Hi-Tech Crime Trends 2021/2022, il rapporto sulle minacce cyber

by Redazione TecnoGazzetta

In una parte di questo rapporto, che esplora gli sviluppi del cybercrimine nel periodo che comprende l’ultimo semestre 2020 e il primo semestre 2021, i ricercatori di Group-IB analizzano la crescente complessità del panorama globale delle minacce e sottolineano in particolare il ruolo sempre più centrale delle alleanze tra gli attaccanti. Questa tendenza si manifesta in forma di partnership tra operatori ransomware e fornitori di credenziali di accesso alle reti (IAB – Initial Access Brokers) nel quadro di modelli Ransomware as a Service. Anche gli scammer si raggruppano in clan per automatizzare e semplificare la conduzione di attività fraudolente. Si prende anche nota del fatto che crimini singoli, come lo smercio di carte di credito contraffatte, sono in declino, per la prima volta da tempo.

Per il 10° anno consecutivo, il rapporto sui crimini Hi-Tech analizza i vari aspetti delle operazioni dell’industria cybercriminale, ne esamina gli attacchi e fornisce previsioni sulle potenziali minacce ai danni di diversi settori economici. Il rapporto è stato suddiviso per la prima volta in cinque sezioni con focus diversi – ransomware, vendita degli accessi alle reti aziendali, cyberguerra, minacce per il settore finanziario, phishing e scam. La condivisione di previsioni e raccomandazioni nell’Hi-Tech Crime Trends 2020-2021 ha l’obiettivo di prevenire danni e la potenziale interruzione dei servizi presso le aziende di tutto il mondo.

Una delle tendenze di fondo del cybercrime è il brusco aumento del numero di offerte di vendita degli accessi a reti aziendali compromesse. Promosso dal famigerato hacker Fxmsp, accusato dal Dipartimento di Giustizia degli Stati Uniti nel 2020, il mercato dell’accesso iniziale alle reti è cresciuto di quasi il 16% da USD 6.189.388 a USD 7.165.387. Il volume di tali offerte è triplicato, passando da 362 a 1.099 nel periodo analizzato. Questi dati esclusivi sono stati ottenuti tramite sistema di Threat Intelligence & Attribution di Group-IB, in grado di raccogliere anche informazioni cancellate dai forum underground dei criminali informatici.

In Italia sono 34 le aziende a cui questi “broker” hanno offerto accesso tra il secondo semestre del 2020 e il primo del 2021, nel periodo di riferimento precedente erano invece 14. Il lotto più caro è stato venduto a USD 8.000 contro il prezzo di USD 50 richiesto per il lotto meno esoso nella seconda metà del 2019 / prima metà del 2020.

Questo segmento della cybercriminalità sommersa presenta barriere d’ingresso relativamente basse. La carente gestione del rischio informatico aziendale, unita all’ampia disponibilità di strumenti per condurre attacchi contro le reti aziendali, ha contribuito a un aumento record del numero di broker di accesso iniziale. Nel 2° semestre 2019 / 1° 2020, il team di intelligence sulle minacce di Group-IB aveva identificato solo 86 broker. NeI 2° semestre 2020 / 1° 2021 questo numero è salito vertiginosamente a 262, con 229 nuovi attori aggiuntisi all’elenco.

Le aziende dei settori più colpiti fanno capo al manifatturiero (il 9% di tutti i casi), istruzione (9%), servizi finanziari (9%), sanità (7%) e commerciale (7%). Nel periodo analizzato, il numero di verticali vessati dagli IAB é aumentato da 20 a 35, ad indicare che i cybercriminali stanno solo iniziando a comprendere la varietà delle potenziali vittime.

Anche l’area geografica in cui operano gli IAB si è estesa. Il numero di Paesi in cui i cybercriminali hanno potuto procurarsi accesso alle reti aziendali è aumentato da 42 a 68 neI 2° semestre 2020 / 1° 2021. Le aziende statunitensi godono di un’attenzione particolare presso i venditori di accesso a reti compromesse e cubano per il 30% di tutte le aziende colpite nel periodo di riferimento, seguite da Francia (5%) e Gran Bretagna (4%).

Solo in Europa il volume totale degli accessi in vendita sui canali sotterranei era di 590.095 dollari nel periodo analizzato, ovvero un decremento del 22% anno su anno a fronte della maggior offerta. Nel periodo esaminato, gli IAB hanno infatti offerto accesso a 261 aziende europee, ovvero il triplo del periodo precedente (76 organizzazioni). Le aziende francesi sono risultate le più popolari tra i broker di accessi a reti compromesse, cubando per il 20% di tutte le aziende europee lese nel 2° semestre 2020 / 1° 2021, seguite da UK (18%), Italia (13%), Spagna (10%), Germania (9%), e Olanda (5%).

Uno dei principali driver della crescita del mercato dell’accesso iniziale è il forte aumento del numero di attacchi ransomware. Grazie ai broker, infatti, gli operatori ransomware non hanno più necessità di procurarsi autonomamente accesso alle reti aziendali.

L’empia alleanza tra i broker di accesso iniziale e gli operatori ransomware nel quadro di programmi di affiliazione Ransomware-as-a-Service (RaaS) ha determinato l’ascesa dell’impero del ransomware. In totale, i dati di 2.371 aziende sono stati condivisi su siti per la diffusione di dati trafugati (DLS – Data Leak Sites) tra il secondo semestre del 2020 e il primo del 2021. Si tratta di un aumento senza precedenti del 935% rispetto al periodo precedente, quando sono stati resi pubblici i dati di 229 vittime.

Grazie al sistema di analisi delle minacce e attribuzione dei crimini informatici, i ricercatori di Group-IB sono stati in grado di tracciare l’evoluzione dell’impero del ransomware sin dai suoi albori. Il team di Group-IB ha analizzato i programmi privati di affiliazione ransomware, i siti per la condivisione dei dati sottratti (DLS), dove vengono postati i dati esfiltrati dalle vittime che rifiutano di pagare il riscatto, e gli operatori ransomware più aggressivi.

Nel periodo in esame, gli analisti di Group-IB hanno registrato 21 nuovi programmi di affiliazione Ransomware-as-a-Service (RaaS), ovvero un incremento del 19 percento anno su anno. Nel periodo analizzato, i cybercriminali hanno imparato ad avvalersi delle piattaforme DLS, siti impiegati come strumento per fare ulteriore pressione sulle vittime adducendo la diffusione pubblica dei dati affinché paghino il riscatto. Tuttavia, di norma, anche se il riscatto viene pagato, la vittima può trovare i propri dati sui DLS. Il numero di nuove risorse DLS si è più che raddoppiato durante il periodo analizzato, attestandosi a 28, rispetto ai 13 nel 2° semestre 2019 / 1° semestre 2020.

Da notare che nei primi tre trimestri di quest’anno, gli operatori ransomware hanno pubblicato il 47 percento in più dei dati sulle aziende attaccate che nell’intero 2020. Considerando che i cybercriminali pubblicano i dati di circa il 10% delle loro vittime, il numero effettivo di attacchi ransomware subiti è estremamente più elevato. Si stima che il 30% delle aziende opti per pagare il riscatto.

Analizzando i dati ottenuti tramite ransomware presenti sui DLS nel 2021, i ricercatori di Group-IB hanno concluso che Conti sia attualmente il gruppo di operatori ransomware più aggressivo, avendo reso pubbliche informazioni su 361 vittime (ovvero il 16.5% di tutte le aziende colpite, i cui dati sono stati diffusi sui DLS), seguiti da Lockbit (251), Avaddon (164), REvil (155), e Pysa (118). Nella top 5 dello scorso anno figuravano invece Maze (259), Egregor (204), Conti (173), REvil (141), and Pysa (123).

Nei singoli Paesi, la maggior parte delle aziende i cui dati sono stati pubblicati da operatori ransomware sui DLS nell’anno corrente ha sede negli Stati Uniti (968), Canada (110) e Francia (103), mentre la maggior parte delle organizzazioni lese fa capo al settore manifatturiero (9.6%), immobiliare (9.5%) e logistico (8.2%)

Nel 2021, l’Europa è stata la seconda regione più tormentata dai ransomware, con i dati di ben 598 aziende locali pubblicati sui DLS, dopo il Nord America (1.213). La triste classifica europea vede al primo posto la Francia (dati di 103 aziende sui DLS), seguita da UK (92), Italia (76), Germania (72), e Spagna (42)

Un’altra categoria di criminali informatici che ha attivamente forgiato partnership durante il periodo in esame è stata quella degli scammer (criminali che agiscono sotto le mentite spoglie di persone o organizzazioni note). Negli ultimi anni, i programmi di affiliazione phishing e scam sono diventati molto popolari. La ricerca condotta da Group-IB ne ha rilevati oltre 70. I partecipanti mirano a carpire dalle vittime denaro, dati personali e dati sugli strumenti di pagamento utilizzati. Nel periodo di riferimento, gli attori della minaccia che vi hanno preso parte hanno intascato almeno 10 milioni di dollari in totale. L’importo medio incassato da un singolo membro di un programma di affiliazione scam è stimato in 83 dollari.

I programmi di affiliazione coinvolgono un ampio numero di partecipanti, hanno una gerarchia rigida e si avvalgono di infrastrutture tecniche per l’automazione delle attività fraudolente. Quelli relativi all’ambito dello scam e del phishing, infatti, utilizzano attivamente bot di Telegram per fornire ai partecipanti pagine di scam e phishing “pronte all’uso”. Questo sistema consente sia di far scalare le campagne di phishing, sia di personalizzarle per banche, servizi di posta elettronica popolari ed altre organizzazioni.

I programmi di affiliazione phishing e scam erano inizialmente focalizzati sul mercato russo o su altri Paesi della CSI. La migrazione online verso Europa, America, Asia e Medio Oriente è stata avviata di recente. Una situazione esemplificata al meglio da Classiscam, un sistema di Scam-as-a-service sviluppato per trafugare denaro e dati di pagamento. Group-IB è a conoscenza di almeno 71 marchi di 36 Paesi, impersonati da membri di programmi di affiliazione. Piattaforme di eCommerce (69.5%), servizi di consegna (17.2%) e di condivisione delle autovetture (12.8%) sono i più simulati da siti di phishing e scam creati dai partecipanti dei programmi di affiliazione.

Nel periodo esaminato, il mercato delle carte di credito contraffatte ha subito una flessione del 26% calando da 1.9 a 1.4 miliardi di dollari rispetto al periodo precedente. Questo calo si spiega con il minor numero di dump (estrazioni dei dati salvati sulla banda magnetica delle tessere bancarie) messi in vendita: il numero delle offerte si è ridotto del 17%, da 70 a 58 milioni di record a fronte della chiusura del famigerato negozio di carte contraffatte Joker’s Stash. Nel frattempo, il prezzo medio dei dati di una tessera bancaria è sceso da 21.88 a 13.84 dollari, mentre il prezzo massimo è salito da 500 a 750 dollari.

Una tendenza opposta si è invece registrata sul mercato dei dati testuali delle tessere bancarie (numero di tessera bancaria, data di scadenza, nome del titolare della carta, indirizzo, codice CVV): il numero di questi record è aumentato del 36% da 28 a 38 milioni di voci. Ciò può essere dovuto, tra le altre cose, al maggior numero di risorse web di phishing che impersonavano marchi noti durante la pandemia. Il prezzo medio dei dati testuali è salito da 12.78 a 15.2 dollari, mentre il valore massimo si è addirittura settuplicato, passando da 150 ad inediti 1000 dollari.

In Europa, nello specifico, il mercato delle tessere bancarie contraffatte è crollato del 46% da 219.1 a 118.6 milioni di dollari nel periodo di riferimento. Anche il numero totale delle tessere compromesse emesse da banche europee smerciate nei canali sotterranei è diminuito da 7.605.022 nella seconda metà del 2019 / prima metà 2020 a 5.911.921 nel periodo di riferimento. Questo fenomeno è stato accompagnato da un incremento del prezzo medio dei dati testuali delle tessere bancarie da 15.16 a 18.94 dollari e dal crollo rovinoso del prezzo dei dump dei dati delle tessere da 77.29 a 27.22 dollari.

Vuoi ricevere gli aggiornamenti delle news di TecnoGazzetta? Inserisci nome ed indirizzo E-Mail:


Acconsento al trattamento dei dati personali (Info Privacy)