ciò che è stato trafugato.
Inoltre, non c’è alcuna garanzia che l’azienda non venga attaccata di nuovo.
I numeri degli attacchi e i principali gruppi ransomware
Sul Dark Web, i gruppi criminali maggiormente organizzati hanno un proprio sito web dove pubblicano le informazioni delle organizzazioni colpite dal loro ransomware e il countdown prima che avvenga la pubblicazione dei dati rubati.
Se si raccolgono queste informazioni ne esce fuori l’elenco di tutti gli attacchi ransomware rivendicati dalle principali cyber gang negli ultimi anni.
Naturalmente, il numero di questi attacchi costituisce solo una parte di tutti gli attacchi ransomware che sono avvenuti negli ultimi due anni ma rappresentano comunque un campione ampio, seppur parziale, sul quale poter fare un’analisi approfondita.
Attualmente, nel panorama del cyber crime sono presenti una cinquantina di gang informatiche (il doppio rispetto allo scorso anno) che hanno rivendicato nel Dark Web diverse migliaia di attacchi ransomware con relative richieste di riscatto.
Nella classifica dei criminali informatici che hanno messo a segno più attacchi nel 2021, ai primi cinque posti troviamo il gruppo Conti con circa il 20% degli attacchi totali, seguito da Lockbit (ora LockBit 2.0) con circa il 15%, Pysa con circa l’8%, Avaddon (che in estate ha chiuso i battenti pubblicando le chiavi per la decrittografia dei file cifrati) e REvil con circa il 7%.
I restanti gruppi sono responsabili del 40% circa degli attacchi.
Principali gruppi ransomware attivi nel 2021.
Se si analizzano i settori che nel mondo sono maggiormente colpiti dai cyber criminali nel 2021, si scopre che ogni famiglia di ransomware ha dei settori preferiti da attaccare; il gruppo Conti ad esempio prende di mira principalmente il settore delle costruzioni (che include edilizia e manifatturiero), LockBit il settore dei servizi legali e Pysa il settore dell’istruzione e formazione.
La situazione in Italia
In base alle informazioni acquisite dal Dark Web, l’Italia si posiziona al quinto posto, dopo USA, Francia, Regno Unito e Canada, per attacchi subiti da minacce ransomware nell’ultimo anno.
Come mostrato nel grafico sottostante, in Italia i dati confermano il trend mondiale visto che ai primi due posti, anche se invertiti di posizione, sono presenti Lockbit e Conti che da soli rappresentano il 35% circa di tutti gli attacchi ransomware sferrati contro aziende italiane nel 2021.
Gruppi ransomware maggiormente attivi in Italia nel 2021.
Da un’analisi approfondita dei dati, sembrerebbe che i gruppi ransomware siano particolarmente interessati a colpire le società italiane che operano nel settore manifatturiero. Difatti risulta che circa il 40% degli attacchi ransomware verso le organizzazioni italiane sono stati sferrati nei confronti di quelle società che si occupano della trasformazione delle materie prime in prodotti finiti destinati al consumo.
Il secondo settore maggiormente colpito in Italia dagli attacchi ransomware è quello del commercio all’ingrosso e al dettaglio (nel 21% dei casi). Al terzo posto, con il 13,5% dei casi, si rilevano attacchi alle organizzazioni pubbliche. A seguire gli altri.
Settori economici italiani maggiormente colpiti da attacchi ransomware nel 2021.
Incrociando alcune informazioni si possono facilmente identificare quali siano i principali gruppi ransomware interessati a ciascuna tipologia di organizzazione italiana e in che misura. Ad esempio nel caso delle aziende manifatturiere italiane si osserva come nel 2021, i cyber criminali che hanno messo a segno maggiori attacchi sono Lockbit (26%), Conti (14.5%), Ragnarok (14.5% ma che oramai ha rilasciato la chiave di decifratura) DarkSide (6%) e BlackByte (6%).
Principali gruppi ransomware che hanno colpito le aziende manifatturiere italiane nel 2021.
Se fino a qualche anno fa il ransomware andava a colpire anche il singolo utente distratto, oggi i cyber criminali prima di lanciare un attacco, studiano attentamente il proprio target concentrando tempi e risorse sui bersagli più importanti, ossia quelli con fatturati elevati. Ovviamente più grande è il bersaglio più alto è il riscatto richiesto.
Questa pratica è assolutamente confermata se si guardano le statistiche in Italia. Dal grafico di figura 5 si può osservare che nella maggior parte dei casi, le aziende colpite sonno quelle con fatturati molto elevati: in particolare, le organizzazioni con fatturato compreso tra i 6 e i 30 milioni di Euro, sembrerebbero essere quelle preferite dagli attaccanti.
Da notare comunque che le organizzazioni con fatturati più bassi (inferiori ai 3 milioni di Euro) non sono esenti dagli attacchi ransomware visto che rappresentano una fetta non trascurabile (11%) degli attacchi totali.
Attacchi ransomware nel 2021 e fatturato delle aziende italiane.
Evoluzione degli attacchi ransomware
Se si confronta ciò che è accaduto nel 2020 rispetto al 2021, si possono individuare le seguenti caratteristiche:
- nel 2021 il numero degli attacchi ransomware rivendicati nel darkweb è stato circa il doppio di quelli del 2020: questo è dovuto anche dal fatto che molte organizzazioni spesso pagano il riscatto richiesto dagli attaccanti;
- nel 2021 il numero degli gruppi criminali presenti nel dark web è il doppio rispetto al 2020;
- si stima che il costo medio totale di recupero da ransomware sia più che raddoppiato nel 2021 rispetto al 2020 (da 761.106 di dollari del 2020 a 1.85 milioni di dollari nel 2021);
- rispetto al 2020, nel 2021 sono aumentati in percentuale il numero di attacchi contro società con fatturati inferiori ai 6 milioni di Euro.
Conclusioni
L’analisi svolta, oltre che dare una visione globale delle minacce ransomware nel mondo e in Italia, vuole mettere in evidenza l’importanza che qualsiasi organizzazione deve dare all’analisi del contesto interno e delle minacce esterne prima di adottare qualsiasi misura di sicurezza informatica a difesa della propria infrastruttura.
Ad esempio, le società manifatturiere italiane con fatturato compreso tra i 6 e i 30 milioni di Euro, ad oggi presentano una probabilità elevata di ricevere un attacco ransomware; al fine di rendere la strategia di difesa più efficace, in prima battuta, tali aziende dovrebbero dedicare del tempo ad analizzare approfonditamente le metodologie, tecniche, tattiche e procedure (TTP) utilizzate dagli attori esterni interessati (Lockbit, Conti, DarkSide, BlackByte ecc.), e solo dopo, definire ed implementare le misure tecnico-organizzative da adottare.
Diversamente, una pubblica amministrazione che ha comunque una rilevante probabilità di ricevere un attacco ransomware, deve dare maggiore importanza all’analisi delle metodologie e delle TTP usate da gruppi ransomware come RansomEXX e DoppelPaymer.
