Il ransomware è un tipo di malware che si diffonde rapidamente in tutto il mondo e rappresenta una minaccia sempre più significativa per le aziende e gli individui, anche in Italia.
Questa guida ragionata aiuta il lettore a monitorare, con costanti aggiornamenti, l’andamento delle rivendicazioni ransomware che impattano sulle vittime italiane. Il monitoraggio comprende anche lo studio dei dati sulle cyber gang ransomware attualmente conosciute.
I dati sono forniti da estrazioni personalizzate operate dal progetto italiano DRM – Dashboard Ransomware Monitor, che tiene sotto controllo in tempo reale tutti i gruppi criminali ransomware.
Indice degli argomenti
La minaccia di tipo ransomware al giorno d’oggi
Il funzionamento del ransomware consiste nel blocco dell’accesso ai file sul computer infetto, al quale segue la richiesta di un riscatto per ripristinare l’accesso ai dati.
Spesso, i criminali informatici che distribuiscono il ransomware chiedono il pagamento del riscatto in Bitcoin o altre criptovalute, poiché queste valute digitali sono difficili da rintracciare.
La doppia estorsione è sempre più diffusa e, alla minaccia appena descritta, si aggiunge la seconda che preme sulle vittime dando un timeout oltre il quale tutto il materiale crittografato (che precedentemente è stato rubato dall’infrastruttura attaccata) viene esposto online sui siti Web della cyber gang che ha condotto l’operazione.
In Italia, il ransomware è una minaccia che possiamo considerare particolarmente preoccupante per le aziende, soprattutto quelle che gestiscono dati sensibili dei clienti come informazioni finanziarie e personali.
Le evidenze raccolte dall’Autorità Garante per la Protezione dei Dati Personali mostrano che, nel 2020, le violazioni della sicurezza informatica sono state almeno 3.460. Inoltre, molte aziende italiane non implementano correttamente e costantemente adeguati protocolli di sicurezza informatica, rendendosi vulnerabili agli attacchi di tipo ransomware.
In definitiva, il ransomware rappresenta una minaccia sempre più grave per le aziende e gli individui in Italia.
La prevenzione degli attacchi ransomware richiede un’attenta pianificazione, la formazione dei dipendenti e l’implementazione di misure di sicurezza informatica efficaci.
Solo in questo modo sarà possibile proteggere i propri dati e limitare i danni derivanti da eventuali attacchi di questo tipo.
Gli attacchi ransomware alle aziende italiane 2023
Il questo grafico, costantemente aggiornato, viene evidenziata la situazione delle cyber gang che hanno condotto attacchi in aziende ed enti italiani, nel corso del 2023. La totalità degli attacchi rivolti a vittime italiane, vengono qui raggruppati per gruppi criminali, al fine di identificare le organizzazioni più prolifiche nel nostro Paese.

Fonte dati DRM – Dashboard Ransomware Monitor.
Le rivendicazioni contro l’Italia – Gennaio 2023
Fruttagel SCpA
08-01-2023 – L’attacco ransomware viene rivendicato dal gruppo criminale ALPHV/BlackCat. Vengono diffusi 750 GB di dati tramite link al noto servizio di filesharing Mega (fonte dati: DRM).
Somacis SpA
26-01-2023 – L’attacco viene rivendicato dal gruppo criminale ALPHV/BlackCat. Vengono diffusi online 262 GB di dati. Somacis si occupa dal 1972 di soluzioni tecnologiche ed elettronica industriale (fonte dati: DRM).
Comune di Torre del Greco
31-01-2023 – L’attacco viene rivendicato dal gruppo criminale royal. In questo caso la vittima è un ente pubblico. Viene diffuso l’1% di quanto potenzialmente esfiltrato dall’infrastruttura durante l’attacco, che sembra essere quantificato in circa 270 files (fonte dati: DRM).
Società Italiana Brevetti SpA
31-01-2023 – L’attacco viene rivendicato dal gruppo criminale Vice Society. I dati rubati vengono diffusi online direttamente sul sito della cyber gang, navigabili e scaricabili singolarmente (fonte dati: DRM).
Le rivendicazioni contro l’Italia – Febbraio 2023
Tonoli Spedizioni srl
03-02-2023 – L’attacco viene rivendicato dal gruppo criminale Lockbit3. Azienda operante nel settore dei trasporti e logistica. I dati rubati sono stati resi disponibili online dopo 11 giorni dalla rivendicazione, navigabili e scaricabili direttamente sul sito Web del gruppo criminale (fonte dati: DRM).
Cantina Tollo
07-02-2023 – L’attacco viene rivendicato dal gruppo criminale Lockbit3. Azienda vitivinicola in Abruzzo. I dati rubati sono stati resi disponibili online dopo 8 giorni dalla rivendicazione (fonte dati: DRM).
CNPR – Associazione Cassa Nazionale di Previdenza ed Assistenza a favore dei Ragionieri e Periti Commerciali
13-02-2023 – L’attacco viene rivendicato dal gruppo criminale Lockbit3. I dati sono stati resi disponibili online a partire dal 25 febbraio 2023 (fonte dati: DRM).
Hospital Service SpA
14-02-2023 – L’attacco viene rivendicato dal gruppo criminale RansomHouse. Azienda operante nel settore sanitario (catena di approvvigionamento). Vengono diffusi 50 GB di dati direttamente sul sito Web del gruppo criminale (fonte dati: DRM).
Microgame SpA
14-02-2023 – L’attacco viene rivendicato dal gruppo criminale Play. Azienda operante nel settore gaming ed intrattenimento. Diffusi come prova dell’attacco, 5 GB di dati rubati (fonte dati: DRM).
AFV Gruppo Beltrame
15-02-2023 – L’attacco viene rivendicato dal gruppo criminale Lockbit3. Azienda operante nel settore siderurgico con sede a Vicenza. I dati rubati sono stati diffusi online 5 giorni dopo la rivendicazione (fonte dati: DRM).
Trudi SpA
15-02-2023 – L’attacco viene rivendicato dal gruppo criminale Lockbit3. Azienda operante nel settore della giocoleria per bambini, produzione di peluche. I dati rubati sono stati diffusi online 15 giorni dopo la rivendicazione (fonte dati: DRM).
Markas
22-02-2023 – L’attacco viene rivendicato dal gruppo criminale ALPHV/BlackCat. Azienda di Bolzano operante nel settore della sanificazione e logistica sanitaria. I dati esfiltrati durante l’attacco, in possesso dei criminali informatici ammontano a 107 GB (fonte dati: DRM).
AESCULAPIUS Farmaceutici
23-02-2023 – L’attacco viene rivendicato dal gruppo criminale RansomHouse. Azienda di Brescia operante nella ricerca e sviluppo farmaceutici. Diffusa la minaccia su una disponibilità di dati rubati che ammonta a 60 GB (fonte dati: DRM).
Le rivendicazioni contro l’Italia – Marzo 2023
Bettuzzi And Partners
02-03-2023 – L’attacco viene rivendicato dal gruppo criminale RansomExx. Attività operante nel settore degli studi professionali (commercialisti). 35,5 GB di dati vengono diffusi online direttamente nel sito Web della ransomware gang, all’interno dati della società contenenti anche documenti sensibili (fonte dati: DRM).
Bonta Viva
11-03-2023 – L’attacco viene rivendicato dal gruppo criminale Lockbit3. I dati sono stati resi pubblici dopo 12 giorni dalla rivendicazione dell’attacco, attualmente navigabili e scaricabili online. (fonte dati: DRM).
Lubrimetal
11-03-2023 – L’attacco viene rivendicato dal gruppo criminale Lockbit3. Attività operante nel settore siderurgico. I dati sono stati diffusi online dopo 14 giorni dalla rivendicazione (fonte dati: DRM).
ACEA Energia
17-03-2023 – L’attacco ad ACEA viene rivendicato dal gruppo criminale BlackBasta. Settore energia. 800 GB di dati interni sono stati diffusi online con collezioni di file interni pubblicamente accessibili (fonte dati: DRM).
Alessi
21-03-2023 – L’attacco viene rivendicato dal gruppo criminale BlackBasta. Settore design e arredo. 78 GB circa di dati interni liberamente diffusi e scaricabili direttamente sul sito Web della cyber gang criminale (fonte: DRM).
Mondial and Framec
23-03-2023 – L’attacco viene rivendicato dal gruppo criminale BlackBasta. Attività operante nel settore ristorazione. Dati diffusi online direttamente sul sito Web della cyber gang (fonte dati: DRM).
Comune di Taggia
23-03-2023 – L’attacco viene rivendicato dal gruppo criminale RansomHouse. Ente pubblico. I dati sono interamente diffusi online e la quantità di file rubati durante l’attacco ammonta a 700 GB (fonte dati: DRM).
Bianchi Industry
24-03-2023 – L’attacco viene rivendicato dal gruppo criminale Lockbit3. I dati sono interamente diffusi online a partire dai 3 giorni dalla rivendicazione, la quantità dei file esfiltrati ammonta a 500 GB (fonte dati: DRM).
Cospec Srl
24-03-2023 – L’attacco viene rivendicato dal gruppo criminale RansomHouse. Azienda operante nel settore delle costruzioni. 100 GB di dati esfiltrati, interamente diffusi online (fonte dati: DRM).
SOCOMEC
26-03-2023 – L’attacco viene rivendicato dal gruppo criminale Stormous. Settore energia. Reso disponibile online a titolo di sample, circa il 20% del totale esfiltrato dall’infrastruttura (fonte dati: DRM).
Tecnosys Italia S.r.l.
27-03-2023 – L’attacco viene rivendicato dal gruppo criminale Lockbit3. Software house. I dati vengono diffusi online dopo 9 giorni dalla rivendicazione. Attualmente navigabili e scaricabili pubblicamente (fonte dati: DRM).
Le rivendicazioni contro l’Italia – Aprile 2023
Metal Work
03-04-2023 – L’attacco viene rivendicato dal gruppo criminale Stormous. Attività operante nel settore industriale, produzione di pneumatici. Diffusi online alcuni dati tra quelli rubati, a titolo di sample (fonte dati: DRM).
Errebielle S.r.l.
03-04-2023 – L’attacco viene rivendicato dal gruppo criminale Lockbit3. Attività industriale operante nella produzione di infissi. I dati diffusi online, attualmente navigabili e scaricabili ammontano a 34 GB (fonte dati: DRM).
Electronic SYSTEMS S.p.A.
04-04-2023 – L’attacco viene rivendicato dal gruppo criminale ALPHV/BlackCat. Settore industriale della produzione di sensoristica per misurazioni. I dati vengono diffusi online direttamente sul sito Web della cyber gang (fonte dati: DRM).
O.M.S. Spa
04-04-2023 – L’attacco viene rivendicato dal gruppo criminale Lockbit3. Settore industriale, produzione di componentistica per sedute. I dati sono stati rivendicati per la pubblicazione a partire dal 18/04/2023 (fonte dati: DRM).
MA SRL
04-04-2023 – L’attacco viene rivendicato dal gruppo criminale Lockbit3. Settore delle lavorazioni meccaniche industriali. Dati pubblicamente disponibili a partire dal 19/04/2023 (fonte dati: DRM).
Comacchio SpA
11-04-2023 – L’attacco viene rivendicato dal gruppo criminale Lockbit3. Azienda operante nel settore dell’intrattenimento. I dati vengono esposti per essere pubblici a partire da 20 giorni dopo la data di rivendicazione (fonte dati: DRM).
Coldiretti
18-04-2023 – L’attacco viene rivendicato dal gruppo criminale Play. Associazione nazionale del settore agricolo. La cyber gang dà tempo 10 giorni alla vittima per pagare il riscatto, prima di pubblicare i dati online nel proprio sito Web. Tra i dati che vengono rivendicati, il gruppo elenca: documenti personali, finanziari, contratti, dati dei dipendenti e informazioni sui clienti (fonte dati: DRM).
OMT Officine Meccaniche Torino S.p.A.
26-04-2023 – L’attacco viene rivendicato dal gruppo criminale Ransomhouse. Il settore è quello industriale metalmeccanico. La cyber gang ha diffuso online alcuni sample a dimostrazione dell’attacco eseguito (fonte dati: DRM).
Multimedica
27-04-2023 – L’attacco viene rivendicato dal gruppo criminale Lockbit3. Azienda facente parte del MultiMedica Group operante nel settore sanitario. La cyber gang dal 30 aprile ha pubblicato online i dati esfiltrati durante l’attacco (fonte dati: DRM).
Le rivendicazioni contro l’Italia – Maggio 2023
Alto Calore Servizi S.p.A.
02-05-2023 – L’attacco viene rivendicato dal gruppo criminale Medusa. Azienda operande con le pubbliche amministrazioni per fornitura idrica, servizi di depurazione e fognatura (fonte dati: DRM).
AECO
03-05-2023 – L’attacco viene rivendicato dal gruppo criminale AlphV/BlackCat. Il settore è quello industriale e della componentistica sensoriale. Pubblicati diverso materiale interno sensibile (fonte dati: DRM).
ASL 1 – Avezzano Sulmona L’Aquila
03-05-2023 – L’attacco è stato rivendicato dal gruppo criminale Monti. Colpita l’Azienda Sanitaria Locale dell’Abruzzo. I criminali riferiscono di aver esfiltrato grandi quantità di materiale sensibile di cittadini, inerente il settore sanitario (fonte dati: DRM).
Lifenet
10-05-2023 – L’attacco è stato rivendicato dal gruppo criminale Bianlian. Settore relativo alla fornitura di servizi sanitari. Gli archivi che sono stati esfiltrati dall’organizzazione sono già stati diffusi online e la quantità ammonta a 1,5 TB complessivi (fonte dati: DRM).
Metronotte Vigilanza
11-05-2023 – L’attacco è stato rivendicato dal gruppo criminale LockBit. Settore economico di appartenenza è quello della sicurezza fisica. Il gruppo criminale riporta come termine ultimo per la trattativa il 24 maggio, oltre il quale diffonderà online i dati che afferma di aver rubato dall’organizzazione nella fase di attacco (fonte dati: DRM).
Lolaico Impianti
18-05-2023 – L’attacco è stato rivendicato dal gruppo criminale Trigona. Azienda operante nel settore industriale delle costruzioni. Il gruppo criminale invita alla trattativa tramite asta, con prezzo di partenza pari a 50.000 dollari, per la “protezione” dei dati riservati esfiltrati (32 GB), dei quali altrimenti si minaccia la pubblicazione online (fonte dati: DRM).
Comoli Ferrari
22-05-2023 – L’attacco è stato rivendicato dal gruppo criminale Snatch. Azienda operante nel settore della distribuzione di impiantistica elettrica e idrotermosanitaria (fonte dati: DRM). Non sono emersi sample a riprova dell’attacco.
Articolo originariamente pubblicato il 11 Apr 2023