Più sofisticati, più precisi ma, soprattutto, sempre più organizzati. Così si potrebbero riassumere i principali tratti somatici dei cyber attacchi che emergono dal nuovo Global Threat Report 2023 pubblicato oggi da CrowdStrike.

“La tendenza che immediatamente colpisce riguarda l’aumento degli attacchi privi di malware – afferma Luca Nilo Livrieri, senior manager, sales engineering Southern Europe di CrowdStrike Sono arrivati a rappresentare il 71% del globale, rispetto al 62% dell’anno passato. Questo significa che i cyber criminali si stanno sempre più focalizzando su attacchi che non hanno all’interno un file binario, ma che invece sfruttano tool che sono già all’interno della macchina del bersaglio”.

Questo però non limita l’efficacia. Tutt’altro. Infatti, è sceso da 98 minuti a 84 minuti il tempo medio di breakout, ovvero l’intervallo che intercorre da quando il cyber criminale entra nei sistemi aziendali e riesce a effettuare il primo spostamento laterale. “Per limitare al massimo i danni – sottolinea Livrieri – la risposta all’attacco dovrebbe avvenire in quegli 84 minuti, secondo un formula che definiamo dell’1-10-60, ovvero un minuto per avere una detection, 10 minuti per completare l’investigazione e 60 minuti per effettuare una remediation. Purtroppo, invece, in Italia il tempo medio per accorgersi che è in atto un attacco è di 112 ore. Questo perché, per non essere identificati, gli attaccanti si muovono all’interno dei sistemi usando strumenti del tutto leciti. Al contrario di quanto invece avviene, per esempio, con un ransomware, che ha un impatto immediato e può essere facilmente identificato perché usa precise modalità di approccio come la rinomina o la cifratura dei file.

Sempre più diffusa la doppia estorsione

Ciò comporta anche che gli attori dell’eCrime sempre più spesso non si accontentino più solo del pagamento dei riscatti per le monetizzazioni. Ora assistiamo al fenomeno della doppia estorsioneprecisa Livrieri – C’è una prima fase di data breach, tramite la quale vengono rubati i dati. Solo successivamente sono cifrati e resi inaccessibili. In questo modo, c’è la possibilità di chiedere una sorta di doppio riscatto nei confronti del target. Perciò l’azienda deve pagare prima per avere di nuovo il ripristino delle funzionalità e poi per riavere i dati o far si che non vengano divulgati o venduti”. Il 2022 ha registrato un aumento del 20% del numero di avversari che conducono campagne di furto dei dati e di estorsione.

Una struttura ottimamente organizzata

Va evidenziato come ormai quella che ruota attorno ai riscatti pagati per riavere i propri dati sia una struttura criminale ottimamente organizzata. Oggi i gruppi criminali si dividono in tre grandi categorie: chi offre servizi per l’accesso ai sistemi (access broker), chi propone servizi di distribuzione dell’attacco e chi si occupa della monetizzazione.

Luca Nilo Livrieri, Senior Manager, Sales Engineering Southern Europe di CrowdStrike

Luca Nilo Livrieri, Senior Manager, Sales Engineering Southern Europe di CrowdStrike

“All’interno di queste categorie ci sono poi specifiche specializzazioni – sottolinea Livrieri – Quindi, c’è chi si occupa di vendere credenziali (è cresciuta del 112% in un anno la richiesta di credenziali sul dark web), chi offre servizi di hosting per i server dove ospitare i command control e poi c’è chi fornisce servizi di distribuzione, cioè è specializzato nel fare in modo che un attacco raggiunga il maggior numero di bersagli sfruttando, per esempio, phishing, smishing o WhatsApp (che spesso sono usati anche per eludere l’autenticazione multifattore). Inoltre, c’è chi è specializzato nel trasformare un attacco in un ritorno economico occupandosi del riciclaggio di denaro. Va infatti ricordato che oggi l’obiettivo finale di un attacco è principalmente un ritorno economico (46% dei casi)”.

Ci sono anche gruppi autosufficienti, che si fanno tutto in casa, però è molto più profittevole per gli attaccanti prendere i servizi e le specializzazioni di cui hanno bisogno da altri gruppi, lavorando come una vera e propria organizzazione criminale. Alcuni gruppi stanno usando anche l’intelligenza artificiale e c’è già chi c’è chi ha usato ChatGPT per avere un aiuto nel completamento di pezzi di codice per gli attacchi.

“Un tema interessante è la numerosità degli attaccanti e dei gruppi criminali che abbiamo tracciato – sostiene Livrieri – ora siamo oltre i 200 gruppi criminali. Per noi è fondamentale riuscire a fare un’attribuzione perché dietro ogni gruppo criminale c’è una motivazione forte con magari peculiarità relative anche ai settori che vengono più attaccati”.

CrowdStrike precisa sono stati rilevati 33 nuovi avversari e questo è il cambiamento più grande mai osservato dall’azienda in un anno, inclusi i gruppi altamente prolifici Scattered Spider e Slippy Spider che sono dietro molti dei recenti attacchi di alto profilo ai settori delle telecomunicazioni, BPO e della tecnologia.

Le vulnerabilità sono una sicurezza per i cyber criminali

Pur potendo disporre delle tecnologie più avanzate, i cyber criminali non disdegnano di ricorrere anche ai sistemi più datati ma ancora molto redditizi. Infatti, un aspetto da rimarcare è che stanno riutilizzando e ri-esplorando le vulnerabilità. A partire dalla fine del 2023, Log4Shell ha continuato a danneggiare internet, mentre vulnerabilità note e nuove, come ProxyNotShell e Follina – delle oltre 900 vulnerabilità e dei 30 zero day Microsoft –, sono state ampiamente sfruttate. In pratica, viene efficacemente sfruttato il fatto che non sono applicate correzioni alle vulnerabilità o non sono fatte in modo adeguato. E gli attacchi che fanno più danno spesso sono quelli che utilizzano vulnerabilità più vecchie di cui magari non si era a conoscenza o che, per qualche motivo, non sono state sanate. L’entità dei danni in cui si rischia di dover incorrere è molto elevata, sia in termini economici sia di immagine.

“Attenzione anche al cloud, – avverte Livrieri – è il nuovo campo di battaglia: in un anno c’è stato un aumento degli attacchi del 95%. Questo perché i gruppi criminali sfruttano risorse che un’azienda espone non solo al suo interno ma anche tramite terze parti, ampliando quindi notevolmente la superficie d’attacco e permettendo di raggiungere il maggior numero di bersagli possibili”.

L’impatto sulla cyber security del conflitto in Ucraina

Da ultimo un cenno sull’impatto informatico della guerra Russia-Ucraina: è stato importante, soprattutto nei primi periodi del conflitto, ma meno di quello che si temeva potesse essere. CrowdStrike ha comunque rilevato un aumento degli avversari Russia-Nexus che impiegano tattiche di raccolta di informazioni e anche ransomware falsi. E questo lascia intravedere la potenziale intenzione del Cremlino di ampliare il target dei settori e delle regioni in cui le operazioni distruttive sono considerate politicamente rischiose. E l’Italia non è esclusa.

“Per limitare il rischio la risposta è un mix di tecnologia e abilità umana – conclude Livrieri – È importante avere strumenti che, invece di segnalare semplici alert, forniscono degli incidenti. Questo vuol dire che all’interno di un record o di una attività sospetta si riesce a riuscire a capire quali sono le modalità che hanno causato l’incidente. Invece, di parlare semplicemente di indicatori di compromissione, come si faceva una volta, oggi si dovrebbe parlare indicatori di attacco. In azienda, poi, bisogna essere pronti e preparati a rispondere all’attacco. Dovrebbero essere eseguite delle esercitazioni sulla risposta all’attacco, un po’ come si fanno le esercitazioni antincendio. Più ci si prepara e più si è pronti a identificare, a prevenire e poi a rimediare”.