Attacchi hacker, il pericolo arriva via mail con phishing e malware. Il peso della guerra in Ucraina e le speranze nell’AI
Il nuovo rapporto di Yoroi (Gruppo Tinexta) conferma che anche nel 2022 le minacce di tipo ransomware hanno dominato la scena, confermandosi il pericolo più rilevante per tutti i settori del mercato italiano. Degni di nota sono stati anche i fenomeni di leak di codice sorgente ai danni di gruppi criminali, quale quello subìto dal gruppo Conti, che determinano spesso un vero e proprio riassetto nelle gerarchie dei vari gruppi criminali.
In base al rapporto 2023 si nota inoltre un aumento degli attacchi ai sistemi industriali e di controllo, come quelli utilizzati per il controllo di produzione, per il monitoraggio e il funzionamento di centrali elettriche, oleodotti, reti di distribuzione di energia e, più̀ in generale, infrastrutture critiche per il funzionamento di un Paese. Appare piuttosto netta l’intenzione di portare attacchi in grado di mettere a rischio la sicurezza
stessa di una nazione. A quanto sopra occorre infine aggiungere a livello tattico l’impiego di malware avanzati, progettati con il fine di utilizzare vulnerabilità zero-day, ovvero vulnerabilità̀ sconosciute al momento del loro sfruttamento; quindi, particolarmente sofisticate da individuare e prevenire.
Un esempio di evoluzione in ottica di sofisticazione si può ritrovare nel fenomeno della Double Extortion, che ha mostrato una crescente complessità e organizzazione. Questo fenomeno vede la formazione di gruppi strutturati in vere e proprie bande (gang) che hanno sviluppato malware unici per ogni attacco, quasi come una firma indelebile dell’attaccante.
Oltre ai fenomeni degli attacchi altamente organizzati per colpire un target specifico, nell’ultimo anno abbiamo osservato ed analizzato anche attacchi di tipo opportunistico, diffusi su larga scala, mirati a colpire il maggior numero possibile di aziende e di vittime.
Anche quest’anno il panorama delle minacce informatiche ha fatto vedere che la maggior parte delle problematiche sono state derivate dai cosiddetti “Crimeware” e “Commodity Malware”, i quali sono usati come strumento per le fasi iniziali di un attacco informatico.
Report Highlights:
- I risultati mostrano che il 52,4% dei malware individuati da Yoroi sono di tipo 0day, il che indica che i criminali informatici continuano a preferire la generazione di nuovo codice per colpire i propri bersagli.
- Interessante da analizzare è la presenza di una specializzazione rispetto ai target industriali. In altre parole, è di interesse riuscire a tracciare la distribuzione delle minacce per settore industriale; si osserva, ad esempio, una forte presenza di minacce di tipo “emotet” in relazione ai settori bancario, assicurativo e finanziario, mentre “AgentTesla” è principalmente presente nei settori industriali (Machinery, Utilities, Fashion) e nel settore Software/IT Services.
- Si evidenzia una ricorsiva stagionalità̀di alcune minacce relative a specifici settori industriali e al contempo è possibile osservarne l’indipendenza di altre.
- Anche nel 2022 la principale minaccia da affrontare è stata quella del phishing, che colpisce in maniera indiscriminata ogni vittima. La seconda minaccia più̀ diffusa sono i cosiddetti commodity malware, ossia malware che vengono utilizzati in modo diffuso e che sono facilmente acquistabili online.
- Nell’ultimo anno, ha rafforzato il suo potere all’interno dell’ecosistema dell’underground criminale la figura del broker di compravendita degli accessi alle aziende. Questo servizio ha preso il nome di IAaaS, ossia Initial Access as a Service.
- Gli attacchi di tipologia DDoS (Distributed Denial of Service) sono un’altra minaccia crescente e alquanto inaspettata. La tipologia di DDoS è variegata e a sua volta composta da innumerevoli tecniche e tecnologie per specializzare o contestualizzare l’impatto.
- Una continua tendenza osservata durante il 2022 continua a essere la Double Extorsion, che trova nuove evoluzioni in modo vertiginoso, comprendendo colpi di scena davvero sorprendenti. Primo tra tutti il leak del codice sorgente di Conti e il conseguente abbandono del progetto, a favore della nascita di altri “progetti” di Double Extorsion.