Attacchi e crimini informatici in crescita. Ed evolvono i modi e gli attori sullo scenario della sicurezza e della criminalità informatica. Il fenomeno è letto da Clusit, l’Associazione Italiana per la Sicurezza Informatica che nel Rapporto 2022 analizza i dati degli incidenti informatici su scala globale degli ultimi 12 mes.
Nel 2021 sono stati registrati 2.049 cyber attacchi gravi : si tratta di un aumento che sfiora il 10% rispetto all’anno precedente, per una media mensile di 171 attacchi, il valore più elevato mai registrato. Ma, rileva Clusit, certamente la situazione effettiva è ben peggiore, data la tendenza complessiva delle vittime a mantenere, ove possibile, riservati gli attacchi cyber subìti. Un fenomeno evidente ancora oggi in Europa, anche a fronte di normative ormai consolidate, quali il Regolamento GDPR e la Direttiva NIS.
Un fronte caldo, che potrebbe diventare bollente, è quello della vera e propria ciber war, alla luce del conflitto in corso in Ucraina, se solo la Russia aprisse a significativi interventi in questo campo. “In questa logica – dice Claudio Telmon, del Comitato Direttivo Clusit – il rischio è che vengano utilizzate, ad esempio, vulnerabilità non ancora diffuse (0-day), che esporrebbero non tanto le infrastrutture critiche più mature, quanto quelle non ancora strutturate per affrontare questi problemi. Per questo, Clusit ribadisce che è fondamentale che imprese ed istituzioni italiane seguano con attenzione le indicazioni che vengono tempestivamente fornite dal CSIRT nazionale. Grazie al continuo coordinamento con attori a livello europeo ed internazionale, il Computer Security Incident Response Team italiano dispone infatti di informazioni essenziali, a cui altre fonti potrebbero non avere accesso. L’innalzamento dei livelli di allerta, come quello diffuso per la giornata di ieri, 6 marzo, è una prassi fondamentale in momenti di tensione come quelli che stiamo vivendo, e ha l’obiettivo di suggerire alle organizzazioni azioni per per risolvere vulnerabilità o individuare con sufficiente celerità eventuali attacchi, per evitare che possano determinare conseguenze gravi. Il consiglio di Clusit è sempre di dare seguito alle azioni suggerite per incrementare preventivamente il livello di sicurezza e non, come spesso accade, solo dopo che l’impatto si è verificato“.
Gli attacchi crescono in quantità e in “qualità”. Nel 2021 il 79% degli attacchi rilevati ha avuto un impatto “elevato”, contro il 50% dello scorso anno. In dettaglio, il 32% è stato caratterizzato da una severity “critica” e il 47% “alta”. Diminuiti, invece, gli attacchi di impatto “medio” (-13%) e “basso” (-17%).
Nel 2021 è aumentato in maniera netta anche l’indice di gravità degli attacchi analizzati, agendo da significativo moltiplicatore dei danni, stimati per il 2021 in 6 trilioni di dollari (da 1 trilione di dollari stimato per il 2020) . “Si tratta di una crescita drammatica, con un tasso di peggioramento annuale a 2 cifre, per un valore già pari a 4 volte il PIL italiano – commenta Andrea Zapparoli Manzoni, membro del Comitato Direttivo Clusit -. Non è più possibile procrastinare l’adozione di contromisure efficaci e i necessari investimenti. Le risorse allocate dal PNRR dovranno a nostro parere essere gestite con una governance stringente in ottica cyber security di tutti i progetti di digitalizzazione previsti, valorizzando finalmente le competenze cyber delle risorse umane del Paese”.
Il cybercrime si conferma la motivazione dell’86% dei cyber attacchi, in crescita rispetto al 2020 (+5%), un trend che non accenna a diminuire. Tra gli attacchi gravi di dominio pubblico, l’11% è riferibile ad attività di Espionage e il 2% a campagne di Information Warfare.
L’obiettivo più colpito non è più quello dei “Multiple targets”, i cyber criminali non colpiscono più in maniera indifferenziata obiettivi molteplici, ma mirano a bersagli precisi: al primo posto l’obiettivo governativo/militare, con il 15% degli attacchi totali, in crescita del 3% rispetto all’anno precedente; segue il settore informatica, colpito nel 14% dei casi e stabile rispetto al 2020; gli obiettivi multipli (13%, in discesa dell’8%) e la sanità, che rappresenta il 13% del totale degli obiettivi colpiti, in crescita del 2% rispetto ai dodici mesi precedenti. L’8% del totale degli attacchi è stato rivolto nel 2021 al settore dell’istruzione, che rimane sostanzialmente stabile rispetto al 2020 (-1%).
Nel quadro complessivo, i cyber attacchi nel 2021 sono stati mirati e meglio tarati per colpire bersagli specifici appartenenti a tutti i settori: “È interessante notare che la differenza tra le percentuali dei settori più colpiti si assottiglia: per la prima volta non vediamo categorie di vittime prese di mira in modo particolare rispetto ad altre. È invece evidente che i cyber attacchi stanno colpendo tutti i settori, in maniera sostanzialmente uniforme, e al tempo stesso più selettiva, la ‘pesca a strascico’ indifferenziata sta diminuendo”, afferma Sofia Scozzari, membro del Comitato Scientifico Clusit.
I Malware – e in particolare il Ransomware – si riconfermano gli strumenti preferiti dei cyber criminali per generare profitti e rappresentano, come nel 2020, il 41% delle tecniche utilizzate. Seguono tecniche “Unknown” , per lo più relative a casi di Data Breach, utilizzate nel 21% dei casi, le vulnerabilità note (16% dei casi) e Phishing / Social Engineering, tecnica utilizzata nel 10% degli attacchi.
I cyber criminali da una parte sono sempre più sofisticati e cercano nuove vie per riuscire a penetrare meglio nei sistemi individuati come obiettivi, come per esempio è stato per gli attacchi di phishing a tema Covid-19, o i crescenti attacchi realizzati alterando la supply-chain di importanti organizzazioni, con ripercussioni globali. Tuttavia, sanno anche di poter contare su mezzi più tradizionali, come le vulnerabilità note, che non sempre vengono rimediate con la celerità necessaria. “L’aspetto più preoccupante è che, a differenza dei difensori, i criminali oggi collaborano attivamente tra loro – commenta la Scozzari – . Si sono ormai consolidati dei cartelli di servizi criminali identificabili, come ‘Ransomware as a Service’. Significa che chi utilizza il ransomware non è più necessariamente chi lo ha progettato, né un esperto di sistemi come ci aspetteremmo da un ‘tradizionale’ cyber criminale. Pensiamo che si tratti a questo punto di vera e propria criminalità organizzata, che ha capito quanto i crimini cyber possono essere remunerativi”.
Gli attacchi classificati dai ricercatori di Clusit si sono verificati nel 45% dei casi ancora nel continente americano (in calo del 2% rispetto al 2020).
Sono invece cresciuti gli attacchi verso l’Europa, che superano un quinto del totale (21%, +5% rispetto all’anno precedente), e verso l’Asia (12%, +2% rispetto al 2020). Resta sostanzialmente invariata la situazione degli attacchi verso Oceania (2%) e Africa (1%). In diminuzione gli attacchi verso location multiple, che costituiscono il 19% del totale (-5% rispetto al 2020). “Abbiamo indicazione che gli attacchi cyber nel 2021 sono stati più mirati, con una crescita in Europa ed Asia”, puntualizza la Scozzari.
Fastweb presenta all’interno del Rapporto Clusit l’analisi dei fenomeni più rilevanti elaborata dal proprio Security Operations Center (SOC): nel corso del 2021 è stato registrato in Italia un aumento generalizzato degli attacchi informatici. In dettaglio, dall’analisi sull’infrastruttura di rete di Fastweb, costituita da oltre 6,5 milioni di indirizzi IP pubblici su ognuno dei quali possono comunicare centinaia di dispositivi e server, si sono registrati oltre 42 milioni di eventi di sicurezza, con un aumento del 16% rispetto agli eventi rilevati nel 2020.
Tra i trend più rilevanti del 2021 si osserva la continua crescita dei malware e botnet, con un numero di server e device compromessi che fa segnare un netto +58%. Riguardo alla distribuzione geografica dei malware, nel 2021 si rileva un aumento del numero di attacchi da server ospitati in Europa rispetto agli Stati Uniti.
Fastweb, inoltre, quest’anno ha monitorato le minacce afferenti ai servizi Mail che vedono una continua crescita. Il vettore d’attacco principale è l’utilizzo di URL malevoli, con l’87% sul totale, in crescita dell’11%. In aumento, secondo Fastweb, anche i fenomeni fraudolenti che sfruttano il servizio SMS, dovuti in particolare alla diffusione di malware, quali Flubot, veicolati attraverso smishing (il phishing via SMS) e che espongono inoltre gli utenti a molteplici rischi in ambito Privacy.
La Russia è un paese in guerra e, qualora decidesse di agire contro il nostro Paese, lo farebbe senza dubbio nella stessa ottica di guerra. L’Europa e la NATO stanno agendo prima di tutto attraverso le sanzioni e, se non ci sarà un’ulteriore escalation dal lato militare, quello della cyber war sarà certamente uno dei fronti su cui la Russia potrà cercare di aumentare la tensione.“In questa logica, il rischio è che vengano utilizzate, ad esempio, vulnerabilità non ancora diffuse (0-day), che esporrebbero non tanto le infrastrutture critiche più mature, quanto quelle non ancora strutturate per affrontare questi problemi. Per questo, Clusit ribadisce che è fondamentale che imprese ed istituzioni italiane seguano con attenzione le indicazioni che vengono tempestivamente fornite dal CSIRT nazionale. Grazie al continuo coordinamento con attori a livello europeo ed internazionale, il Computer Security Incident Response Team italiano dispone infatti di informazioni essenziali, a cui altre fonti potrebbero non avere accesso. L’innalzamento dei livelli di allerta, come quello diffuso per la giornata di ieri, 6 marzo, è una prassi fondamentale in momenti di tensione come quelli che stiamo vivendo, e ha l’obiettivo di suggerire alle organizzazioni azioni per per risolvere vulnerabilità o individuare con sufficiente celerità eventuali attacchi, per evitare che possano determinare conseguenze gravi. Il consiglio di Clusit è sempre di dare seguito alle azioni suggerite per incrementare preventivamente il livello di sicurezza e non, come spesso accade, solo dopo che l’impatto si è verificato”
– Claudio Telmon, Comitato Direttivo Clusit.