Group-IB, azienda specializzata nello sviluppo di tecnologie di cybersecurity per prevenire, contrastare e condurre indagini sul crimine digitale, ha pubblicato il suo rapporto annuale “Hi-Tech Crime Trends”, una rassegna completa sul panorama delle minacce informatiche nella regione europea per gli anni 2023/2024. Il rapporto include anche un’analisi approfondita dell’evoluzione delle sfide della cybersecurity in Europa.
Nel 2023, i ricercatori di Group-IB hanno rilevato che il numero di attacchi ransomware in Europa è aumentato di circa il 52%, le industrie manifatturiere, il settore immobiliare e della logistica sono rimasti i principali obiettivi. Il Regno Unito, la Francia e la Germania hanno mantenuto il loro status di Paesi più frequentemente presi di mira dagli affiliati ai Ransomware-as-a-service (RaaS). Al quarto posto c’è l’Italia.
Nel corso del 2023, l’Europa è stata flagellata da 108 attacchi informatici condotti da vari gruppi di hacker sponsorizzati da governi. Le istituzioni governative e militari figurano quale obiettivo principale, con 48 attacchi ai loro danni. Gli Information Stealer rappresentano un problema significativo, con 250.000 dispositivi infetti (il 23% in più rispetto al 2022) nella regione europea, i cui log sono stati resi disponibili sull’Underground Clouds of Logs (UCL), e altri 647.485 host, i cui log sono stati messi in vendita nel dark web, con un aumento del 28% rispetto all’anno precedente.
Allo stesso tempo, il rapporto di Group-IB menziona una diminuzione del 7% nel numero di offerte di vendita di accesso iniziale a reti compromesse nella regione. Inoltre, nel 2023 sono apparse poco più di 1 milione di carte di credito compromesse emesse in Europa nei mercati sommersi dei cybercriminali – un volume identico a quello del 2022.
Europa sotto tiro, secondo il report di Group-IB
I ricercatori di Group-IB hanno scoperto che l’anno scorso la regione europea è stata il secondo teatro mondiale di minacce persistenti avanzate (APT). Complessivamente, nel 2023 Group-IB ha attribuito 523 attacchi ad attori sponsorizzati da Stati terzi in tutto il mondo. Gli attacchi alle organizzazioni europee hanno rappresentato il 21% del totale.
L’Europa ha subito 108 attacchi informatici condotti da vari gruppi di hacker finanziati da governi. Tra i gruppi che hanno operato in Europa sono da annoverare Lazarus, Mustang Panda, APT41 e Sandman (tutti provenienti dall’Asia orientale), insieme a APT28, BlackEnergy, Gamaredon, Turla e Callisto (tutti provenienti dalla regione della Comunità degli Stati Indipendenti, CSI). Gli attacchi sono stati complessi e mirati, il che sottolinea la tendenza crescente a utilizzare il cyberspazio per raggiungere obiettivi governativi.
Con 31 incidenti censiti, l’Ucraina si posiziona in cima alla lista delle vittime di attacchi che coinvolgono aggressori finanziati da Stati terzi, probabilmente un riflesso dei conflitti in corso nella regione. Gli altri quattro Paesi europei più bersagliati dai gruppi APT sono stati la Polonia (11 attacchi), la Germania, la Francia e l’Italia, con 6 attacchi ciascuno.
Gli enti governativi e militari europei sono stati al centro delle attenzioni dei gruppi APT, con 48 attacchi contro di essi. Ciò dimostra che i gruppi sponsorizzati da Stati terzi sono particolarmente interessati alle aree che influenzano la sicurezza nazionale e la politica estera.
Cronache del ransomware: crescita doppia nel 2023
Il ransomware, che ha mantenuto il suo formidabile vantaggio sia in termini di scala sia di impatto, ha continuato a rappresentare una minaccia significativa per il mercato europeo. Ancora una volta l’Europa è stata la seconda regione più colpita a livello globale dopo il Nord America, con 1.186 aziende che hanno visto le loro informazioni pubblicate su Data Leak Sites (DLS) del ransomware. Ciò si traduce in un aumento del 52% circa rispetto all’anno precedente, quando le informazioni appartenenti a “solo” 781 aziende europee colpite sono apparse sui DLS.
Nel 2023, il settore manifatturiero è risultato il più bersagliato nella regione, cubando per il 16% di tutte le aziende colpite cui dati sono stati pubblicati sui DLS. Il settore immobiliare si è classificato al secondo posto ed è stato coinvolto nell’8% di tutti gli attacchi nella regione europea. La logistica segue al terzo posto con il 5% degli attacchi.
Per quanto riguarda i gruppi di ransomware più attivi nella regione, LockBit è in testa con il 26% degli attacchi in Europa, seguito da Play con il 9% e da Black Basta con il 7%. È stato osservato un aumento significativo delle aziende con sede nel Regno Unito colpite da ransomware nel 2023. L’incremento di circa il 73% fino a 245 aziende colpite fa del Regno Unito il Paese più bersagliato in Europa per volume di dati pubblicati sui DLS. La Francia ha registrato un aumento del 45%, le aziende colpite sono 149, mentre in Germania l’aumento osservato è del 12%, con 145 aziende attaccate. L’Italia è al quarto posto con 128 aziende prese di mira dai ransomware (11%).
Mercato ribassista: rallenta l’attività dei broker
In leggera flessione le organizzazioni che favoriscono la diffusione dei ransomware vendendo accessi iniziali a reti aziendali sul dark web, noti come Initial Access Brokers (IAB). Si sono adattati alle esigenze di altri attori delle minacce nella regione europea.
Nel 2023 in Europa sono stati commercializzati 628 accessi a reti aziendali compromesse, con un calo del 7% rispetto al 2022 (674 offerte). I 5 Paesi europei più presi di mira dagli IAB sono stati Regno Unito (111), Francia (83), Spagna (70), Germania (63) e Italia (62).
Il settore dei servizi professionali è stato il più colpito nel 2023, con offerte di accesso raddoppiate rispetto al 2022, per un totale di 52 (8% di tutte le offerte riferite alla regione). Seguono il settore manifatturiero con 44 offerte (7%) quello del commercio e dello shopping con 37 offerte (6%) pubblicate dagli IAB.
Le offerte di accesso VPN sono diminuite del 50%, mentre quelle di account RDP sono aumentate del 34%. Le offerte di accesso con privilegi utente sono aumentate del 35% nel 2023. Ciò è indice di una maggiore differenziazione dell’accesso da parte delle aziende o di carenti competenze tra gli IAB.
L’IAB più attivo nella regione è stato il cybercriminale con nickname mazikeen, un nuovo attore, attivo da gennaio 2023. Il più delle volte, mazikeen ha venduto l’accesso alle reti aziendali tramite account RDP compromessi (98%). Un terzo delle vittime di mazikeen è costituito da aziende con sede in Europa. Quasi tutte le offerte contenevano informazioni su Paese, settore, privilegi di accesso, livello di accesso e sistemi antivirus utilizzati dall’azienda.
Sulla base dell’attività di mazikeen, gli esperti di Group-IB sono stati in grado di concludere che il cybercriminale parla russo e si auto-identifica come donna, cosa rara nel mondo della criminalità informatica. Sui forum, mazikeen ha dichiarato di non scansionare le reti aziendali messe in vendita e di non aver raggiunto persistenza in esse. I prezzi del broker sono considerati tra i più bassi, partono da 30 dollari e il prezzo medio è di 180,20 dollari.
Raccoon & Co. rubano cose
I log carpiti dagli infostealer – prosegue l’analisi di Group-IB – sono divenuti uno degli strumenti principali per l’accesso alle reti aziendali perché sono semplici, ma molto efficaci. Gli infostealer sono un tipo di malware che raccoglie le credenziali salvate nei browser, i dettagli delle carte di credito, le informazioni dei portafogli di criptovalute, i cookie, la cronologia di navigazione e altre informazioni dai browser installati sui computer infetti.
Gli Underground Clouds of Logs (UCL) gratuiti sono una delle principali fonti di dati sugli host infetti. Gli UCL sono servizi speciali che forniscono accesso a informazioni riservate compromesse, per la maggior parte ottenute da infostealer. Su queste piattaforme vengono pubblicati quotidianamente gigabyte di log e questo volume è in continuo aumento. Nell’ultimo anno, il numero di host infetti in Europa i cui log sono stati pubblicati su UCL è aumentato del 23%, superando le 250.000 unità.
La Spagna è in testa con un’impennata del numero di host su UCL del 48% (31.665), mentre un anno fa era solo terza. Segue al secondo posto la Francia, leader nel 2022, con un numero di host su UCL in calo del 3% (25.873). La Polonia conclude la top tre dei Paesi più colpiti in Europa con un aumento del 6% (23.393). Altri due Paesi hanno registrato una crescita significativa nel 2023: la Germania (+32%, 22.966) e l’Italia (+18%, 22.309).
Rispetto al 2022, l’elenco degli Infostealer più popolari utilizzati per compromettere gli host e i cui log sono stati trovati su UCL è leggermente cambiato. Vidar, che l’anno scorso era al secondo posto, ha perso terreno rispetto allo stealer META ed è ora quarto. I tre principali infostealer che attaccano gli utenti in Europa sono quindi RedLine Stealer, META e Raccoon.
Anche i mercati sommersi sono in aumento. A differenza degli UCL, dove gran parte dei log viene distribuita gratuitamente, nell’underground si vendono da sempre log provenienti da host compromessi tramite infostealer. Nel 2023 si è registrato un aumento del 28% rispetto al 2022, e il numero totale di host legati all’Europa i cui dati sono stati messi in vendita è stato di 647.485. Per la prima volta, la Spagna risulta essere il principale obiettivo per numero di log rilevati nel dark web, 73.788 nel 2023, ovvero un aumento di oltre il 42% rispetto all’anno precedente. Seguono in questa classifica l’Italia con 72.138 log (+33%), e la Francia, con 69.026 log (+23%). Raccoon, LummaC2 e RedLine Stealer sono gli strumenti di furto di informazioni più diffusi tra i criminali informatici che prendono di mira l’intera regione.
Una marea di leak
Nel 2023 sono stati rilevati in Europa 386 nuovi casi di data leak i cui contenuti risultano pubblicamente accessibili. Nell’ambito di questi incidenti, sono stati compromessi oltre 292.034.484 milioni di stringhe con dati di utenti. Francia, Spagna e Italia sono stati i Paesi più colpiti con rispettivamente 64, 62 e 52 casi di fuga di dati.
Gli indirizzi e-mail, i numeri di telefono e le password costituiscono il rischio più elevato perché possono essere impiegati dai cybercriminali per vari tipi di attacchi. Di tutti i dati trapelati, 140.642.816 voci contenevano indirizzi e-mail (di cui 96.590.836 univoci). Inoltre, sono state trafugate 9.784.230 di password (di cui 3.832.504 univoche) e 157.074.355 voci con numeri di telefono (di cui 95.728.584 univoci).
L’Hi-Tech Crime Trends 23/24 di Group-IB evidenzia i cambiamenti nei comportamenti dei cybercriminali, l’emergere di nuove TTP e le tendenze generali che definiscono l’evoluzione delle minacce alla sicurezza informatica. È possibile scaricare il rapporto sul sito di Group-IB.
