Cyber crime: i conti si fanno con …

Qualcuno direbbe con l’oste, ma oggi anche con i criminali che scorrazzano sulle reti di mezzo mondo. In ogni caso di mezzo ci sono sempre i numeri, e questa settimana ho preso visione di quelli del “2022 Falcon OverWatch Threat Hunting Report”. Come sempre le notizie sono… cattive.

Partiamo con una prima indicazione generale: i tentativi di intrusione sono aumentati del 50 per cento rispetto allo stesso periodo dello scorso anno. Si tratta di un’indicazione sostanzialmente in linea con quella riportata da altri report. Un secondo dato interessante riguarda la natura degli attacchi. Molto prudentemente, i redattori del report indicano come nel 38 per cento dei casi non sia possibile un’attribuzione certa degli attacchi, mentre nel 34 per cento si tratta di azioni criminali tipicamente con fini estorsivi, mentre nel 18 per cento è stato possibili risalire a gruppi “state sponsored”. Quest’ultima percentuale è in crescita rispetto al passato, con ogni probabilità in relazione al conflitto russo-ucraino.

Ma veniamo a quello che personalmente considero il dato di maggiore interesse.

Il 71 per cento delle attività svolte dai criminali per violare i sistemi obiettivo non contemplano l’utilizzo di malware. Secondo i redattori, sempre più spesso gli attori criminali dispongono di credenziali valide per accedere e sono diventati molto abili nello sfruttare in brevissimo tempo le vulnerabilità che vengono scoperte dai ricercatori. Questo significa almeno due cose. In primo luogo, esiste una grande disponibilità di dati che permettono di essere molto efficienti agli IAB, le organizzazioni specializzate nel fornire le informazioni che permettono il primo accesso. A questo ha senza dubbio contribuito anche il circolo vizioso derivante dal sistema della “double exstorsions”. I dati vengono esfiltrati, la vittima non paga, le informazioni vengono divulgate e quindi forniscono nuova materia prima agli IAB. Tuttavia in generale gli utenti restano il primo target e si dimostrano sempre molto “volenterosi” nell’aiutare i delinquenti. Secondo elemento da tenere in considerazione è legato alle vulnerabilità che immediatamente entrano nel circolo delle organizzazioni criminali, che si dimostrano molto più rapide di quanto non lo siano le organizzazioni a correggere “bug”. Non potete immaginare quanto sia deprimente ripetere per venti anni le stesse cose ovvero“ lavoriamo sul fattore umano e aggiorniamo i sistemi” e avere più di un sospetto che nessuno vi ascolti.