La cybersecurity è diventata come l’acqua: ogni giorno se ne deve assumere un po’ per restare in salute. Conoscere gli obiettivi colpiti dai criminali e quali saranno le loro possibili mire future aiuta i manager e i responsabili IT e di sicurezza informatica nel tenere in salute la propria azienda, al sicuro dai rischi di sicurezza. Restare aggiornati richiede tuttavia un certo sforzo di lettura dei tanti report di sicurezza e molto spesso il tempo è tiranno per i manager operativi e per chi è alle prese con tante decisioni al giorno. Ma poiché la frequenza ed estensione degli attacchi non ammette ignoranza e non perdona, in caso di impreparazione, arrivano in soccorso le evidenze della minaccia digitale sintetizzate per il 2024 e l’anticipazione dei trend previsti per il 2025. Paolo Passeri, Principal Solution Engineer in Neskope ci ha aiutato a comprenderli meglio grazie alla sua esperienza di analisi e studio dei vari gruppi di criminali e delle loro campagne malevole.
Ransomware e attivismo geopolitico
La maggior parte degli attacchi è motivata da speculazioni di carattere economico per approfittare delle vittime: il ricatto estorsivo (ransomware) e il furto di dati per la rivendita sul mercato nero del web (darkweb) sono esempi frequenti di cybercrime.
Paolo Passeri spiega che «la diffusione del ransomware deriva da molteplici motivi: in primo luogo dal suo modello di business che oramai è un servizio [cosiddetto modello di tipo ‘as-a-service’ n.d.r.], un elemento che abbassa notevolmente la barriera di ingresso e amplia la base di possibili attori malevoli, per una tipologia di attacco che è ripetibile per definizione. I criminali possono acquistare il servizio ed utilizzarlo verso gli obbiettivi che ritengono opportuni, sia per operazioni mirate, che opportunistiche. Inoltre, i ransomware offrono molteplici possibilità di guadagni illeciti agli attaccanti, grazie alla doppia e alla tripla estorsione, in cui i criminali possono decidere di minacciare le terze parti coinvolte nella sottrazione illecita dei dati».
Ad arricchire queste categorie criminali vi sono anche coloro che forniscono solo accessi compromessi. Spiega infatti l’esperto che «il problema spinoso dell’accesso iniziale per qualsiasi attaccante è risolto dalla categoria degli ‘Initial Access Broker’, criminali specializzati nella vendita di accessi compromessi; piuttosto c’è da chiedersi perché sia così facile compromettere gli utenti: con la diffusione del lavoro ibrido le persone sono diventate molto più vulnerabili ad attacchi di ingegneria sociale primo fra tutti il phishing».
La guerra tra Russia e Ucraina è anche online
Con la guerra russo-ucraina sono stati osservati molti attacchi mirati alla interruzione dei servizi digitali (negazione distribuita del servizio-Distributed Denial of Service-DDoS n.d.r), dei siti istituzionali e delle maggiori organizzazioni italiane. ln particolare il gruppo ‘Noname057(16) è responsabile di reiterate campagne DDos, l’ultima delle quali avvenuta il 17 febbraio contro i siti web di soggetti italiani, afferenti ai settori trasporti (aeroporti di Linate e Malpensa, Autorità trasporti, porti di Taranto e Trieste, tra gli altri) e finanziari ( Intesa San Paolo).
In precedenza campagne simili verso siti istituzionali e di infrastrutture critiche sono state osservate a gennaio e prima ancora a dicembre dello scorso anno. In tema di attivismo di tipo geopolitico e di meccanismi di contrapposizione bellica digitale (Cyber warfare n.d.r.) Passeri chiarisce come «l’hacktivismo sia legato a doppio filo con il cyber warfare e come siano una diretta conseguenza della complessa situazione geopolitica nei diversi focolai di guerra nel mondo. Questi focolai si ripercuotono in tensioni e operazioni nel cyberspazio. Aggiungerei inoltre che nel corso del 2024 la complessa situazione geopolitica ha portato anche ad una crescita delle operazioni di cyber spionaggio da parte dei soliti noti, i gruppi russi, cinesi, nordcoreani e iraniani e anche in questo caso è difficile tracciare il confine tra cyber spionaggio e cyber warfare, visto che l’intelligenza sottratta può avere un valore notevole nel campo di battaglia del mondo fisico.».
Una importante distinzione è necessaria fra i tipi di attacchi che mirano ad interrompere servizi, rispetto alle operazioni di contrapposizione bellica digitale: «gli attacchi di tipo hacktivistico, tipo DDoS, hanno più l’effetto mediatico di portare l’attenzione su un problema o su un particolare gruppo di attori malevoli, ma generalmente non hanno impatti elevati sugli utenti. Ben diverso è il caso degli eventi di tipo cyber warfare, soprattutto nei casi in cui vengono attuati mediante software malevoli (di tipo wiper) lanciate contro l’Ucraina dall’inizio dell’invasione Russa, o più recentemente all’attacco verso l’operatore mobile Kyivstar costato un 3% di crescita annua».
Lo scenario criminale 2024 in Italia
La minaccia di cybersecurity è costante nella sua crescita tanto che da diversi anni si osserva questa dinamica grazie alle evidenze fornite dai report dell’associazione italiana di sicurezza informatica (Clusit), dai rapporti settimanali del Computer Security Incident Response Team (CSIRT) dell’Agenzia Nazionale per la Cybersecurity (ACN) dai report della Polizia postale che opera nell’ambiente digitale.
Il Rapporto Clusit di ottobre 2024 che studia il primo semestre 2024 evidenzia una maggioranza di attacchi di attacchi con finalità di cybercrime, 71% dei casi, seguito da attivismo, per il 29%. Gli ultimi attacchi in ordine di tempo sono quelli osservati fra dicembre e gennaio effettuati dal gruppo di attivisti di matrice geopolitica noto come NoName057(16) che ha interessato i siti ministeriali (Esteri, Infrastrutture e Trasporti), Forze armate (Carabinieri, Marina, Aeronautica), banche e alcuni istituti del trasporto pubblico (Fonte ACN).
Prima di questo periodo sempre dal Rapporto Clusit sono fotografati i primi sei mesi del 2024, con una occorrenza di 124 eventi con danneggiamenti definiti come meno critici e più circoscritti rispetto al resto del mondo. Anche il CSIRT dell’ACN in occasione della relazione annuale al parlamento presentata ad Aprile 2024 ha evidenziato numeri significativi del 2023: 1.411 eventi cyber, per una media di circa 117 al mese, con un picco di 169 a ottobre 2023.
Sul fronte della criminalità è la polizia postale che con il suo report annuale traccia le azioni criminali specifiche che si svolgono on line grazie a ciascuno dei suoi centri specialistici: Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC), Centro Nazionale per il Contrasto alla Pedopornografia Online (CNCPO), Commissariato di PS online. Solo il commissariato on line ha gestito in un anno 82.000 segnalazioni e 23.000 richieste di assistenza, riguardanti fenomeni come truffe online (spoofing, smishing) ed estorsioni a sfondo sessuale. La sorveglianza di 42.031 siti web (area pedopornografia) ha garantito 2.775 occultamenti coatti (inserimenti in black list) con 144 arresti. Allo stesso modo dal CNAIPIC sono stati oscurati 2000 contenuti critici in collaborazione con l’Europol.
Lo scenario Europeo
L’ENISA, Agenzia Europea per la sicurezza descrivere in dettaglio annualmente la minaccia digitale e nel 2024 ha pubblicato il report sull’andamento degli attacchi, (ENISA Threat Landscape 2024 -ETL) e lo stato di sicurezza digitale dell’Unione, (2024 Report on the State of the Cybersecurity in the Union).
Il range di dati raccolti spazia da metà 2023 a metà 2024. Anche in Europa, le categorie di attacchi di interruzione dei servizi (Denial of Service -DoS/DDoS/RDoS) e ransomware restano le tipologie più frequenti, tanto da rappresentare oltre la metà degli eventi osservati, ma si riscontra un allarmante aumento di attacchi sofisticati alle catene di fornitura (cosiddetti attacchi di supply chain n.d.r.) sempre pericolosi per la loro difficoltà di rilevamento e ampia portata con potenziali effetti catastrofici a cascata che, commenta l’esperto «portano ad crescente attenzione delle organizzazioni per la sicurezza dei propri fornitori, e parallelamente ad un crescente numero di cause legali verso le terze parti colpite dagli attacchi»
Anche per l’Europa la motivazione geopolitica di tensione fra stati è la leva primaria di campagne di spionaggio, sabotaggio e disinformazione che diventano strumenti chiave per le nazioni per manipolare gli eventi e assicurarsi un vantaggio strategico. Il report ENISA Threat Landscape 2024 chiarisce come il fenomeno dell’hacktivismo abbia avuto una costante espansione, segnata dall’emergere di numerosi nuovi gruppi. Nel Report ENISA “Trust Services Security Incidents 2023” sono stati tracciati attacchi a causa dei quali, l’impatto complessivo è stato pari a 3.184 milioni di ore utente perse, Di queste ore, 3.140 milioni sono state perse a causa di azioni dolose, pari al 98% del totale. Il restante numero di ore si divide fra cause di guasti al sistema ed errori umani.
Tendenze della minaccia per il 2025 Dallo studio “ENISA Foresight Cybersecurity Threats for 2030” possono essere tratte le maggiori minacce di sicurezza informatica attese per il 2025, con alcune tendenze che perdureranno fino al 20230. Il report classifica ventuno minacce stilando una classifica delle dieci più pericolose. Le minacce non sono necessariamente solo tecnologiche a sottolineare che è sempre necessario avere una visione più ampia del solo perimetro tecnologico per comprendere le sfide da affrontare.
Anche il report di Kaspersky Industrial Control Systems Cyber Emergency Response Team (ICS CERT) sottolinea l’esigenza di protezione per i sistemi legacy e per le tecnologie innovative stilando la propria classifica di minacce per il 2025: 1-aumento dei rischi di furto di tecnologie innovative nelle grandi imprese industriali; 2- violazioni dei diritti di proprietà intellettuale; 3- attacchi alle tecnologie di AI; 3- vendor non protetti come target di attacco; 4- la sicurezza di tipo offuscato, non più sufficiente per le infrastrutture OT;
Consigli dell’esperto
Per prepararsi al meglio allo scenario del 2025 l’esperto di sicurezza fa notare come «la tecnologia sia importante, ma è l’essere umano il primo livello di sicurezza, per cui l’educazione gioca un ruolo fondamentale e il concetto di educazione deve necessariamente essere ampliato: se da un lato la consapevolezza alla sicurezza informatica verte soprattutto sul fatto di non aprire allegati malevoli o cliccare link sospetti, oggi emergono nuove minacce basate sulla disinformazione e sul concetto di privacy delle nuove generazioni; si pensi ai social visti come armi di profilazione di massa e come queste informazioni potrebbero essere utilizzate da uno stato ostile. L’educazione, quindi, deve essere applicata anche tra i professionisti per evitare di ampliare la superficie di attacco a causa di procedure di aggiornamento lasche o configurazioni in produzione senza best practice».
In generale si suggerisce un mutamento culturale: «è necessario un cambio culturale, una sorta di partnership tra il singolo individuo e la sua sfera professionale e personale per comprendere che comportamenti superficiali possono avere conseguenze nefaste per il singolo individuo e la sua catena di effetti professionali e personali. Ed in questa ottica si inserisce anche l’errore umano, che non deve essere colpevolizzato, ma considerato come un evento possibile sia a livello personale che professionale e come tale limitato da interventi appositi: in un clima di terrore e colpevolizzazione, infatti, si tende a nascondere gli incidenti, compromettendo, spesso irrimediabilmente, le operazioni di mitigazione e contenimento».
