Non ci sono abbastanza cybercriminali (per le potenzialità di attacco che esistono)
Può sembrare un’affermazione provocatoria, ma la realtà è proprio questa: per le possibilità che esistono ora nel mondo del cybercrimine, i cybercriminali che sono attivi sono tanti, ma potrebbero essere molti di più. Questo perché siamo stati abituati ad una visione degli attaccanti ormai stereotipata che, tuttavia, è molto cambiata nel tempo.
Nella nostra memoria rimane impressa l’immagine di un hacker come quella di un giovane incappucciato che, nel segreto della sua stanza, attacca le infrastrutture informatiche di aziende e privati in tutto il mondo per estorcere riscatti. Questa raffigurazione risulta ormai anacronistica, figlia di rappresentazioni d’avanguardia e cinematografiche. Per anni, si è perpetuata una narrazione “piratesca” di queste figure, che oggi è necessario delineare meglio. Quando si parla di hacker, si intende una persona che impiega le proprie competenze tecnologiche per esplorare i dettagli dei sistemi programmabili e sperimentare nuovi usi degli stessi. Siamo dunque di fronte a uno “studioso”, un esperto curioso della rete, non necessariamente pericoloso. Il tempo ha inciso una differenza sostanziale: oggi la Cybersecurity è un settore industriale a tutti gli effetti, con i suoi specifici attori. Ciò che rappresenta una vera minaccia, incarnando quella temibile immagine di soggetti incappucciati pronti a tutto per aggredire i sistemi informatici di chiunque, sono le cybergang, vere e proprie organizzazioni criminali.
Un mercato sempre più strutturato
Un dato di fatto: il MITRE censisce 138 gruppi di APT (Advanced Persistent Threat), mentre altre ricerche ipotizzano fino a 3000 cybergang, considerando anche i sottogruppi. Queste organizzazioni generano know-how sotto forma di tecniche, tattiche e procedure d’attacco, traendo profitto dall’utilizzo che altri soggetti, definiti “affiliati”, ne fanno per lanciare gli attacchi effettivi. Inoltre, il cambiamento riguarda anche la modalità di “acquisto” dei toolkit: oggi si preferisce sottoscrivere veri e propri abbonamenti che forniscono il necessario per condurre gli attacchi. È fondamentale sottolineare come chiunque possa facilmente entrare in possesso di tecnologie e metodologie avanzate, senza necessariamente avere competenze tecniche approfondite, ma semplicemente disponendo di un budget sufficiente. Questa eccessiva accessibilità aumenta il potenziale distruttivo degli attacchi: la semplice affiliazione di più persone rende più agevole la diffusione degli assalti informatici.
Una volta compreso che il crimine informatico è motivato esclusivamente da interessi economici e include diversi gruppi di cybercriminali, è importante sottolineare che gli attacchi ransomware non sono l’unica modalità utilizzata per monetizzare e sono in continua evoluzione. Con l’aumento della diffusione delle capacità di risposta agli incidenti, gli attaccanti stanno facendo in modo che il pagamento del riscatto sia la soluzione più facile e accessibile, riducendo gli importi dei riscatti in modo da competere con il costo delle attività di ripristino della sicurezza, dimostrando così una logica di mercato che spinge il crimine informatico verso una maggiore competitività. Studi internazionali dimostrano che il crimine informatico sta entrando in una fase di mercato diversa, più matura. Le aziende non sono rimaste ferme di fronte alla crescita esponenziale del mercato del crimine informatico e stanno investendo in strumenti di difesa. In particolare, si stanno osservando due tendenze: la diminuzione del valore medio del riscatto (è più facile farsi pagare un importo basso piuttosto che uno più elevato) e la ricerca di vettori di attacco diversi, ovvero i PC domestici e i dispositivi mobili. Ciò che rende i dispositivi personali o domestici così appetibili per gli attaccanti è la presenza di credenziali aziendali valide e non protette: il vero oggetto del desiderio. La rivendita di credenziali valide è diventata un’attività molto remunerativa. In particolare, si parla di credenziali attuali, non già utilizzate in passato poiché meno preziose. Nel fitto sottobosco del crimine informatico, si sta definendo sempre più una filiera organizzata, con specializzazioni nella produzione e nel recupero delle credenziali che vengono poi messe a disposizione di altri gruppi attivi.
A livello globale, Russia, Cina, Corea del Nord e Iran si confermano come i Paesi più “attivi” in termini di presenza di gruppi di cybercriminali sul proprio territorio. Allo stesso tempo, gli Stati Uniti e il Regno Unito rimangono i principali obiettivi di interesse per tali gruppi, per evidenti ragioni geopolitiche. Tra le bande di ransomware, il gruppo LockBit, dato per sconfitto dall’FBI, si è rapidamente riorganizzato e continua a rappresentare la minaccia più rilevante a livello europeo. Nonostante i successi delle agenzie governative nel chiudere piattaforme come Raidforum, Genesys market e Quakbot, i numeri del crimine informatico continuano a crescere. I cybercriminali preferiscono ora evitare i grandi mercati illegali, optando invece per maggiore riservatezza attraverso abbonamenti e contatti tramite social network per le loro transazioni.
In sintesi, il panorama geopolitico rimane dominato da alcune nazioni particolarmente attive nel cybercrime, con gli Stati Uniti e il Regno Unito come bersagli principali. Inoltre, le organizzazioni criminali si stanno evolvendo, abbandonando i grandi spazi di mercato illegale a favore di canali più riservati per le loro attività.
Lo stato dell’arte in Italia
L’Italia, insieme alla Germania, rappresenta un obiettivo molto appetibile per i cybercriminali. Il nostro Paese è particolarmente vulnerabile a causa della presenza capillare di piccole e medie imprese (PMI) sul territorio. Queste realtà imprenditoriali sono più facilmente attaccabili in quanto dispongono di meno risorse per proteggersi adeguatamente dai cyber attacchi. Purtroppo, questa situazione a volte costringe gli imprenditori a trovarsi di fronte a un dilemma difficile: pagare il riscatto richiesto dai criminali o sostenere i costi per ripartire, senza la certezza di recuperare i dati e i sistemi compromessi. In sintesi, la diffusione capillare delle PMI, meno preparate a fronteggiare le minacce cyber, rende l’Italia un target particolarmente vulnerabile per i gruppi di cybercriminali, spesso costringendo le aziende a subire il ricatto del pagamento del riscatto.
Come proteggersi per il futuro?
Per proteggere efficacemente la società digitale nel futuro, è necessaria una strategia di difesa integrata e proattiva, accompagnata da investimenti nella formazione e nelle tecnologie. In un’epoca di attacchi sistematici, le piattaforme di incident response basate sull’intelligenza artificiale rappresentano un elemento fondamentale per difendersi dalle minacce delle bande di cybercriminali. Grazie alla capacità di analizzare rapidamente grandi quantità di dati e individuare comportamenti sospetti, queste piattaforme consentono alle aziende di identificare e rispondere prontamente agli attacchi in corso. Attraverso l’automazione e l’apprendimento continuo, le piattaforme di incident response alimentate dall’AI migliorano l’efficienza delle operazioni di sicurezza e permettono di adottare misure preventive più efficaci, contribuendo così a proteggere le organizzazioni dalle sempre più sofisticate minacce provenienti dal mondo del cybercrime.
Affinché l’intelligenza artificiale applicata alla sicurezza informatica possa essere veramente efficace, è necessario disporre di una grande mole di dati. Uno dei modelli operativi teoricamente più validi prevede la raccolta di tutte le informazioni (telemetrie) provenienti da diverse fonti, come host, reti, log, cloud, ambiti operativi (OT), dispositivi mobili e anche personali. Includere tutti questi elementi nell’area di protezione, o escluderli dall’operatività, è fondamentale per garantire la massima efficacia degli algoritmi di intelligenza artificiale.
Country Manager Italy, Spain & Portugal di Cynet