Nel corso dell’ultimo anno in tutto il mondo si è registrato un rapido aumento nella sofisticatezza degli attacchi informatici, con tecniche che rendono sempre più complessa l’identificazione dei cybercriminali e che mettono in pericolo anche gli utenti più esperti. Chiara anche la preferenza per determinate tecniche di attacco, con un significativo aumento di interesse verso furto di credenziali, malware e exploit di rete privata virtuale (VPN). Nel 2019 sono state bloccate oltre 13 miliardi di email nocive e sospette, un miliardo delle quali conteneva URL creati per lanciare attacchi di phishing volti al furto di credenziali. I ransomware sono stati la principale causa che ha richiesto l’intervento del team di incident response. In espansione anche il focus sull’IoT (Internet of Things) con un aumento del 35% degli attacchi di questo tipo nella prima metà del 2020. Infine, l’emergenza Covid-19 è stata ampiamente sfruttata dai criminali informatici sia per condurre attacchi di phishing e social engineering sia per colpire importanti organizzazioni sanitarie statali mentre erano impegnate a contrastare la pandemia.
Sono queste le principali evidenze riscontrate da Microsoft nel suo nuovo Digital Defense Report (scaricabile qui) da cui emerge innanzitutto la necessità che tutte le organizzazioni, sia che si tratti di agenzie governative o imprese, investano in persone e tecnologie per fermare i cybercriminali; e in secondo luogo, la necessità che gli utenti si concentrino sulle nozioni base di sicurezza, tra cui l’applicazione regolare di aggiornamenti di sicurezza, criteri di backup completi e, in particolare, l’abilitazione dell’autenticazione a più fattori (MFA) che da sola avrebbe impedito la stragrande maggioranza degli attacchi andati invece a buon fine. Oltre a impiegare tecnologia, diffondere conoscenza e stilare policy, per scoraggiare le attività dannose,Microsoft cerca di ostacolare concretamente i criminali informatici interrompendo le loro attività attraverso azioni legali. Dal 2010, l’Unità Crimini Digitali ha collaborato con le forze dell’ordine e altri partner su 22 interruzioni di malware, con il risultato che oltre 500 milioni di dispositivi sono stati salvati dai criminali informatici.
Più attacchi di phishing e strategie di hiding
Mentre il volume complessivo di malware è stato relativamente costante nel tempo, i criminali informatici hanno sfruttato la preoccupazione in tutto il mondo per il virus Covid-19 per ingegnerizzare socialmente esche intorno all’ansia collettiva e all’enorme flusso di informazioni associate alla pandemia. Queste campagne sono state utilizzate per rivolgersi in generale ai consumatori, nonché a settori industriali essenziali come l’assistenza sanitaria.
Più di recente, gli hacker hanno concentrato la loro attenzione agli attacchi di phishing (70%) come mezzo più diretto per raggiungere il loro obiettivo di raccogliere le credenziali delle persone. Sulla base della telemetria di Office 365, i principali marchi falsificati utilizzati in questi attacchi sono Microsoft, UPS, Amazon, Apple e Zoom.
Inoltre, i criminali sono in grado di modificare e trasformare rapidamente le campagne di attacco per eluderne il rilevamento. Morphing viene utilizzato in domini di invio, indirizzi e-mail, modelli di contenuto e domini URL. L’obiettivo è quello di aumentare la combinazione di variazioni per rimanere invisibile.
Ransomware: sempre una grave minaccia
File crittografati e persi e minacciose note di riscatto sono diventati la paura più grande per la maggior parte dei team esecutivi. I modelli di attacco dimostrano che i criminali informatici sono al corrente dei momenti come le festività, in cui si riduce la capacità di un’organizzazione di apportare modifiche (ad esempio l’applicazione di patch) per indurire le proprie reti. Sono consapevoli anche del momento in cui le esigenze aziendali renderanno le organizzazioni più disposte a pagare riscatti che incorrere in tempi di inattività, ad esempio durante i cicli di fatturazione nel settore sanitario, finanziario e legale.
Gli aggressori hanno sfruttato la crisi da Coronavirus per ridurre il loro tempo di dimora all’interno del sistema di una vittima – per compromettere i dati e ottenere il riscatto rapidamente – apparentemente credendo che ci sarebbe una maggiore volontà di pagare a seguito dell’epidemia. In alcuni casi, i criminali informatici sono passati dall’ingresso iniziale al riscatto dell’intera rete in meno di 45 minuti.
Le nuove sfide dello smart working
Vista l’accelerazione della tendenza al lavoro da remoto imposta dall’emergenza sanitaria, i criteri di sicurezza tradizionali all’interno del perimetro di un’organizzazione sono diventati molto più difficili da applicare vista la rete più ampia e le risorse non gestite nel percorso di connettività. Man mano che le organizzazioni continuano a spostare le applicazioni in Cloud, i criminali informatici aumentano gli attacchi di tipo DDoS (Distributed Denial of Service) per interrompere l’accesso degli utenti e offuscare le infiltrazioni più dannose delle risorse di un’organizzazione.
In questo contesto, occorre considerare l’elemento umano per una forza lavoro sicura esaminando sfide come le minacce interne e l’ingegneria sociale. In un recente sondaggio condotto da Microsoft, il 73% dei CISO ha indicato che la loro organizzazione ha incontrato perdite di dati sensibili e fuoriuscite di dati (data spillage) negli ultimi 12 mesi e che prevede di spendere di più per tecnologia di risk management a causa della pandemia Covid-19.
Durante la prima metà del 2020, c’è stato un aumento degli attacchi basati sull’identità utilizzando la forza bruta sugli account aziendali. Questa tecnica di attacco utilizza l'”indovinare sistematico”, elenchi di password, credenziali scaricate da violazioni precedenti o altri metodi simili per effettuare forzatamente l’accesso a un dispositivo o servizio. Data la frequenza di password indovinate, rubate o riutilizzate, è fondamentale associare le password ad una seconda forma di credenziali forti e abilitare l’autenticazione a più fattori.
Sicurezza IoT: gli smart device sotto attacco
C’erano 26,66 miliardi di dispositivi Internet of Things (IoT) attivi nel 2019, e si stima che nel 2022, si arriverà a contarne 50 miliardi in tutto il mondo. Mentre i produttori di questi device hanno la responsabilità di progettare prodotti sicuri, la rapida proliferazione li ha resi obiettivi interessanti per un volume crescente di attacchi informatici. La gestione delle vulnerabilità svolge un ruolo cruciale nella protezione delle risorse IoT, poiché appena scovate portano gli attori malintenzionati a sfruttare il tempo necessario alle aziende per applicare patch e aggiornare il firmware per sferrare attacchi fatali.
I protocolli più abusati sono Telnet, MS SQL e Secure Shell (SSH), con RDP e Virtual Network Computing (VNC). Lo scenario di attacco più comune include l’utilizzo di credenziali predefinite per ottenere un accesso alla shell per scaricare ed eseguire malware. Le credenziali predefinite sono associate a una varietà di prodotti come router, terminali remoti, telecamere IP e sistemi multimediali. Tra le raccomandazioni: mappare le risorse IoT e applicare criteri di sicurezza per ridurre la superficie di attacco; assicurarsi di utilizzare una rete diversa per i dispositivi IoT e di avere familiarità con tutte le interfacce esposte.
Il rischio di cyber attack aumenta anche a causa del fatto che molti dei protocolli IoT/OT legacy e dispositivi incorporati in ambienti di infrastrutture industriali e critiche sono stati progettati anni fa, senza controlli moderni come la crittografia, l’autenticazione avanzata e gli stack software con protezione avanzata, mentre le reti OT stesse sono spesso flat, senza problemi e prive di criteri di attendibilità zero. Gli avversari che prendono di mira questa superficie di attacco espansa possono causare un impatto aziendale sostanziale, tra cui incidenti di sicurezza e ambientali, costosi tempi di inattività della produzione e furto di proprietà intellettuale, ad esempio informazioni sulle formule proprietarie e sui processi di produzione.