Escalation di attacchi ransomware ad aziende e PA

Solo nelle ultime 24 ore ci sono stati diversi attacchi ransomware diretti ad aziende e PA italiane.

Se l’altro giorno avevamo indicato, dietro notizie uscita da ANSA che l’Italia risulta quarta al mondo per numero di attacchi Ransomware, i fatti degli ultimi giorni non fanno altro che confermare il triste trend.

Partiamo dal più eclatante e di cui tutte le testate non hanno fatto altro che parlare ieri, 23 Marzo, l’attacco alle ferrovie dello stato , uno dei grandi attacchi ransomware inflitti all’Italia.

I criminali informatici (del gruppo HIVE) avrebbero diffuso un virus di tipo Cryptolocker e per sbloccare i sistemi pretendono un pagamento da 5 milioni di dollari in Bitcoin entro tre giorni. Trascorsi questi tre giorni, il riscatto raddoppia e passa a 10 milioni di dollari (anche se non c’è nessuna conferma ufficiale della cosa)

Questo tipo di ransomware ha bloccato i sistemi informatici di Trenitalia, tanto che per la giornata di ieri si sono registrati disagi nella compravendita di biglietti e nelle applicazioni usate dal personale di bordo via tablet. Hive è una gang di ransomware che finora ha colpito per denaro grandi aziende come Mediamarkt, Mediaworld e anche un’asl del Veneto.


Oltre l’attacco ransomware contro Trenitalia si registrano attacchi multipli verso molte PA Italiane e aziende di alto livello. Non c’e’ dubbio che gli attacchi nelle ultime settimane siano aumentati proprio su obiettivi italiani.

Nulla esclude il coinvolgimento dell’Italia nella guerra in Ucraina da parte di alcuni gruppi affiliati ad organizzazioni Russe.


Il gruppo Polynt Italiano che si occupa da più di 65 anni di produzione, vendita, ricerca e sviluppo di anidridi organiche e loro derivati ha subito un attacco ransomware dal gruppo HIVE.

La violazione risale al 22 Marzo da parte del sistema DarkTracer . Da parte del gruppo Polynt non risulta alcun comunicato stampa.


Passiomo ad oggi, un nuovo giorno che inizia con una nuova violazione, da parte di un’altra gang: Lockbit 2.0.A rimanere vittima del famigerato gruppo di cyber criminali è stata la Confindustria di Caserta, i cui dati verranno pubblicati tra 5 giorni, precisamente il 29 di marzo

Ricordiamo che LockBit ransomware è un malware progettato per bloccare l’accesso degli utenti ai sistemi informatici in cambio di un pagamento di riscatto. Questo ransomware viene utilizzato per attacchi altamente mirati contro aziende e altre organizzazioni e gli “affiliati” di LockBit, hanno lasciato il segno minacciando le organizzazioni di tutto il mondo di ogni ordine e grado.

Si tratta del modello ransomware-as-a-service (RaaS), di cui abbiamo già parlato, dove gli affiliati depositano del denaro per l’uso di attacchi personalizzati su commissione e traggono profitto da un quadro di affiliazione.

A seguito dell’attacco a Confindustria Caserta, il gruppo LockBit non ha tardato a pubblicare un nuovo avviso: questa volta ad essere stata violata è l’azienda Crich Spa, produttrice di biscotti di Treviso.

A tutto ciò si aggiungono anche gli attacchi in corso verso

· www.arpa.marche.it [Vice Society]

· RFI.IT [HIVE]

· studioperego.pro [LOCKBIT 2.0]

· ismea.it [LOCKBIT 2.0]


Per non parlare dell’attacco diretto all’azienda Nestlè da parte del gruppo Anonymous, per non essere uscita dal mercato Russo. Secondo il tweet del gruppo stesso , sono stati fatti uscire 10GB di, con all’interno indirizzi email e password dei clienti. Non si conoscono dettagli sull’incidente ma “lo scenario più probabile è che l’accesso sia stato ottenuto tramite password sottratte, rubate o deboli, consentendo ad Anonymous di accedere facilmente a un portale web di Nestlé.

Infine, l’Attacco hacker a Microsoft e al fornitore di servizi autenticazione Okta, rivendicato dal gruppo Lapsus$, specializzato in attacchi ransomware che ha già colpito altre società.

la violazione, nel caso di Okta, potrebbe avere un effetto domino poiché tante altre compagnie si affidano all'azienda per gestire l'accesso alle proprie reti e applicazioni. Nel caso di Microsoft, invece, i cybercriminali hanno rubato il codice sorgente di Bing, Cortana e altri progetti dell'azienda dal server Azure DevOps interno, quello che gestisce i servizi per gli sviluppatori, pare pagando un dipendente Microsoft.