Attacchi informatici, tra passato e presente, per capire il futuro. CybergON, business unit di Elmec Informatica dedicata alla cybersecurity, traccia la cronistoria degli attacchi del 2021 e delinea gli ambiti di maggior interesse per i threat actor nel 2022.
Come siamo messi con gli attacchi informatici? Quali sono state le tipologie più frequenti nel 2021 e cosa ci si aspetta nel 2022? Risponde CybergON, la divisione di Elmec Informatica con il suo Almanacco della Cybersecurity.
Dopo il 2020, l’anno zero per la sicurezza informatica, il 2021 si può considerare l’anno uno. Quello in cui la consapevolezza ha dovuto lasciare il posto all’azione. Ripercorrendo la cronologia della cybersecurity nell’anno passato, avremmo potuto gioire per la chiusura di Emotet. Un’operazione particolare soprattutto per la grande collaborazione tra forze dell’ordine di tutto il mondo che, insieme, hanno messo fine a una delle botnet più pericolose.
A novembre, però, Emotet è tornato con l’Operazione Reacharound, con nuove infrastrutture. Tra le attività più pericolose dell’anno, la più eclatante è stata ProxyLogon, che ha riguardato la vulnerabilità 0-day di Microsoft Exchange e che ha messo in ginocchio oltre 250mila aziende nel corso di due mesi.
Il filone degli attacchi alla supply chain, inaugurato con SolarWinds Orion, ha preso definitivamente piede nel 2021 con Kaseya e altri. Questo e altre tipologie di attacchi informatici – come il phishing che rimane tra i più diffusi – hanno colpito in particolare il settore manifatturiero e ingegneristico, l’healthcare, i servizi e la tecnologia.
Una ricerca di Verizon ha indicato che nel 2021 si sono registrati quasi 30mila attacchi dovuti per lo più ad attività di social engineering e server exploitation.
Attacchi informatici in Europa e in Italia
Il 25% degli attacchi mappati nel primo semestre del 2021 ha riguardato l’Europa. Una preoccupante escalation visto che, secondo il rapporto Clusit, nel 2020 gli attacchi gravi contro l’Europa sono stati il 17% e l’11% nel 2019.
In particolare, in Italia gli attaccanti hanno preso di mira la Pubblica Amministrazione. È il caso di Regione Lazio, dell’Ospedale San Giovanni di Roma, di Regione Toscana e Lombardia, di SIAE e CGIL e della più recente ULSS6 Euganea, azienda ospedaliera di Padova. Finalmente, poi, il Governo ha istituito l’Agenzia per la cybersicurezza nazionale e nel PNRR ha stanziato diverse risorse per la sicurezza informatica.
Ma anche il settore privato italiano non è stato trascurato dagli attacchi informatici. Il Made in Italy era già stato colpito nel 2020 (Luxottica e Geox), ma nella seconda parte del 2021 c’è stata un’escalation di vittime italiane (private). Aziende del food come San Carlo, manifatturiere, del settore giocattoli (Clementoni) e della moda (Gruppo Miroglio).
Complessivamente, gli attacchi informatici dichiarati nel Bel paese sono stati 600 al giorno, con una concentrazione particolare sui settori della Ricerca e dell’Istruzione. Record che ci ha fatto salire al secondo posto dopo l’India per media settimanale di attacchi. Secondo il report Attacks from All Angles di Trend Micro, nel primo semestre del 2021 l’Italia risulta il quarto Paese più colpito al mondo da attacchi informatici
Attacchi concentrati soprattutto in settori che trattano informazioni sensibili come le telecomunicazioni, il settore bancario e finanziario e la distribuzione.
LEGGI ANCHE: ELMEC LANCIA LO STUDY TOUR
Il problema delle vulnerabilità nel codice
Già dalla seconda parte dell’anno si è messo in luce un tema che sarà centrale anche nel 2022: le vulnerabilità. L’ultima è stata quella di Log4j, ma lo sfruttamento delle vulnerabilità note è aumentato del 41%, secondo solo all’utilizzo di malware (43%).
Rimangono quindi una priorità il monitoraggio delle vulnerabilità, l’aggiornamento dei sistemi, le finestre di manutenzioni ordinarie e di emergenza. Processi che sono strutturati ancora in poche organizzazioni. Sfruttando le vulnerabilità più note, inoltre, CybergON stima che gli attaccanti potranno agire in meno di 48 ore. Nel 2021 questo tempo si aggirava intorno alle 48-72 ore.
Attacchi informatici: cosa succederà nel 2022
Di seguito, CybergON definisce i sei ambiti su cui si focalizzerà l’attenzione dei gruppi cybercrime, ecco i primi tre:
Cloud – Nel prossimo anno la migrazione al Cloud rimarrà un aspetto chiave per le operazioni aziendali. Gartner prevede che la spesa globale per i servizi Cloud raggiungerà oltre 482 miliardi di dollari nel 2022, con un aumento del 54% rispetto ai 313 miliardi di dollari del 2020. E se le aziende vanno sul cloud, i cyber-criminali le seguiranno.
Supply Chain – Quando i problemi delle supply chain emersi durante la pandemia sono diventati un problema mondiale, tutti hanno compreso il valore di queste catene, compresi i cyber criminali. Sfruttando ulteriormente l’interruzione della catena di approvvigionamento, i threat actor potranno portare un’evoluzione nel modello di “estorsione quadrupla” nel 2022. Gli attaccanti bloccheranno i sistemi e chiederanno di pagare un riscatto tramite una quadruplice tecnica di estorsione. Si terranno i dati critici della vittima in ostaggio, minacceranno di far trapelare i dati e di pubblicizzare la violazione. Poi minacceranno di perseguire i clienti della vittima e di attaccare la catena di approvvigionamento o i fornitori.
IoT – All’aumento dei dispositivi IoT corrisponde un numero maggiore di potenziali punti di accesso per i criminali informatici. Oltre che più diffuso, poi, nel 2022 l’IoT diventerà anche più sofisticato. Molte organizzazioni, infatti, sono ora impegnate nello sviluppo di “digital twins” – simulazioni digitali che rispecchiano interi sistemi e business.
Occhio agli NFT
Ed ecco gli altri tre ambiti su cui concentrare l’attenzione di aziende e utenti nel 2022.
Cybercrime as a Service – Se il ransomware da un lato non ha mai smesso di essere un “trend”, dall’altro ha la capacità di rinnovarsi continuamente. Per il 2022 CybergON stima che il malware as-a service, MaaS o RaaS, possa prendersi sempre più spazio. Un servizio di questo tipo costa dai 60 ai 650 dollari e, in caso di attacco andato a buon fine, il profitto è del 70% per chi compra e del 30% per chi vende. CybergON ne ha parlato approfonditamente anche nell’ultimo libro: https://bit.ly/book-cybergon
Non-Fungible Token – Nel 2022, è probabile che vedremo NFT ovunque; questo include film, programmi TV, libri, opere d’arte ecc. E, se il principio secondo cui agiscono i cyber-criminali è quasi sempre il #followthemoney, va da sé che si dovranno monitorare gli NFT anche dal punto di vista della sicurezza.
6G is the new 5G – Nel 2021 LG ha iniziato un progetto di sviluppo legato al 6G e le previsioni attuali indicano la possibile commercializzazione delle soluzioni entro i prossimi 4 anni, con la piena normalizzazione di queste tecnologie entro il 2025. Siamo davvero pronti, anche a proteggerci?
Da CybergON tre indicazioni per il futuro
In conclusione, CybergON traccia tre evidenze emerse dalle analisi degli attacchi monitorati.
Attacchi verso aziende italiane – Confrontando il primo e il secondo semestre del 2021 la business unit di Elmec Informatica ha riscontrato un raddoppio (+100%) degli incidenti legati ad attacchi verso aziende italiane.
In particolare, il 35% avviene attraverso attacchi ransomware. In questi casi la durata media della presenza degli attaccanti all’interno della rete del cliente si attesta tra le 2 e le 5 settimane.
Il 25% è legato al furto delle credenziali aziendali, con lo scopo di compiere attacchi “man in the middle”. La presenza degli attaccanti in questi casi supera i 2 mesi, proprio perché l’obiettivo è di studiare e comprendere al meglio i flussi di comunicazione dei clienti.
Password e Multifactor – Nel corso del 2021 CybergON ha rilevato un aumento significativo di attacchi legati al furto delle credenziali utente del 180% rispetto al 2020, con un trend preoccupante sull’ultimo trimestre.
Questa tendenza pone le aziende di fronte alla necessità oggettiva di implementare sistemi di autenticazione di nuova generazione.
L’autenticazione a due fattori oggi è un obbligo
CybergON stima, ad esempio, che solo il 30% delle aziende che utilizzano sistemi di collaborazione cloud come Office365 abbiano un sistema di monitoraggio attivo degli accessi sospetti.
Se il doppio fattore di autenticazione (MFA) per accedere alla posta elettronica aziendale era un “nice-to-have” per il 2021, sarà indispensabile nel 2022.
Sistemi di Protezione – Con la continua evoluzione e complessità degli attacchi, le protezioni aziendali devono evolvere alla stessa velocità.
CybergON stima che se nel corso del 2020 un’azienda ha implementato un sistema di protezione dei dispositivi utente, dei server e del network, senza adattarlo alle nuove minacce, potrebbe perdere fino al 25% di efficacia nel corso dell’anno successivo e fino al 50% nel corso dei due anni successivi.
Nonostante gli investimenti in ambito cyber security da parte delle aziende siano in costante crescita, sono ancora poche le aziende italiane che hanno affrontato nel corso del 2021 progetti di adozione di protezione avanzata basato su intelligenza artificiale e analisi. Oggi è necessario valutare soluzioni di XDR (Extended Detection and Response).
