Feb 28, 2024 Marina Londei Approfondimenti, Attacchi, Campagne malware, In evidenza, RSS 0

Nel 2023 i ransomware hanno colpito migliaia di organizzazioni in tutta Europa: secondo il rapporto annuale “Hi-Tech Crime Trends” di Group-IB, nella regione il numero di attacchi ransomware è cresciuto del 52%, con l’Italia al quarto posto tra i Paesi più colpiti da queste campagne, dopo il Regno Unito, la Francia e la Germania. Nel nostro Paese sono state 128 le aziende colpite dai ransomware nel 2023, circa l’11% del totale.

L’Europa è stata la seconda regione più colpita a livello globale dopo il Nord America, con 1.186 aziende che hanno visto i propri dati pubblicati sui forum del dark web, una crescita significativa rispetto alle 782 del 2022.

Il settore manifatturiero è stato il più bersagliato dai ransomware, seguito dal settore immobiliare e al terzo posto dalla logistica. I gruppi ransomware più attivi sono stati LockBit, responsabile del 26% degli attacchi in Europea, Play (9%) e Black Basta (7%).

Pixabay

Non solo ransomware: Europa minacciata dagli APT

Nel 2023 l’Europa è stata presa di mira anche da gruppi APT: Group-IB ha attribuito 523 attacchi ad attori APT sponsorizzati da Stati terzi provenienti da tutto il mondo. Gli Stati europei hanno subito in totale 108 attacchi informatici da gruppi finanziati dai governi, in particolare da Lazarus, Mustang Panda, APT41 e Sandman, tutti provenienti dall’Asia orientale, ma anche da APT28, BlackEnergy, Gamarend, Turla e Callisto, gruppi della regione della Comunità degli Stati Indipendenti.

Non stupisce che l’Ucraina sia al primo posto nella lista delle vittime di attacchi di gruppi APT con 31 incidenti censiti. A seguire troviamo la Polonia con 11 attacchi, e la Germania, la Francia e l’Italia con 6 attacchi ciascuno.

I gruppi hanno colpito per lo più organizzazioni governative e militari; ciò, sottolinea GROUP-IB, riflette l’interesse dei gruppi verso le aree che influenzano la sicurezza nazionale e la politica estera.

Ransomware e IAB: cala l’attività dei broker

Nonostante i ransomware siano stati la minaccia principale in Europa, il report ha evidenziato una leggera flessione nelle attività degli Inital Access Broker (IAB), ovvero i gruppi che vendono accessi iniziali alle reti aziendali per eseguire questi tipi di attacchi.

Nel 2023 in Europa sono stati commercializzati 628 accessi a reti aziendali, registrando un calo del 7% rispetto al 2022 (674 offerte). I 5 Paesi europei più presi di mira dagli IAB sono stati Regno Unito (111), Francia (83), Spagna (70), Germania (63) e Italia (62).

Per quanto riguarda i settori, quello dei servizi professionali è stato il più colpito nel 2023: le offerte di accesso raddoppiate rispetto al 2022, per un totale di 52 (8% di tutte le offerte riferite alla regione). A seguire troviamo il settore manifatturiero con 44 offerte (7%), il commercio e lo shopping con 37 offerte (6%).

Le offerte di accesso VPN sono diminuite del 50%, mentre quelle di account RDP sono aumentate del 34%; le offerte di accesso con privilegi utente, invece, sono aumentate del 35%.

L’IAB più attivo nella regione è stato mazikeen, un nuovo attore attivo da gennaio 2023. Nella quasi totalità dei casi mazikeen ha venduto l’accesso alle reti aziendali tramite account RDP compromessi (98%). Un terzo delle vittime di mazikeen è costituito da aziende con sede in Europa. Quasi tutte le offerte contenevano informazioni su Paese, settore, privilegi di accesso, livello di accesso e sistemi antivirus utilizzati.

Secondo le analisi di Group-IB, makizeen sarebbe una donna russa. Il cybercriminale sul dark web dichiara di non scansionare le reti aziendali messe in vendita e di non aver ottenuto persistenza in esse.

Pixabay

Cresce l’uso di infostealer

Gli infostealer sono diventati uno degli strumenti preferiti dai cyberattaccanti per ottenere più informazioni possibili sulle vittime e sulle reti aziendali. I tool riescono a ottenere le credenziali salvate nei browser, i dettagli delle carte di credito, le informazioni dei portafogli di criptovalute, i cookie, la cronologia di navigazione e altre informazioni dai browser installati sui computer infetti.

Molti cybercriminali fanno usi degli Underground Clouds of Logs (UCL), servizi speciali che forniscono accesso a informazioni riservate compromesse, per la maggior parte ottenute da infostealer. Nell’ultimo anno, il numero di host infetti in Europa i cui log sono stati pubblicati su UCL è aumentato del 23%, superando le 250.000 unità.

La Spagna è in testa con un’impennata del numero di host su UCL del 48% (31.665), mentre al secondo posto c’è la Francia, con 25.873 host. La Polonia conclude la top tre dei Paesi più colpiti in Europa con un aumento del 6% (23.393). L’Italia figura al quinto posto della classifica con 22.309 host su UCL.

Nel 2023 i tre principali infostealer che hanno attaccato gli utenti in Europa sono stati RedLine, META e Raccoon. Vidar, l’infostealer più diffuso del 2022, è sceso alla quarta posizione.

In crescita anche la distribuzione di informazioni nei “mercati sommersi”, dove, al contrario degli UCL, i dati vengono messi in vendita. Anche in questo caso tra gli infostealer più attivi ci sono Raccoon e RedLine, insieme a LummaC2. Relativamente a questo mercato, l’Italia è al secondo posto tra i Paesi con il maggior numero di log in vendita (72.138), seconda solo alla Spagna.

Aumentano i casi di data leak

Infine, il report di Group-IB ha evidenziato 386 nuovi casi di data leak i cui contenuti risultano pubblicamente accessibili, con oltre 292.034.484 milioni di stringhe relative a dati di utenti. Francia, Spagna e Italia sono stati i Paesi più colpiti con, rispettivamente, 64, 62 e 52 casi di fughe di dati.

Gli indirizzi e-mail, i numeri di telefono e le password rappresentano le informazioni più preziose per i cybercriminali, utilizzabili in diversi tipi di attacchi. Di tutti i dati trapelati,  140.642.816 voci contenevano indirizzi e-mail; inoltre, sono state trafugate 9.784.230 password e 157.074.355 record relativi a numeri di telefono.