10 minute read
CYBERSECURITY
CYBERCRIMINE DA “ZONA ROSSA”
Tra attacchi di massa e sofisticato cyberspionaggio, lo scenario del rischio informatico è diventato ancor più drammatico. Gli episodi gravi, censiti dal Clusit, nel 2020 sono aumentati del 12%.
Uno scenario sempre più drammatico per gli utenti, le aziende e le istituzioni vittima di attacco informatico. E sempre più roseo e danaroso per chi, invece, gli attacchi li realizza. Nel nuovo “Rapporto Clusit” sullo stato della sicurezza informatica nel 2020 spicca una crescita del 12% nel numero degli episodi catalogati dal Clusit (Associazione Italiana per la Sicurezza Informatica) come di grave entità in base alla loro estensione e ai danni arrecati. I 1.871 episodi censiti corrispondono a una media di 156 attacchi gravi al mese: è il valore più elevato mai registrato fino a oggi, superiore anche ai 139 attacchi al mese del 2019. Peraltro questi numeri descrivono solo parte del fenomeno, essendovi esclusi tutti gli episodi volutamente non denunciati e quelli passati inosservati alle vittime stesse. Ma nell’annuale analisi del Clusit spicca anche il fatto che nel 2020 circa un attacco su dieci abbia sfruttato il tema della pandemia, facendo leva sulle paure, speranze e curiosità delle persone comuni. L’anno scorso sono anche cresciuti gli episodi di cyberspionaggio, molti dei quali rivolti a soggetti operanti nel campo sanitario, come case farmaceutiche ed enti impegnati nello sviluppo e nell’approvazione dei vaccini anti covid-19. Caso eclatante, l’attacco subìto dall’Agenzia Europea del Farmaco: gli autori sono entrati in possesso di email e documentazioni relative all’iter di approvazione del vaccino Pfizer-Biontech, entrando nei server dell’Ema (non, fortunatamente, in quelli di Pfizer e di Biontech).
Un’economia sommersa
“La crescita straordinaria delle minacce cyber”, ha sottolineato Andrea Zapparoli Manzoni, membro del Comitato Direttivo e coautore del report, “rappresenta ormai a livello globale una tassa sull’uso dell’Ict che arriva a duplicare il valore del PIL italiano stimato nel 2020, considerando le perdite economiche dirette e quelle indirette dovute al furto di proprietà intellettuale. È urgente che siano ripensate a fondo le logiche di contrasto e mitigazione di queste minacce, e che siano messe in campo le risorse ne-
Photo by Bit Cloud on Unsplash
DATI IN VENDITA SUL DARK WEB, IL FENOMENO È IN CRESCITA
La pandemia è stata per i criminali informatici una gallina dalle uova d’oro, che ha offerto innumerevoli nuove occasioni di attacco. Ne è un chiaro segnale l’aumento degli attacchi finalizzati al furto di dati personali (username, password, indirissi email personali e aziendali, numeri di telefono, numeri di carte di pagamento), cresciuti del 56,7% nel secondo semestre del 2020 rispetto alla prima metà dell’anno, stando ai dati dell’Osservatorio Cyber di Crif. Le tempistiche di questa tendenza mostrano come i criminali abbiano approfittato non solo dei primi momenti di confusione, e dunque di smart working improvvisato, seguiti al lockdown di marzogiugno 2020. Hanno, invece, continuato a sferrare attacchi anche nei mesi seguenti, sfruttando il fatto che il tempo trascorso online per lavorare, connettersi con il mondo, fare acquisti e fruire contenuti è cresciuto in tutto il mondo. Sul totale dei dati reperiti sul dark Web dall’Osservatorio di Crif, il 51,5% dei casi riguardava account di piattaforme di intrattenimento, in particolare di videogioco e di contenuti streaming. L’ingrato balzo in avanti riguarda però i social network, la cui percentuale è passata dall’1,6% del primo semestre al 31,8% del secondo. Cattiva notizia è che nel furto di credenziali (email e password associate a un profilo) l’Italia è al sesto posto nella classifica mondiale dei Paesi più colpiti nel 2020, dopo Stati Uniti, Russia, Francia, Germania e Regno Unito. Per quanto riguarda il furto di dati di carte di credito, nella lista mondiale dei Paesi con il maggior numero di vittime siamo undicesimi. Quelli reperiti sul Dark Web da Crif sono prevalentementi dati di account di posta elettronica personali, ma si nota una certa accelerazione nelle violazioni di account business, che nel giro di sei mesi sono cresciute del 27,8%.
cessarie a impedire che l’adozione sempre più spinta e capillare dell’Ict, di per sé auspicabile, possa trasformarsi in un boomerang sul piano geopolitico, sociale ed economico”. La monetizzazione dell’attività informatica illegale deriva da diversi meccanismi: riscossione diretta di “riscatti” (come nel caso dei ransomware), furto di credenziali bancarie e di carte di pagamento, compravendita di dati personali o dati di login e spionaggio industriale, per citare i principali. I casi di cybercrimine, ovvero operazioni finalizzate al furto di denaro o dati monetizzabili, hanno rappresentato l’81% degli episodi censiti. Gli attacchi finalizzati al cyberspionaggio sono numericamente inferiori, cioè il 14% del totale, ma hanno un livello di gravità più alto della media.
Bersagli e tecniche d’attacco
Dal punto di vista dei bersagli colpiti, un quinto dei casi rientra nella categoria dei “target multipli”: si tratta di attacchi rivolti in parallelo verso obiettivi molteplici e condotti secondo una logica “industriale”. Seguono, tra i settori più colpiti, quello governativo e militare (inclusivo anche di forze dell’ordine e intelligence, 14% degli attacchi), sanità (12%), ricerca e istruzione (11%), servizi online (19%), banche e servizi finanziari (8%), produttori di tecnologie hardware e software (5%) e infrastrutture critiche (4%). L’arma più utilizzata nel 2020 è stata, come da tradizione, il malware: è protagonista nel 42% dei casi. Una sottocategoria è rappresentata dai ransomware, programmi infetti che bloccano con crittografia o altri metodi l’accesso ai contenuti sul dispositivo infettato, al fine di chiedere un riscatto: nel 2019 erano il 20% del totale degli attacchi gravi, nel 2020 il 29%. Seguono, fra le metodologie di assalto più popolari, quelle che il Clusit classifica come “tecniche sconosciute” (spesso usate per realizzare data breach), il phishing e il social engineering (insieme, hanno un’incidenza del 15%), gli exploit di vulnerabilità note (10%).
La variabile dello smart working
Come in precedenti edizioni, il report è arricchito da dati relativi all’Italia, frutto delle analisi del Security Operations Center di Fastweb: sull’infrastruttura dell’operatore, costituita da oltre 6,5 milioni di indirizzi IP pubblici, nel 2020 si sono verificati oltre 36 milioni di eventi di sicurezza. Una cifra in netta flessione rispetto a quella del 2019, ma attenzione: non è necessariamente una buona notizia. Si tratta, piuttosto, di un segnale di come i criminali informatici abbiano dirottato parte delle loro attenzioni dalle reti aziendali a quelle domestiche, oggi diventate veicolo di smart working come mai prima d’ora. In molti casi, spiega il Clusit, per improvvisare un ufficio domestico i lavoratori hanno dovuto arrangiarsi con i propri dispositivi personali, più esposti al rischio di infezioni malware rispetto ai computer aziendali. Dunque nel 2020 gli attacchi indirizzati ai dispositivi personali in Italia sono raddoppiati, raggiungendo un conteggio di 85mila. V.B.
Studi di Palo Alto e di Cyberark evidenziano legami tra l’incremento del ricorso al cloud e la crescita di incidenti di sicurezza. Di chi è la colpa?
PIOGGIA DI ATTACCHI SULLA NUVOLA
Il cloud è stato, finora e soprattutto durante il primo lockdown del 2020, uno degli “eroi” che meglio hanno saputo tamponare i danni della difficile situazione: grazie alle sue infrastrutture e ai suoi servizi, le aziende di tutto il mondo hanno potuto continuare a operare con una certa continuità, anche nel periodo di massime restrizioni e chiusure. Ma la nuvola ha i suoi lati oscuri. Più che per debolezze intrinseche, soprattutto per il modo in cui viene utilizzato, il cloud può diventare facile bersaglio degli attacchi informatici, in particolare di quelli che vanno a caccia di dati aziendali. Un recente studio di Palo Alto Networks, titolato “Cloud Threat Report H1 e mitigarne i rischi”. Migrare in cloud è relativamente facile e veloce, insomma, ma forse bisognerebbe dedicare più attenzione ai rischi nascosti anziché piangere poi sul latte versato. E quali siano questi rischi non è certo un mistero. Il cloud non è privo di complessità tecniche, soprattutto per quanto riguarda le configurazioni delle risorse: a detta di Palo alto, il 65% degli incidenti di sicurezza nel cloud divulgati pubblicamente è stato causato proprio da configurazioni errate. Questo problema si associa al fatto che troppo spesso i test di sicurezza non vengano inclusi nelle prime fasi del processo di sviluppo e rilascio del software, ma soltanto alla fine. “Le aziende”, scrive Palo Alto,
2021”, evidenzia il legame tra l’incremento della spesa in cloud computing nel corso del 2020 e gli incidenti di sicurezza diretti verso questa sfera, sempre più ampia, dell’universo digitale. Superato l’iniziale shock, che ha messo in pausa alcuni investimenti, da aprile in poi le aziende hanno premuto l’acceleratore sui propri piani di migrazione. “La nostra ricerca indica che gli incidenti di sicurezza cloud sono aumentati di un sorprendente 188% nel secondo trimestre del 2020”, si legge nel report. “Nonostante le organizzazioni avessero spostato rapidamente più workload nel cloud in risposta alla pandemia, hanno affrontato difficoltà molti mesi dopo per automatizzare la sicurezza del cloud
“hanno trascurato gli investimenti nella governance del cloud e nei controlli di sicurezza automatizzati necessari per garantire che i workload siano protetti quando si spostano nel cloud. Inoltre, hanno creato seri rischi di business, come l’esposizione di dati sensibili non crittografati su Internet e potenziali violazioni”. Il report evidenzia che il 30% delle organizzazioni espone su Internet contenuti sensibili, come informazioni di identificazione personale, proprietà intellettuale, dati sanitari o finanziari. Chiunque conosca o indovini gli Url delle pagine Web potrebbe accedere a questi dati, che spesso sono in forma non crittografata. La soluzione? Definire un programma di sicurezza cloud focalizzato su tutte le fasi del ciclo di vita dello sviluppo del software. A completare il quadro c’è uno studio qualitativo di CyberArk, titolato “Ciso View 2021 Zero Trust and Privileged Access”, per cui sono stati intervistati (da Robinson Insight) dodici senior executive di sicurezza di aziende Global 1000. La quasi totalità, cioè il 97% degli interpellati, crede che gli attacchi oggi siano sempre più focalizzati sul furto delle credenziali degli utenti, e lo smart working è la principale causa del fenomeno. Il problema non risiede tanto nel cloud in sé, ma nel fatto che venga usato da persone che si trovano all’esterno delle reti aziendali, che non sono protette da firewall, che non fanno ricorso a Vpn, che si collegano a Internet tramite Pc con sistemi operativi non aggiornati e quindi più vulnerabili agli attacchi. Per l’88% degli intervistati è importante o molto importante adottare più di un approccio “zero trust”, cioè prevedere varie procedure di verifica dell’identità di un utente che chiede di accedere a una risorsa. “In base alla nostra esperienza, in Italia l’adozione dello zero trust è ancora in fase iniziale”, evidenzia Paolo Lossa, country sa-
UNA CLASSIFICA NON LUSINGHIERA
L’Italia guadagna posizioni nella classifica mondiale dei Paesi più colpiti dai malware. Nei monitoraggi di Trend Micro, effettuati mensilmente attraverso la rete di intelligence dell’azienda (fatta di 250 milioni di sensori, i quali bloccano una media di 65 miliardi di minacce all’anno, provenienti per il 90% dalla posta elettronica), nell’intero 2020 la quantità dei malware indirizzati verso l’Italia ci collocata al settimo posto tra i Paesi più colpiti al mondo. A gennaio del 2021 eravamo quinti, mentre nel mese di febbraio eravamo saliti al quarto posto, preceduti soltanto da Giappone, Stati Uniti e India. A febbraio hanno colpito lo Stivale più di 4,6 milioni di malware, diretti in particolare verso i settori manifatturiero, sanità e Pubblica Amministrazione. Molto attivo è stato Downad, anche noto come Conficker: un trojan bancario “storico”, la cui scoperta risale addirittura al 2008, che si diffonde sulle reti di sistemi Windows. Tra le minacce rivolte verso gli utenti consumer, invece, al primo posto per diffusione c’era Dridex, un malware specializzato nel sottrarre credenziali bancarie.
les manager di CyberArk Italia. “I Ciso ne riconoscono fortemente la necessità, soprattutto alla luce dell’incremento del lavoro da remoto, ma allo stesso tempo l’infrastruttura legacy e le limitazioni di budget rappresentano una sfida per procedere velocemente nel breve periodo. Tuttavia, l’evoluzione del cloud e il nuovo paradigma creato a seguito della pandemia agiranno sicuramente come acceleratori, e credo che partendo da settori specifici come telco, finanza e utility, nei prossimi anni ci sarà una forte adozione”. V.B.
QUATTRO ITALIANI SU DIECI CEDONO AI RICATTI DEL RANSOMWARE
Non sono pochi gli italiani vittime di attacchi ransomware che si piegano alle richieste dei cybercriminali. Lo studio “Consumer IT Security Risks Survey”, condotto da Kaspersky su 15.070 persone in trenta Paesi del mondo, svela che nel nel 2020 il 39% degli italiani vittima di ransomware ha pagato il riscatto per ottenere nuovamente l’accesso ai propri dati. Fra costoro, il 43% non ha comunque recuperato le informazioni cifrate, segno della elevata inaffidabilità degli autori del ricatto. “Purtroppo, pagare non garantisce nulla, anzi incoraggia i criminali informatici a proseguire con i loro attacchi e consente a questa pratica di prosperare”, ha commentato Marina Titova, head of consumer product marketing di Kaspersky. “Per proteggersi, gli utenti dovrebbero prima di tutto investire nella protezione e nella sicurezza dei propri dispositivi e fare regolarmente il backup di tutti i dati”. Indipendentemente dal fatto di essersi piegati oppure no al pagamento del riscatto, in Italia solo l’11% delle vittime di ransowmare è stato in grado di ripristinare tutti i file crittografati o bloccati.
