Il Ransomware continua a marciare nel nostro Paese

700 obiettivi attaccati ed esposti alla pubblicazione dei propri dati in 76 paesi nel terzo trimestre di quest'anno, di cui 242 nel solo mese di settembre con una crescita del 116% rispetto ai 112 attacchi registrati a gennaio.

Questi i numeri che “saltano all’occhio” leggendo il report ransomware di Swascan, società parte del polo cyber ti Tinexta Group, dedicato a questo fenomeno nel Q3 del 2022.

Il SOC & Threat Intelligence Team della società milanese ha infatti intrapreso un’analisi delle attività ransomware rilevate tramite Threat Intelligence con particolare attenzione al profilo delle vittime finite nel mirino delle gang di Criminal Hackers in questo lasso di tempo.

36 i gruppi ransomware che utilizzano il data leak in attività censiti tra luglio e settembre, con un aumento del 16% rispetto ai 31 del secondo trimestre. Una maggiore estensione di nazioni coinvolte, il 22,5% in più in confronto ai 62 Stati in cui risiedevano le realtà colpite tra aprile e giugno di quest'anno.

Questo il bottino di guerra delle cybergang nel Q3 2022, secondo il terzo rapporto trimestrale "Gang Ransomware" redatto dal SOC e Threat Intelligence team di Swascan. Una analisi condotta attraverso la piattaforma proprietaria italiana di Cyber Threat Intelligence e rilasciata on line sul sito della società italiana di cybersicurezza, grazie alla quale si ha traccia aggiornata dell'attività cybercriminale nel web a otto mesi dall'invasione russa dell'Ucraina.

La parte del leone, come usuale dalla scomparsa di Conti Team a pochi giorni dall'attacco contro Kiev, la fa la cyebrgang russa LockBit, con il 33.4% dei data leak nel terzo trimestre.

Distanziata al secondo posto BlackBasta, di probabile origine sudafricana, con il 7.7%, e al terzo posto a parimerito ALPHV/BlackCat e Hive con il 6.8% di data leak ciascuna. Il terzo trimestre è stato inoltre caratterizzato dall'emergere di nuove gang ransomware: BianLian, Yanluowang, IceFire, 0mega, Cheers, Redalert, DAIXIN, Donut Leaks, Bl00dy, Industrial SPY. Con 10 vittime pubblicate nel mese di luglio, il debutto di BianLian è paragonabile in dimensioni all'emergere di BlackBasta nel mese di aprile.

29 le aziende vittime in Italia di pubblicazione di dati per mancato pagamento del riscatto nel periodo preso in esame, che fanno del nostro Paese il sesto al mondo per numero di realtà con dati esfiltrati e resi pubblici. Questo fa scendere l'Italia fuori dalla top 5 delle nazioni più colpite, "forse sintomo di una maggiore propensione a cedere al riscatto, pena il terribile danno d'immagine e di business Continuity che sovente accompagna questi cyber incident", commenta il CEO di Swascan, Pierguido Iezzi.

Focus sulle PMI

Uno dei dati che emergono da questo report è sicuramente la presenza di tantissime PMI nel novero delle vittime (l’82% delle aziende che hanno subito un data leak e hanno rifiutato di pagare sono infatti piccole e medie imprese), una conferma di quanto il tessuto nevralgico del nostro Paese sia ancora molto suscettibile ai rischi cyber; anche se la percezione potrebbe essere diversa, vista dall’esterno.

Anche il Presidente di Assintel, Paola Generali, fa notare che :” I numeri riportati sopra sono preoccupanti anche perché il tessuto imprenditoriale italiano e’ costituito da MPMI che rappresentano una grande vulnerabilità’ in ambito Cybersecurity. Dobbiamo prendere per mano le MPMI e portarle a fare un percorso che permetta loro innanzi tutto di comprendere i benifici che avranno nell’implementare contromisure di sicurezza sia tecnologiche che organizzative come anche i danni che eviteranno di subire grazie ad esse.

Ma soprattutto dobbiamo continuare a seguirle e non lasciarle al loro destino una volta intrapreso il percorso, ed e’ questo che sta facendo Assintel come associazione nazionale delle imprese digitali di Confcommercio: diventare il punto di riferimento nazionale delle MPMI in questo percorso fondamentale della Cybersecurity.”

Il terziario bersaglio preferito

Un altro dato interessante è la preponderanza dei servizi nello spaccato delle aziende colpite per settore. Una conseguenza, secondo gli esperti di Swascan, possibilmente data dalla probabilità più alta che aziende in quest’area cedano alle richieste di riscatto, vista la maggiore esposizione a livello di brand, ma soprattutto di business continuty di chi opera in questo settore.

Figura 1 Fonte: Swascan

“Il ransomware rimarrà verosimilmente la principale minaccia per le aziende anche nel 2023. Diventa essenziale continuare a lavorare su resilienza e capacità di assorbimento degli impatti in azienda. Quindi, più delle attività di Penetration Test tradizionali, è oramai centrale comprendere il punto di rottura mediante delle simulazioni effettuate con modalità il più vicino possibili a quelle con cui operano i threat actors. Lo scopo è quello di rafforzare la capacità di difesa proattiva delle singole aziende, consentendo di migliorare la resilienza cibernetica delle stesse e la loro stabilità complessiva”.