Incidenza ed estensione del conflitto nell’universo digitale fra attacchi di spear-phishing e i ransomware che non devono mai essere dimenticati
Le sorti del conflitto tra Russia e Ucraina hanno condizionato negativamente l’universo digitale che ha visto un aumento significativo degli attacchi, verso l’Ucraina ed i paesi che la sostengono e verso la Russia stessa.
Alcuni dei maggiori vendor di sicurezza hanno divulgato informazioni specifiche in proposito e se all’inizio del conflitto era stato evidenziati rischi su specifiche minacce di sicurezza con allarmi e avvisi anche a cura dello CSIRT nazionale italiano, il perdurare della contrapposizione ha fornito notizie certe sull’ampliamento delle azioni ostili nel cyberspazio anche a scopo di ritorsione.
Attacchi in crescita
I nuovi dati sui cyberattacchi riguardanti il conflitto in corso tra Ucraina e Russia diffusi da Check Point Reasearch tra febbraio e agosto di quest’anno, hanno evidenziato un aumento del 112% verso il governo e il settore militare dell’Ucraina con oltre 1.500 attacchi informatici settimanali in media su ogni rete aziendale in Ucraina e un aumento del 25% della media settimanale di attacchi informatici alle reti aziendali, rispetto all’inizio dell’anno prima del conflitto. A livello mondiale invece l’aumento è stato dello 0,1% e in Russia del 13%. Uno dei settori più colpiti in Ucraina, durante il conflitto è stato quello finanziario, con una media di 1.841 cyberattacchi a settimana e per organizzazione, sebbene si sia osservata una diminuzione del 29% rispetto al periodo precedente al conflitto. L’aumento in questo settore potrebbe dipendere dall’afflusso di aiuti finanziari e donazioni inviati dai governi e da singoli individui all’Ucraina, su cui i criminali digitali si sono concentrati per trarre profitto.
Anche la Russia è stata al centro di attività di attacco digitale con specifica concentrazione nel settore finanziario con una media di oltre 2.600 attacchi settimanali per organizzazione ovvero, un aumento del 24% rispetto a prima del conflitto. Il secondo settore è stato quello delle comunicazioni, con una media di 1.928 attacchi settimanali per organizzazione (-8%). I dati divulgati dall’inizio del conflitto hanno evidenziato anche una campagna contro, almeno, due istituti di ricerca in Russia, che fanno parte della Rostec corporation, un gruppo della difesa di proprietà statale e il proseguimento di ciò che si ritiene essere un’operazione di spionaggio di lunga data contro la Russia, che persiste presumibilmente fino ad oggi da luglio 2021 e di cui gli ultimi dati risalgono ad aprile 2022.
Sergey Shykevich, Threat Intelligence Group Manager di Check Point Software spiega che il rischio non riguarda solo i paesi coinvolti oggi nella contrapposizione militare: “dopo la fine del conflitto, questi gruppi APT, di hacktivisti e di singoli individui non scompariranno, bensì rivolgeranno le nuove competenze e i loro tool verso nuovi obiettivi, scatenando uno tsunami di attacchi informatici in tutto il mondo. Abbiamo già iniziato a vedere i primi segnali di allarme: gli attacchi ai partner della NATO e ai Paesi che hanno aiutato l’Ucraina sono aumentati, sia in frequenza che in intensità. Questo conflitto ha fatto sì che l’attività informatica cambiasse per sempre il volto della guerra”. In particolare, diversi gruppi APT che hanno cercato di sfruttare il conflitto tra Russia e Ucraina e le sanzioni contro le aziende russe come esca per operazioni di spionaggio. Le stesse organizzazioni russe siano diventate un obiettivo interessante per le campagne di spear-phishing che sfruttano le sanzioni imposte alla Russia dai Paesi occidentali. Ma sembra esistere anche una più ampia operazione di spionaggio cinese, in corso da diversi mesi, contro organizzazioni legate alla Russia. I ricercatori ritengono che la campagna sia stata condotta da un APT nazionale cinese esperto.
Estensione delle azioni di ritorsione
Il pericolo dell’estensione del conflitto ai paesi che sostengono l’Ucraina, è sostenuto da dati forniti dall’Alleanza di intelligence Five Eyes, costituita da Stati Uniti, Regno Unito, Nuova Zelanda, Australia e Canada, ha lanciato un allarme cyberminacce, avvertendo che “l’invasione russa dell’Ucraina potrebbe esporre le organizzazioni sia all’interno che all’esterno della regione a una maggiore attività informatica malevola”. Secondo Five Eyes, hacker al soldo del governo russo sarebbero pronti ad attaccare i Paesi che sostengono l’Ucraina. Poppy Gustafsson, CEO di Darktrace ha sottolineato come dall’inizio della guerra in Ucraina le infrastrutture critiche a livello globale vivano in un costante stato di cyber-allerta. In particolare, è stato osservato un significativo aumento della richiesta dei servizi di sicurezza da parte di infrastrutture critiche statunitensi, specialmente nel settore oil & gas. Anche in passato, la Russia ha mostrato grandi capacità di introdursi nel cuore dei sistemi critici e lanciare attacchi nel cyberspazio con un impatto concreto anche sul mondo reale. Si ricorda ad esempio, l’attacco alla rete energetica dell’Ucraina nel 2015 o l’attacco a Colonial Pipeline dello scorso anno, che è servito come campanello d’allarme per mostrare che nessun sistema è invulnerabile agli attacchi. Anche durante il conflitto ucraino si sono verificati attacchi contro i sistemi industriali, come Industroyer 2.0, e ne sono possibili di nuovi, diffusi su larga scala. Gustaffson afferma con un certo livello di fiducia che “la Russia e gli attori ad essa affiliati dispongono senz’altro di mezzi per sferrare cyberattacchi inediti e distruttivi dai propri arsenali. È solo questione di tempo.”
Mai dimenticare il pericolo dei ransomware
Molti analisti sostengono la tesi di attacchi di rappresaglia orchestrati da hacker sostenuti dalla Russia, o mirati a obiettivi ucraini e a paesi che simpatizzano e sostengono l’Ucraina. In aggiunta alle attività di spionaggio informatico, l’attuale preoccupazione più pressante è che le bande di ransomware che si sono schierate o potrebbero schierarsi con la Russia potrebbero, in breve tempo, distribuire i loro payload dannosi per paralizzare le organizzazioni nel settore delle infrastrutture critiche, infliggendo danni e caos ai paesi “nemici”. Secondo Ben Smith, Field CTO di NetWitness, (RSA Business.) non ci si deve “rilassare” sul concreto rischio legato ai ransomware che potranno nuovamente incidere sullo scenario della minaccia. Il CTO spiega infatti che “OldGremlin”, la banda di ransomware di lingua russa, è particolarmente degna di nota in quanto ha preso di mira le aziende russe per un po’ di tempo prima dell’attuale situazione in Ucraina, ma, come altri attori di minacce di successo, stanno seguendo un consolidato schema di phishing che segue due componenti fondamentali: sono progettate per sfruttare l’attuale situazione di conflitto e rappresentano uno scenario urgente per il bersaglio. Proprio come vediamo nel mondo del marketing, gli operatori di ransomware sanno che anche se solo una piccola parte degli obiettivi di phishing cade nella trappola allora avranno comunquue un ingente successo. Qualsiasi vittima mitrata e targetizzata se coinvolto nel mezzo di un flusso di notizie di suo interesse diventa particolarmente vulnerabile. E questi attacchi producono i loro frutti per le gang criminali.
Invece è meno probabile che gli aggressori rispettino le proprie origini nazionali se sono in gioco abbastanza soldi. L’attribuzione rimane un compito difficile, poiché molti attori delle minacce progettano e implementano i loro attacchi nel tentativo di mascherare la loro vera origine. E dato il “modello di business” dello spazio ransomware con i suoi numerosi fornitori, oggi è molto più facile adoperare “ransomware-as-a-service” sia per piccoli gruppi criminali che per attaccanti singoli.
