PMI nel mirino della criminalità informatica

Oltre 750 obiettivi attaccati in 77 paesi nel quarto trimestre di quest’anno, in crescita del 38% rispetto al primo trimestre del 2022. 41 i gruppi ransomware che utilizzano il data leak in attività censiti tra ottobre e dicembre, con una crescita del 13% rispetto ai 36 del trimestre precedente e del 17% rispetto a inizio anno. Un totale di 2704 vittime nel corso dell’intero anno, ben 817 delle quali ad opera della sola a gang LockBit.

Questi i dati del rapporto sulle attività cybercriminali nel quarto trimestre 2022 condotto dal SOC & Threat Intelligence Team di Swascan, che ha intrapreso un’analisi del profilo delle vittime finite in tutto il mondo nel mirino delle gang di Criminal Hackers tra i mesi di ottobre e dicembre dell’anno scorso. In questo studio, pertanto, sono state considerate le sole aziende che, avendo scelto di non pagare il riscatto richiesto, hanno visto pubblicati i propri dati sui siti di data leak. In particolare, sono stati raccolti i dati che riguardano le vittime delle 15 gang Ransomware più attive nel quarto trimestre del 2022.

Le aziende più piccole tra le vittime preferite

Il fenomeno più allarmante del 2022 per il sistema Italia, tuttavia, è l’intensificazione degli attacchi verso le PMI, rivelatesi assai più vulnerabili rispetto alle grandi organizzazioni. Ben l’80% degli attacchi ha riguardato imprese con un fatturato inferiore a 250 milioni di euro, mentre il 51% delle realtà colpite ha meno di 100 dipendenti. L’analisi è stata condotta scegliendo a campione 10 aziende vittime per ognuna delle 10 gang ransomware che si sono distinte nel periodo intercorso tra ottobre e dicembre 2022, per un totale di 100 aziende analizzate. I dati sono poi stati aggregati in base al fatturato e al numero di dipendenti delle vittime.

“L’attenzione delle gang ransomware nei confronti della PMI italiana – commenta il CEO di Swascan, Pierguido Iezzi – va ricondotta alla maggiore facilità nel colpire questo settore, caratterizzato da investimenti proporzionalmente minori nella cybersicurezza, da competenze meno disponibili e da una differente sensibilità del personale riguardo le minacce della rete. Spesso poi queste aziende cedono più facilmente al ricatto, poiché i sistemi di backup spesso non sono configurati in sicurezza e di conseguenza vengono anch’essi crittografati: il pagamento del ricatto diventa allora l’unica via per poter riprendere l’operatività del business. Le PMI, oltre a essere un obiettivo più facile, garantiscono quindi una maggiore probabilità di guadagno”.

Un indizio importante al riguardo viene dalla diminuzione degli attacchi divenuti noti con la pubblicazione dei dati esfiltrati. Nel 2022 - a fronte di un aumento a livello globale degli attacchi cibernetici di tutti i tipi del 38% rispetto ai 12 mesi precedenti - il ransomware, considerando i dati l’ultimo trimestre del 2022 e comparandolo con l’anno precedente, registra un calo di attacchi con annesso data Breach del -23.7%. Tale discrepanza molto probabilmente è giustificata dal maggior numero di riscatti pagati dalle piccole e medie imprese colpite: l’attacco è avvenuto, ma essendo stato pagato il riscatto non è stato reso noto.

“Le PMI italiane – considera ancora Iezzi - sono un pilastro fondamentale del sistema Italia: i loro saperi, progetti e brevetti costituiscono informazioni preziose per i criminal hacker, facilmente rivendibili a potenze ostili o a industrie concorrenti. La perdita di questi dati rappresenta un danno competitivo a livello geopolitico nel medio e lungo termine. Da un lato servono aiuti concreti alle PMI per la cybersicurezza, mentre dall’altro vanno previste misure per ostacolare i pagamenti dei riscatti e disincentivare quindi l’operato dei cybercriminali”.

Se le PMI sono divenute il bersaglio preferito, le cybergang si sono frammentate e moltiplicate grazie al crollo delle barriere d’accesso alla criminalità informatica, dovuto alla disponibilità di codici malware frutto di data leak, del know-how dei componenti delle gang disciolte e degli strumenti di hacking in vendita o in affitto nel darkweb.

“Oggi è sempre più facile – osserva l’esperto – imbattersi in nuovi attori o collettivi che mutano di settimana in settimana. Il cybercrime si è democratizzato grazie all’”effetto Idra”: da ogni gang sconfitta ne sorgono molte altre, spesso più spregiudicate e criminalmente meno professionali, con tutti i rischi che ne conseguono”.

Il caso NoName057 e i pericoli che arrivano da est

In questa settimana ha fatto anche molto parlare il caso dei massicci attacchi DDoS lanciati contro i siti delle istituzioni italiane. Ma secondo il CEO di Swascan, questo potrebbe essere solo un assaggio: "le attività di gruppi come NoName057 o Killnet – per citarne solo alcuni – sono state, fino a questo momento, sostanzialmente limitate al disturbo. Il DDoS (l’arma prescelta da questi collettivi di partigiani digitali), per quanto possa causare danni economici limitati e disagi nel breve termine, rimane una dichiarazione d’intenti più che un vero attacco. Il rischio di escalation, però, non è da sottovalutare. Ormai ci siamo abituati a questi attacchi di DDOS, dove il vero rumore è per la tipologia del target e non per l’attacco”.

Ma, secondo l’esperto, non è solamente “in alto” dove si deve rivolgere lo sguardo di chi cerca di interrompere questi attacchi: “c’è il rischio concreto che i gruppi antagonisti e relativi collettivi potrebbero testare nuovi metodi di attacco per rinnovare e aumentare il loro messaggio. Attacchi più distruttivi. Una escalation che non vedrà immediatamente coinvolte infrastrutture critiche o aziende strategiche; il rischio che venga visto come una aggressione militare sarebbe troppo alta. Potrebbero essere le entità più piccole nel nostro territorio, strutture o aziende che non siano altisonanti come quelle oggetto dell’attuale attacco in corsa, le PMI. Vere e proprie cavie nel verificare e testare la reaction di un paese. Ecco in questo contesto e scenario i wiper, malware che cancellano i dati, sarebbero la nuova arma digitale".