
I criminali digitali non conoscono sosta, e nemmeno in periodo COVID19 fermano le “ostilità” continuando ad attaccare e sfruttando proprio le parole chiave e le risorse on line legate all’informazione sulla pandemia, per infettare il maggior numero possibile di utenti.
D’altra parte, la Relazione Annuale del Sistema di Informazione per la Sicurezza della Repubblica diffuso ad inizio Marzo e l’Annuale Rapporto Clusit avevano fotografato una situazione di persistenza nell’incremento degli attacchi e tanto che dalla Relazione Annuale la minaccia Cyber si è confermata anche nel 2019 “strumento privilegiato per la conduzione di manovre ostili in danno di target, sia pubblici che privati, di rilevanza strategica per il nostro Paese”.
La relazione Annuale 2019
Fra le molteplici dimensioni che assume la minaccia alla sicurezza Nazionale, l’ambito Cyber da anni si è guadagnato una sezione dedicata, dal titolo “Documento di sicurezza nazionale” allegato alla Relazione Annuale (ai sensi dell’art.38, comma 1 bis, legge 124/2007 n.d.r.) presentata annualmente al Parlamento. Questo focus sulla Cybersecurity è motivato dalla crescente estensione degli attacchi coniugata all’uso della dimensione digitale come “target elettivo e, ad un tempo, di veicolo di manovre ostili di tipo convenzionale”.
Principalmente sono osservate dall’intelligence i diversi fenomeni con cui la minaccia si manifesta. Quest’anno emerge che sebbene l’hacktivismo, rappresenti il fenomeno numericamente più consistente (73%), in linea con gli ultimi anni, è immediatamente seguito dalle campagne digitali di matrice statuale (12%), che appaiono in leggero calo rispetto al 2018 per le probabili aumentate capacità di offuscamento usate dagli attori statuali. Le campagne di spionaggio digitale sono spesso riconducibili a gruppi strutturati con probabili legami o mandanti di tipo statuale. In particolare, i gruppi APT (Advanced Persistent Threat) continuano a privilegiare la compromissione dei sistemi di posta elettronica. Tra i target privilegiati si confermano i sistemi informatici di Pubbliche Amministrazioni centrali e locali per il 73%) dei casi. La principale finalità̀ di tali campagne verso enti pubblici ed enti privati del settore energetico è stata l’esfiltrazione di informazioni finalizzate a comprendere la postura cyber a livello italiano. Le tipologie di attacco hanno evidenziato un 64% di ricorso alle tecniche di SQL Injection per violare le infrastrutture delle vittime, seguite da un 41% di campagne di spear-phishing, tese probabilmente all’inoculazione di impianti malevoli, pari al 3,2%, di tipo web-shell e rootkit, solitamente impiegati per acquisire il controllo remoto delle risorse compromesse. Infine, anche nel 2019, la minaccia ibrida mediante è stata attuata mediante l’uso di strumenti cyber per indebolire la tenuta dei sistemi democratici occidentali.
Poiché la sicurezza nazionale e quella cibernetica appaiono indissolubilmente legate e poiché il mercato digitale italiano ed europeo è caratterizzato dalla mancanza di autonomia tecnologica, la Relazione evidenzia come siano state adottate normative per lo screening degli investimenti e screening tecnologico con particolare riferimentoall’istituzione delPerimetro di sicurezza cibernetica).
Il Rapporto Clusit
Secondo l rapporto Clusit edizione 2020, gli attaccanti sono mutati e da singoli e/o gruppetti di Cybercrime, sono oggigiorno rappresentati da molteplici “gruppi criminali organizzati transnazionali, che fatturano miliardi, multinazionali fuori controllo dotate di mezzi illimitati e da stati nazionali con i relativi apparati militari e di intelligence, i loro fornitori e contractors, gruppi state-sponsored civili e/o paramilitari ed unità di mercenari”. I target sono numerosi nell’ambito digitale, ricomprendendo “le infra- strutture, le reti, i server, i client, i device mobili, gli oggetti IoT, le piattaforme social e di instant messaging”. La frequenza di attacco è continua e senza alcuna regola o criterio se non quello di far fare soldi ai criminali digitali. Lo studio del Clusit è basato “su un campione che al 31 dicembre 2019 è costituito da 10.087 attacchi noti di particolare gravità (di cui 1.670 nel 2019), ovvero che hanno avuto un impatto significativo per le vittime in termini di perdite economiche, di danni alla reputazione, di diffusione di dati sensibili (personali e non), o che comunque prefigurano scenari particolarmente preoccupanti, avvenuti nel mondo (inclusa l’Italia) dal primo gennaio 2011”. I dati sono quindi riferiti a accadimenti reali ma necessariamente si configurano come numeri parzionali rispetto alla totalità degli attacchi, poiché molti non sono divulgati pubblicamente e/o non vengono scoperti nell’anno in cui si verificano. Il Campionamento è realizzato esclusivamente dai dati provenienti da fonti aperte e quindi mancano al conto tutti quei tipi di attacchi di tipo cyber espionage ed information warfare, che attaccanti e vittime si guardano bene dal divulgare. I risultati mostrano un incremento degli attacchi gravi in termini assoluti nel 2019 rispetto al 2018. Le categorie maggiorente colpite riguardano gli “Online Services / Cloud” con un incremento di +91,5%, le “Telco” con un +54,5%, la “Security Industry” con +325%, le categorie “Multiple Targets” con +29,9%, seguite da “GDO/Retail” ad incremeento del +28,2% ed “Healthcare” +17,0%, ed infine la categoria “Others” che cumulativamente cuba un incremento del +76,7%). Considerando il triennio 2017-2019 il numero di attacchi gravi che analizzati è cresciuto del +48% (da 1 .127 a 1 .670 all’anno),
Un esempio significativo
In questo complesso periodo contingente di difficoltà per tutti e su sui fronti sanitario ed economico finanziario, si aggiunge il danno informatico. Un esempio significativo di minaccia ibrida e “senza regole” perfino di tipo etico è rappresentato dalla notizia recente che un gruppo di attacco forse legato ad un paese estero, ha colpito il sito Internet del Dipartimento della Salute e dei Servizi Umani degli Stati Uniti (United States Department of Health and Human Services – HHS). Gli attacchi denial of service (DDOS) di questo tipo hanno l duplice scopo di impedire alle persone di avere accesso a informazioni nuove e affidabili sulla pandemia in corso e mettere in dubbio la credibilità del governo.
Marcus Fowler, Director of Strategic Threat di Darktrace, sottolinea come gli attaccanti approfittino dei momenti di incertezza e di disordine, in cui le persone sono maggiormente connesse ai propri computer spinte dal bisogno di informazioni. “Gli attaccanti potrebbero prendere di mira anche le organizzazioni più vulnerabili durante la situazione contingente in cui si ristrutturano i flussi di lavoro, si sviluppano le modalità di lavoro a distanza e si cerca di sostenere le entrate. Se un attacco informatico causasse un’interruzione delle attività, pochissime aziende sarebbero in grado di riprendersi “ Conclude Fowler.
Il fine ultimo di queste azioni è ancora una volta l’instabilità, alimentata da operazioni di disinformazione o di influenza negativa. Ecco quindi che la minaccia oltre che dannosa ed economicamente rilevante è anche di tipo ibrido.
Le ultime minacce
Un ulteriore aggiornamento della minaccia arriva dal Global Threat Index di febbraio 2020 di Check Point® Ltd.. sono stati registrati aumenti significativi degli exploit che sfruttano le vulnerabilità per diffondere la botnet Mirai la quale infetta i dispositivi IoT per condurre massicci attacchi DDoS.
La classifica dei malware più diffusi a febbraio trova XMRig, un mining software open-source CPU utilizzato per minare la criptovaluta Monero, al primo posto, con un impatto sul 7% delle organizzazioni a livello mondiale, seguito da Emotet e Jsecoin, con un impatto rispettivamente del 6% e del 5%. Emotet è trojan avanzato, auto propagato e modulare, utilizzato come distributore per altre minacce. Utilizza molteplici metodi per mantenere la stabilità e le tecniche di evasione per evitare il rilevamento. Si diffonde anche attraverso campagne phishing con mail contenenti allegati o link dannosi. Emotet è utilizzato principalmente per diffondere ransomware ed è stato diffuso attraverso campagne spam, come quelle a tema Coronavirus, specialmente a Gennaio (periodo in cui aveva avuto un impatto del 13%). Jsecoin è un cryptominer web-based progettato per eseguire il mining online della criptovaluta Monero quando un utente visita una particolare pagina web. Il JavaScript impiantato utilizza una grande quantità di risorse di calcolo delle macchine dell’utente finale per estrarre i coin, influenzando così le prestazioni del sistema.
Sul fronte Mobile i primi tre malware più diffusi sono stati: xHelper, un’applicazione Android dannosa, utilizzata per scaricare altre app dannose e visualizzare pubblicità, che anche se disinstallata, si reinstalla da sola; Hiddad, malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti. La sua funzione principale è visualizzare annunci, ma è anche in grado di accedere ai dati chiave di sicurezza, integrati nel sistema operativo, consentendo all’aggressore di ottenere dati sensibili dell’utente; Guerrilla, un trojan Android incorporato in molteplici applicazioni legittime, in grado di scaricare ulteriori payload dannosi. Genera entrate pubblicitarie fraudolente per gli sviluppatori di app.
Maya Horowitz, Director, Threat Intelligence & Research, Products di Check Point osserva che: “I criminali sembrano puntare a costruire reti di dispositivi infetti più ampie possibile, per sfruttarle e riuscire a monetizzare in modi diversi, dalla consegna di ransomware al lancio di attacchi DDoS. I principali vettori di infezione sono le e-mail e i messaggi SMS, le organizzazioni devono garantire che i loro dipendenti siano istruiti su come identificare i diversi tipi di spam dannoso e implementare una sicurezza che impedisca attivamente a queste minacce di infettare le loro reti”.
Approfondimenti
La lista completa della classifica dei malware e delle vulnerabilità è disponibile sul blog di Check Point .
Per scaricare il Rapporto Clusit è necessario registrarsi alla apposita sezione del sito Clusit.
Ulteriori statistiche sulla evoluzione della minaccia posono essere consultate sul sito di Dr. Web Antivirus e dall’osservatorio Virus e Malware del C.R.A.M. di Tgsoft.