707 obiettivi attaccati in 62 paesi nel secondo trimestre del 2022, in crescita del 37% sul medesimo periodo del 2021 e del 30% sul trimestre precedente, con un incremento significativo delle piccole e medie imprese vittime di ransomware: il 72% delle aziende vittime di esfiltrazioni di dati accompagnate a richieste di riscatto hanno un fatturato inferiore ai 250 milioni di dollari. Questo il frutto della razzia sul web delle prime quindici cybergang più attive nel secondo trimestre 2022, stando a quanto riporta il rapporto “Gang Ransomware Q2” (https://www.swascan.com/it/report-ransomware-trend-e-analisi-nel-q2-2022/) redatto dal SOC e Threat Intelligence team di Swascan. Una analisi condotta attraverso la piattaforma proprietaria di Cyber Threat Intelligence e rilasciata on line sul sito della società italiana di cybersicurezza facente parte del Gruppo Tinexta. Il rapporto, unico nel suo genere per mole di dati e continuità di analisi, fornisce una mappa aggiornata dell’attività cybercriminale in rete al quinto mese del conflitto ucraino.
“Nel secondo trimestre 2022 – come riporta nel rapporto il CEO di Swascan, Pierguido Iezzi – si è osservato un significativo aumento degli attacchi ransomware, principalmente a causa di un picco di attività da parte di uno dei gruppo più prolifici, LockBit, che raggiunge una media di 6.6 vittime al giorno, superando definitivamente la gang Conti. Ad aprile – aggiunge Iezzi – sono emerse tre nuove gang ransomware: Onyx, Mindware e Black Basta. Allo stesso tempo, si è visto lo sgradito ritorno di Revil, uno dei gruppi più pericolosi al mondo, mentre Conti è gradualmente scomparsa, con alcuni suoi leader transitati in altre gang. L’industria dei servizi – considera il CEO di Swascan – risulta il settore più colpito e gli Stati Uniti il paese più attaccato. Tuttavia, il trend risulta in crescita anche nell’Europa occidentale, dove al primo posto si posiziona la Germania, mentre l’Italia scende alla quarta posizione in classifica. Infine – conclude Iezzi – se l’anno scorso erano in aumento gli attacchi ransomware contro le grandi organizzazioni, nel 2022 notiamo un incremento degli attacchi verso le PMI. Un obiettivo spesso estremamente facile preda dei criminal hacker, perché non adottano adeguate misure di sicurezza in quanto meno attrezzati a fronteggiare le minacce informatiche. Al contempo esse costituiscono target interessanti perché fornitrici di aziende più appetibili in termini di dimensioni: se vogliamo, rappresentano una “porta” d’ingresso secondaria a supply chain ben più importanti, spesso del tutto prive di soluzioni di cybersecurity”.
Scorrendo la classifica delle cybergang più attive nel secondo trimestre 2022, al primo posto con oltre 200 attacchi messi a segno, spicca la russa LockBit, nata nel giugno 2019 e in netta progressione dall’inizio dell’anno, che mette a segno il 30,2% di tutti gli attacchi ransomware del periodo preso in esame.
Al secondo, terzo e quarto posto – ognuna con più o meno 50 attacchi all’attivo – troviamo ALPHV/BlackCat, gang di origine sconosciuta, Black Basta e Conti: quest’ultima, a giugno non più attiva, con un totale di 180 milioni di dollari di estorsioni dalle sue vittime nel 2021 era considerata la più pericolosa al mondo fino all’inizio del conflitto, quando, schieratasi apertamente su posizioni pro Putin, ha subito una grave defezione con importanti leak riguardanti la sua attività criminale.
Il rapporto analizza poi le specifiche delle gang più importanti, considerando in particolare le tecniche di marketing criminale della emergente LockBit; esamina la distribuzione geografica delle vittime degli attacchi, valutando il ruolo degli Stati Uniti e dell’Europa; infine, analizza la tipologia delle aziende colpite, classificandole in base al fatturato e al business di riferimento.
“Secondo le statistiche – considera a quest’ultimo proposito Iezzi – larga parte delle vittime colpite da ransomware sono le aziende medio piccole. I criminal hacker hanno intensificato le loro ricerche e tecniche, introducendo tecnologie di attacco sempre più mirate e sofisticate. Siamo abituati a leggere sui giornali le notizie di attacchi informatici contro grandi aziende: tuttavia, se da un lato le aziende di grandi dimensioni possiedono una maggiore disponibilità economica, sono anche le stesse che implementano soluzioni di sicurezza informatica strutturate. Le PMI – conclude il CEO di Swascan – invece risultano assai più vulnerabili, anche a causa della minor disponibilità economica e allo stesso tempo hanno a disposizione informazioni di accesso o dati dei loro fornitori e quindi un punto di partenza per nuovi attacchi. Non è un caso che nel Q2 abbiamo visto un incremento di attacchi proprio verso aziende di Servizi, più esposte in termini di strumenti di difesa, come accennato, ma anche per la loro posizione strategica all’interno delle catene di fornitura”.