Cyber security 2023, aumentano gli attacchi
(Ansa)
Cyber Security

Cyber security: anche nel primo trimestre 2023 aumentano gli attacchi

La distribuzione geografica delle vittime delle cybergang vede l’Italia posizionata al sesto posto mondiale per numero di aziende colpite, con un totale di 26

Il primo trimestre del 2023 ha registrato un aumento significativo degli attacchi informatici mirati al furto di dati e richieste di riscatto. 898 le vittime di attacco ransomware in 79 paesi diversi, con una crescita del 19% rispetto al trimestre precedente ed un aumento del 161% delle vittime di ransomware tra gennaio e marzo 2023, si è passati infatti dai 175 attacchi ai 475.

Questi i numeri che colpiscono, stando al recente Report ransomware di Swascan, società parte del polo cyber Tinexta Group, dedicato a questo fenomeno nel Q1 del 2023. Il SOC & Threat Intelligence Team della società milanese ha infatti condotto un’analisi delle attività ransomware rilevate tramite Threat Intelligence, facendo particolare attenzione al profilo delle vittime prese come obiettivo dalle gang di criminal hackers.

La distribuzione geografica delle vittime delle cybergang vede l’Italia posizionata al sesto posto mondiale per numero di aziende colpite, con un totale di 26. Stiamo parlando di un forte aumento rispetto al quarto trimestre del 2022, pari all’85,7%, questo ad indicare la necessità urgente di adottare misure di sicurezza adeguate a proteggere le aziende italiane dalle minacce del ransomware.

Le gang ransomware continuano ad essere la minaccia predominante nel panorama della cyber criminalità, causando danni economici e reputazionali significativi.

Nel complesso, nel primo trimestre del 2023 si è osservato un aumento del numero di vittime e degli attacchi ransomware rispetto al trimestre precedente. Le cybergang più attive sono state LockBit con 227 attacchi, seguita da CLOP con 106 e da ALPHV/BlackCat con 94.

Si tratta di un mondo in costante evoluzione, con alcuni gruppi in rapida ascesa e altri che subiscono un calo. Questo è il caso di Vice Society, che ha visto una crescita del 267% nella sua attività di attacco, concentrato sui settori sensibili e in particolare sull'istruzione, mentre ALPHV ha invece registrato un calo del 25% degli annunci da dicembre a gennaio.

Phishing


Sempre nel report, vengono analizzati anche gli attacchi tramite e-mail truffa (pishing). In particolare, gli attacchi di spear-phishing, Business E-mail Compromise (BEC) ed E-mail Account Compromise (EAC) sono stati particolarmente diffusi, secondo gli esperti, particolarmente utilizzando tattiche di social engineering per ingannare i dipendenti delle aziende e ottenere accesso alle informazioni sensibili o installare malware.

Tra le principali esche utilizzate per ingannare gli utenti troviamo Facebook, risultato in testa alla lista con il 18% degli attacchi; Office365, con il 17% degli attacchi di phishing, seguito da Bet365 con l'11% e DHL con l'8%.

Malware

Anche i malware sono sempre più utilizzati in diversi modi per sostenere le aggressioni di ransomware: Trojan e Spyware sono usati per penetrare i sistemi delle vittime e raccogliere preziose informazioni, quali credenziali, password o accessi di sistema utili per poi lanciare attacchi ransomware più mirati, dannosi ed efficaci.

Al momento a risultare i più diffusi troviamo Hajime, con il 34% degli attacchi condotti tramite questo worm che si diffonde attraverso dispositivi IoT – smartphone, smartTV ed elettrodomestici di ultima generazione connessi a Internet – cercando di creare una rete botnet per aggredire altri sistemi, e Mirai, malware noto per essere stato utilizzato per attaccare dispositivi IoT in tutto il mondo, causando interruzioni di servizio e problemi di sicurezza, usato nel 33% dei casi. A seguire, al terzo posto RecordBreaker, con il 12% degli attacchi, e al quarto Gozi, con l'11% degli attacchi. Concludendo col quinto posto, Emotet con il 10% degli attacchi, il quale si diffonde principalmente attraverso e-mail di spam che contengono collegamenti o documenti dannosi.

CVE exploit

La catena di attacco ransomware, conosciuta come "cyber kill chain", comprende diverse fasi come la ricognizione, la weaponization, la delivery, l'exploitation, l'installazione, il comando e controllo e le azioni sugli obiettivi.

I vettori principali utilizzati per diffondere il ransomware sono i già citati phishing e malware, ma anche lo sfruttamento di vulnerabilità (CVE).

Gli exploit delle vulnerabilità note come CVE sono stati utilizzati per diffondere il ransomware e infettare i sistemi compromessi. Nel primo trimestre del 2023, il SOC & Threat Intelligence Team di Swascan ha identificato le CVE più rilevanti, analizzate nel report, che potrebbero consentire agli attaccanti di eseguire codice arbitrario e distribuire ransomware o malware come Information Stealer o RAT.

Focus sulle PMI e cosa ci aspetta il futuro


Uno dei dati che emergono da questo report è chiaramente la presenza di attacchi ransomware concentrati principalmente sulle piccole e medie imprese (l’80% degli attacchi ha infatti come obiettivo le aziende con un fatturato inferiore ai 250 milioni di euro, mentre il 62% degli attacchi ha riguardato realtà con meno di 500 dipendenti).

Quanto riportato in questo studio ci dà un'idea degli scenari futuri di evoluzione del mondo del cybercrime.

Per contrastare la continua crescita di questo mondo, è necessario quindi giocare d'anticipo, in particolare anticipando i vettori d'attacco e agendo in maniera preventiva e proattiva sui singoli passaggi della cyber kill chain prima che vengano conclusi nella loro interezza.

Ciò richiede non solo misure tecniche di sicurezza predittiva, preventiva e proattiva, ma anche una generale e diffusa opera di sensibilizzazione riguardo alle minacce, sia nel settore privato che in quello pubblico.

È auspicabile inoltre che, per quanto riguarda il nostro sistema-Paese, non si fermi l'opera di supporto alla difesa cibernetica delle aziende. Quanto di buono è stato fatto, e verrà fatto, tramite il PNRR (Piano Nazionale di Ripresa e Resilienza), potrebbe essere affiancato da un'ulteriore defiscalizzazione degli investimenti nel campo della cybersecurity.

Il commento del CEO di Swascan


Anche il CEO di Swascan, Pierguido Iezzi, fa notare che: "Quanto riportato in questo studio ci dà un’idea degli scenari futuri di evoluzione del mondo del cyber crime. Per contrastare la continua crescita di questo mondo è necessario quindi giocare d’anticipo, in particolare andando ad anticipare i vettori d’attacco e agendo in maniera preventiva e proattiva sui singoli steps della cyber kill chain prima che vengano conclusi nella loro interezza”.

“Questo passa non solo per le misure tecniche di sicurezza predittiva, preventiva e proattiva, ma anche attraverso una generale e diffusa opera di sensibilizzazione nei confronti delle minacce. Sia nel mondo del privato sia nel mondo del pubblico”.

“È anche auspicabile che, per quanto riguarda il nostro sistema-Paese, non si fermino le opere in supporto alla difesa cyber delle aziende. Quanto di buono è stato fatto – e verrà fatto – tramite il PNRR, potrebbe essere affiancato da un’ulteriore defiscalizzazione degli investimenti nel campo della cyber security”.

I più letti

avatar-icon

Redazione Panorama