Mosca sta aumentando gli attacchi nel vecchio continente, spadroneggiando nel panorama del ransomware. La società di cybersecurity Heimdal presenta il fenomeno attraverso un’analisi dettagliata (che mette in allarme).
La Russia detiene il primato del crimine informatico in Europa. Gli attacchi di cyberwar che provengono da Mosca stanno aumentando in maniera costante, colpendo infrastrutture critiche in Europa e spadroneggiando nel panorama del ransomware. Un esempio su tutti: a maggio scorso la ministra degli Esteri tedesca, Annalena Baerbock, ha parlato di “attacco intollerabile, che avrà conseguenze”.
Il rimando è al cyberattacco agli account e-mail di Spd, il partito socialdemocratico leader della coalizione di maggioranza in Germania. Quindi Baerbock ha precisato: “Possiamo attribuire questo attacco al gruppo chiamato Apt28, che è guidato dai servizi segreti militari della Russia”. E proprio stando a una ricerca condotta dalla società di cybersecurity Heimdal, c’è stato un rilevante incremento degli attacchi di forza bruta nei confronti di reti aziendali e istituzionali in tutto il vecchio continente. La maggior parte dei quali originati dalla Russia.
Cyberattacchi per accedere a sistemi e account
Come spiega Heimdal, tali attacchi informatici sono volti ad ottenere l’accesso a sistemi e account mettendo in campo tecniche di tentativi ed errori mirati a individuare password deboli. Uno dei vettori di cyberattacco più comunemente utilizzato, infatti, è entrare in possesso di credenziali predefinite, semplici da indovinare, in quanto precaricate su più dispositivi tecnologici. Password di accesso deboli (o predefinite, appunto): dal rapporto “Russia-Linked Brute-Force Campaign Targets EU via Microsoft Infrastructure” emerge che gli obiettivi degli attacchi informatici includono l’esfiltrazione di dati sensibili, la distruzione di servizi, la diffusione di malware.
Oltre la metà dei cyberattacchi proviene da indirizzi IP collocati a Mosca, utilizzati per colpire le metropoli in vari paesi: dal Regno Unito – dove a giugno del 2023 c’è stata l’importante violazione del software MOVEit Transfer, soluzione molto diffusa che consente alle imprese e altre organizzazioni di spostare file in maniera protetta – alla Lituania, dalla Danimarca all’Ungheria. E ancora, secondo un rapporto di TRM Labs, società di intelligence blockchain, gli attori delle minacce di lingua russa costituiscono il 69% di tutti i guadagni legati ai ransomware nel 2023, oltrepassando i 500 milioni di dollari.
Criminal hacker russi sempre più pericolosi
Da LockBit – che di recente ha annunciato un rientro clamoroso, ammettendo (falsamente) di aver violato la Federal Reserve degli Usa e sottratto 33 terabyte di informazioni sensibili – a Black Basta, con tutta probabilità responsabile (anche) dell’attacco ransomware ad Acea nel febbraio scorso, che ha esfiltrato 1,5 terabyte di dati sensibili a Synlab Italia.
Da ALPHV/BlackCat a Cl0p, da PLAY e Akira alla già citata Apt28. Sono solo alcune delle principali cybergang russe che stanno seminando il panico in Europa. Insomma, c’è poco da girarci attorno: che la guerra fredda non sia mai terminata è quasi ovvio sostenerlo. Ma se intendessimo essere ancora più dettagliati, per tratteggiare lo scenario che stiamo vivendo dal 24 febbraio 2022 – ovvero il giorno in cui è cominciata l’invasione russa dell’Ucraina – dovremmo utilizzare la definizione che campeggia nell’ultimo report Clusit, dove si parla di una “guerra cibernetica diffusa”.
