I ricercatori di Group-IB hanno rilevato che il numero di attacchi ransomware in Europa nel 2023 è aumentato di circa il 52%. Le industrie manifatturiere, il settore immobiliare e della logistica sono rimasti i principali obiettivi. Il Regno Unito, la Francia e la Germania hanno mantenuto il loro status di Paesi più frequentemente presi di mira dagli affiliati ai Ransomware-as-a-service (RaaS). Al quarto posto c’è l’Italia.
Nel corso del 2023, l’Europa è stata colpita da 108 attacchi informatici condotti da vari gruppi di hacker sponsorizzati da governi. Le istituzioni governative e militari figurano quale obiettivo principale, con 48 attacchi ai loro danni. Gli Information Stealer rappresentano un problema significativo, con 250.000 dispositivi infetti (il 23% in più rispetto al 2022) nella regione europea, i cui log sono stati resi disponibili sull’Underground Clouds of Logs (UCL), e altri 647.485 host, i cui log sono stati messi in vendita nel dark web, con un aumento del 28% rispetto all’anno precedente. Allo stesso tempo, il rapporto menziona una diminuzione del 7% nel numero di offerte di vendita di accesso iniziale a reti compromesse nella regione. Inoltre, nel 2023 sono apparse poco più di 1 milione di carte di credito compromesse emesse in Europa nei mercati sommersi dei cybercriminali – un volume identico a quello del 2022.
Europa sotto tiro
L’anno scorso la regione europea è stata il secondo teatro mondiale di minacce persistenti avanzate (APT). Complessivamente, nel 2023 Group-IB ha attribuito 523 attacchi ad attori sponsorizzati da Stati terzi in tutto il mondo. Gli attacchi alle organizzazioni europee hanno rappresentato il 21% del totale. L’Europa ha subito 108 attacchi informatici condotti da vari gruppi di hacker finanziati da governi. Tra i gruppi che hanno operato in Europa sono da annoverare Lazarus, Mustang Panda, APT41 e Sandman (tutti provenienti dall’Asia orientale), insieme a APT28, BlackEnergy, Gamaredon, Turla e Callisto (tutti provenienti dalla regione della Comunità degli Stati Indipendenti (CSI)). Gli attacchi sono stati complessi e mirati, il che sottolinea la tendenza crescente a utilizzare il cyberspazio per raggiungere obiettivi governativi.
Con 31 incidenti censiti, l’Ucraina si posiziona in cima alla lista delle vittime di attacchi che coinvolgono aggressori finanziati da Stati terzi, probabilmente un riflesso dei conflitti in corso nella regione. Gli altri quattro Paesi europei più bersagliati dai gruppi APT sono stati la Polonia (11 attacchi), la Germania, la Francia e l’Italia, con 6 attacchi ciascuno.
Gli enti governativi e militari europei sono stati al centro delle attenzioni dei gruppi APT, con 48 attacchi contro di essi. Ciò dimostra che i gruppi sponsorizzati da Stati terzi sono particolarmente interessati alle aree che influenzano la sicurezza nazionale e la politica estera.
Cronache del ransomware: crescita doppia nel 2023
Il ransomware, che ha mantenuto il suo formidabile vantaggio sia in termini di scala sia di impatto, ha continuato a rappresentare una minaccia significativa per il mercato europeo. Ancora una volta l’Europa è stata la seconda regione più colpita a livello globale dopo il Nord America, con 1.186 aziende che hanno visto le loro informazioni pubblicate su Data Leak Sites (DLS) del ransomware. Ciò si traduce in un aumento del 52% circa rispetto all’anno precedente, quando le informazioni appartenenti a “solo” 781 aziende europee colpite sono apparse sui DLS.
Nel 2023, il settore manifatturiero è risultato il più bersagliato nella regione, cubando per il 16% di tutte le aziende colpite cui dati sono stati pubblicati sui DLS. Il settore immobiliare si è classificato al secondo posto ed è stato coinvolto nell’8% di tutti gli attacchi nella regione europea. La logistica segue al terzo posto con il 5% degli attacchi.
Per quanto riguarda i gruppi di ransomware più attivi nella regione, LockBit è in testa con il 26% degli attacchi in Europa, seguito da Play con il 9% e da Black Basta con il 7%. È stato osservato un aumento significativo delle aziende con sede nel Regno Unito colpite da ransomware nel 2023., L’incremento di circa il 73% fino a 245 aziende colpite fa del Regno Unito il Paese più bersagliato in Europa per volume di dati pubblicati sui DLS. La Francia ha registrato un aumento del 45%, le aziende colpite sono 149, mentre in Germania l’aumento osservato è del 12%, con 145 aziende attaccate. L’Italia è al quarto posto con 128 aziende prese di mira dai ransomware (11%).
Mercato ribassista: rallenta l’attività dei broker
In leggera flessione le organizzazioni che favoriscono la diffusione dei ransomware vendendo accessi iniziali a reti aziendali sul dark web, noti come Initial Access Brokers (IAB). Si sono adattati alle esigenze di altri attori delle minacce nella regione europea.
Nel 2023 in Europa sono stati commercializzati 628 accessi a reti aziendali compromesse, con un calo del 7% rispetto al 2022 (674 offerte). I 5 Paesi europei più presi di mira dagli IAB sono stati Regno Unito (111), Francia (83), Spagna (70), Germania (63) e Italia (62).
Il settore dei servizi professionali è stato il più colpito nel 2023, con offerte di accesso raddoppiate rispetto al 2022, per un totale di 52 (8% di tutte le offerte riferite alla regione). Seguono il settore manifatturiero con 44 offerte (7%) quello del commercio e dello shopping con 37 offerte (6%) pubblicate dagli IAB.
Le offerte di accesso VPN sono diminuite del 50%, mentre quelle di account RDP sono aumentate del 34%. Le offerte di accesso con privilegi utente sono aumentate del 35% nel 2023. Ciò è indice di una maggiore differenziazione dell’accesso da parte delle aziende o di carenti competenze tra gli IAB.
L’IAB più attivo nella regione è stato il cybercriminale con nickname mazikeen, un nuovo attore, attivo da gennaio 2023. Il più delle volte, mazikeen ha venduto l’accesso alle reti aziendali tramite account RDP compromessi (98%). Un terzo delle vittime di mazikeen è costituito da aziende con sede in Europa. Quasi tutte le offerte contenevano informazioni su Paese, settore, privilegi di accesso, livello di accesso e sistemi antivirus utilizzati dall’azienda.
Sulla base dell’attività di mazikeen, gli esperti di Group-IB sono stati in grado di concludere che il cybercriminale parla russo e si auto-identifica come donna, cosa rara nel mondo della criminalità informatica. Sui forum, mazikeen ha dichiarato di non scansionare le reti aziendali messe in vendita e di non aver raggiunto persistenza in esse. I prezzi del broker sono considerati tra i più bassi, partono da 30 dollari e il prezzo medio è di 180,20 dollari.
