A più di un anno dall’inizio della pandemia da Covid-19, NTT Ltd, fornitore globale di servizi tecnologici, ha rilasciato la guida esecutiva e il Report Global Threat Intelligence 2021 degli attacchi informatici. L’indagine fornisce l’analisi divisa nelle diverse aree geografiche tra cui anche Europa, Medio Oriente ed Africa, delle minacce che le organizzazioni hanno affrontato nel 2020 con le raccomandazioni operative e strategiche e le diverse implementazioni per gestire i rischi e proteggersi.
Ad acutizzare le attività del cybercrimine, come ha evidenziato Stefaan Hinderyckx, senior vice president Cybersecurity Europe di NTT che, supportato dagli esperti del Global Threat Intelligence Center (Gtic), ha presentato il report in anteprima alla stampa europea, compaiono le conseguenze di un anno fortemente caratterizzato dall’emergenza sanitaria e dall’aumento dell’utilizzo di applicazioni e device anche fuori dal perimetro aziendale con il crescere del lavoro da remoto. Ecco perché per contrastare il pericolo informatico secondo gli esperti NTT e guardare al futuro è fondamentale un approccio basato sulla resilienza informatica e sulla sicurezza by design insieme ad una strategia zero trust. La ricerca di NTT ha inoltre rilevato che il 50% delle organizzazioni a livello globale ha come priorità per i prossimi 18 mesi, la messa in sicurezza dei propri servizi cloud e allo stesso tempo, ha evidenziato come il 54% delle organizzazioni non ha nessuna intenzione di ritornare ad un modello operativo pre-pandemia.
I settori più colpiti
Il Global Threat Intelligence Report 2021 analizza i dati come log, eventi, attacchi, incidenti e vulnerabilità di clienti distribuiti in 57 paesi e intercettati dalla rete honeypot globale di NTT e comprende organizzazioni come Cybersecurity Advisory e WhiteHat Security. In particolare, il Cybersecurity Advisory applica un punteggio di maturità ai programmi di sicurezza di un determinato settore. Tutti i dati GTIR 2021 sono relativi agli attacchi raccolti da gennaio a dicembre 2020. Un periodo che ha visto un aumento generale degli attacchi del 300%.
Tra i settori più colpiti quello finanziario 23%, manifatturiero 22% e sanitario 17% per un totale del 62% di tutti gli attacchi e un aumento dell’11% rispetto al 2019 in cui la sanità era al 7%, finanza al 15% e manifatturiero al 7%.
Fattore determinante l’instabilità globale in un anno così tragicamente legato alla pandemia da Covid-19 che ha comportato non solo un notevole aumento del lavoro da remoto ma anche di molte modalità e abitudini creando così un terreno fertile per i guadagni dei criminali informatici. La sanità è il settore che ne ha risentito di più, anche il più colpito in EMEA, a causa di un ricorso molto più diffuso alla telemedicina e all’assistenza da remoto con un 97% di attività a minare la sicurezza delle web application o più in generale alle applicazioni utilizzate.
Come e quanto ha influito il Covid-19
In generale, oltre il 67% di tutti gli attacchi è avvenuto con accesso remoto tramite applicazione web nel 32% dei casi e applicazione specifica per il 35%: più del doppio degli ultimi due anni. I criminali informatici hanno letteralmente preso di mira tutto ciò che le organizzazioni hanno utilizzato maggiormente durante il corso dell’anno: vulnerabilità di esecuzione di codice remoto e tecnologie web che supportano siti web, portali e connessioni remote utilizzate dalle aziende. Gli attacchi hanno avuto alla base argomentazioni o motivazioni a tema Covid-19 utilizzando comuni documenti pdf, rtf o word e tramite spyware, keylogger e altri malware e tramite phishing.
APT41, un gruppo di criminali informatici che sfrutta la tecnica di advanced persistent threat ben organizzato e conosciuto negli ambienti, come ha ricorda Stefaan Hinderyckx, ha intensificato gli attacchi in decine di imprese e nei settori energetico, finanziario, manifatturiero, dell’informazione, dei trasporti e dei servizi cambiando velocemente le proprie strategie e sfruttando proprio l’emergenza della pandemia.
Lo sfruttamento del Covid-19 legato al vaccino e alla supply chain associata da parte dei cybercriminali si è intensificato in gruppi come Ozie Team, Agent Tesla e TA505 che, insieme ad altri anche a livelli geografici più ristretti come Vicious Panda, Mustang Panda e Cozy Bear, sono stati molto attivi nel 2020.
La trasformazione dei malware
I malware continuano ad essere una minaccia in crescita e si evolvono diventando multifunzionali. Solo due organizzazioni su cinque sono risultate pronte a identificare, proteggere, rispondere e riprendersi da un attacco di malware.
Aumentano i crypto malware con l’aumento delle valute digitali e tra i criminali informatici prosperano i cryptominer che rappresentano il 41% di tutti i malware rilevati nel 2020. Nello specifico, XMRig coinminer ha riguardato l‘82% di tutte le attività coinminer e circa il 99% di tutti i malware in EMEA.
I cryptominer sono legati soprattutto alla diffusione di mining tra studenti e nell’intero ambito educational dove i criminali informatici sfruttano le infrastrutture non protette.
Botnet e trojan sono stati i malware più diffusi nelle regioni di Asia e Pacifico (APAC) dove contrariamente al resto del mondo i cryptominer sono stati relativamente rari.
I worm hanno riguardato maggiormente i settori finanziario e manifatturiero mentre la sanità ha subito gli effetti dei trojan di accesso remoto mentre il settore IT è stato oggetto di ransomware. Emotet è il malware più diffuso mentre Trickbot ha preso in particolare di mira il settore finanziario.
Raccomandazioni tecniche e priorità alle persone
Nonostante gli sforzi dei settori più colpiti per fornire i servizi essenziali durante questo lungo periodo di crisi, la mancanza degli standard di sicurezza è stata determinante in concomitanza dell’aumento di servizi online e digitali. Ecco perché la cyber resilienza e un approccio incentrato sulla progettazione sono una componente aziendale chiave ed essenziale come spiega lo stesso Stefaan Hinderyckx durante la presentazione del report. Occorre, quindi, dare la priorità alle persone e ai processi e poi, adottare le migliori best practices e raccomandazioni tecniche come aggiornare il software, adottare protezione anti malware e per la prevenzione degli endpoint; ma anche crittografare le informazioni sensibili, adottare autenticazione a doppio fattore, gestire gli account, la segmentazione della rete e i filtri per il traffico rete, la prevenzione delle intrusioni e non ultima una adeguata formazione sulla cybersecurity.