Phishing, malware zero day, ransomware sono le tecniche e procedure più usate dai criminali informatici, crescono le richieste di “riscatto” basate sulla Double Extorsion (la criptazione dei dati, e la pubblicazione delle informazioni se non si paga) così come gli attacchi alle supply chain, in grado di mettere in crisi le aziende e i loro partner.
Tutte le attività aziendali si basano su catene del valore che superano i confini aziendali e, a fronte di filiere produttive complesse ed estese, la realizzazione e la distribuzione di prodotti e servizi dipendono da decine, quando non centinaia, di organizzazioni del tutto eterogenee interconnesse tra loro che coinvolgono le microimprese, come i grandi gruppi. Facile immaginare le criticità possibili.
Le fotografa il Cybersecurity Annual Report 2022 di Yoroi (Tinexta Group) che indaga lo stato delle minacce cibernetiche affrontate dal nostro Paese nel 2021 e individua le tendenze che a livello globale si riflettono sull’Italia a partire da dati grezzi che non appartengono all’open source intelligence (Osint) o alle rilevazioni di reti esterne, ma sono riferibili invece a incidenti reali che sono stati gestiti dagli analisti.
L’azienda, infatti, gestisce sistemi integrati adattivi e dinamici di difesa cibernetica e sviluppa tecnologie proprietarie sulla scorta dell’esperienza di 40 cyber analisti qualificati, oltre 50 sviluppatori e un team di ethical hacking formato da oltre 20 specialisti, riconosciuti sia a livello nazionale che internazionale.
Con il rapporto, Yoroi vuole proporre soprattutto spunti di riflessione e opportunità di miglioramento per quanto riguarda la formazione del personale in materia di security awareness come anche l’impiego di team specializzati per approntare le difese necessarie.
Arriviamo ai numeri. In Italia durante, l’anno appena trascorso, il phishing, con il 41,88% degli attacchi bloccati, è stata la prima minaccia da affrontare. Sono state affinate tecniche e strumenti dal cybercrime per sfruttare meglio le debolezze legate al fattore umano e si legge l’evoluzione delle tecniche di ingegneria sociale volte ad indurre le vittime a commettere errori basati sulla fretta, l’urgenza, e la distrazione.
Non stupisce come gli attaccanti continuino a preferire le email e la messaggistica come vettore di diffusione dei malware. Il report indica che per il quinto anno di fila, le email malevole rappresentano una parte rilevante dei cyberattacchi e che la strategia più utilizzata dagli attaccanti sono le campagne di spam malevolo denominate “malspam”, configurate per colpire singoli individui e piccole organizzazioni, per esempio tramite mail di finte fatture con documenti Office malevoli.
Il secondo gruppo per volumi di attacchi è rappresentato dai malware (38,08%) entro cui rientrano tutte le famiglie di codice malevolo, dai trojan, ai ransomware, agli infostealer. La telemetria offerta dalla piattaforma Yoroi permette di estrarre una serie di statistiche riguardo attacchi di tipo zero-day malware, ovvero non noti alle firme dei sistemi antivirus, essendo il 76% delle minacce malware di tipo 0-day. La maggioranza dei malware, in Italia, appartiene alla tipologia dei trojan bancari, era così anche 2020 (con Ursnif principale vettore, per il 33.5% del totale, mentre Emotet per il 18,9%).
La telemetria raccolta dall’infrastruttura di monitoraggio del Cyber Security Defence Center di Yoroi, conferma inoltre che i documenti di Microsoft Office sono il vettore di consegna del malware più rilevante, ed il modo più comune per attivare il primo stadio della catena di infezione. Complessivamente transitano attraverso file di Word ed Excel il 68,2% di tutti gli allegati maligni intercettati dai servizi Yoroi di email protection.
La terza macro-famiglia di minacce bloccate, sempre per volumi, è rappresentata dai siti Web dannosi con il 19,95%. Di fatto con due tipologie di attacchi: quelli Watering Hole e quelli prettamente opportunistici, tramite adware, malvertising, clic fraud etc.. Ricordiamo che gli attacchi Watering Hole sono particolarmente insidiosi, perché di fatto sfruttano le effettive abitudini degli utenti che visitano i siti Web. Ne vengono studiati i comportamenti per poi attrarli proprio sui punti di loro interesse. Così sono le stesse vittime, di fatto, a “cercare” gli agent dannosi inseriti nei siti dal cybercrime, dopo un attento studio delle vulnerabilità del sito stesso.
Preme aggiungere “al podio” di minacce identificato da Yoroi la nota riguardo un altro vettore tra i più utilizzati che è da identificare nello sfruttamento delle falle tecnologiche, in ulteriore crescita nel corso del 2021. Un anno che ha visto diversi vendor rimanere vittime di attacchi attraverso i loro stessi prodotti/servizi, sia in maniera diretta come nell’eclatante caso di Kaseya, sia in maniera indiretta, come attraverso lo sfruttamento di falle individuate all’interno degli apparati hardware e software, che spesso non vengono aggiornati.
Non aggiunge sorprese invece l’analisi geografica riguardo i Paesi di origine di botnet e attacchi opportunistici. In cima alla lista ci sono gli Stati Uniti con il 38% della quota (+34% rispetto all’anno 2020) seguiti da Cina (24%, senza rilevanti variazioni sul 2020) ed infine la Russia le cui infrastrutture, secondo le telemetrie Yoroi, contengono l’8% delle comunicazioni malevole. Per far fronte agli attacchi, secondo Yoroi è necessario compiere significativi sforzi di miglioramento nella gestione delle cyber-crisis, sviluppando politiche aziendali e tecnologiche di protezione per prevenirli e contenerli.
© RIPRODUZIONE RISERVATA
