In Europa, l’Italia sembra rappresentare un bersaglio tra i più appetibili per la criminalità informatica: nel 2022, infatti, sul totale degli attacchi diretti al Vecchio Continente, l’8% ha coinvolto il Bel Paese, che si posiziona al quarto posto tra le nazioni più colpite. Il Regno Unito domina la classifica con una quota sorprendente del 43%, seguito da Germania (14%) e Portogallo (9%), mentre al quinto gradino, subito dopo l’Italia, si trova la Francia (7%).
La notizia è contenuta nel report X-Force Threat Intelligence Index, che IBM pubblica annualmente per tracciare lo stato della cybersicurezza a livello mondiale, incrociando le informazioni provenienti da una pluralità di fonti (ad esempio, le operazioni di incident response o le attività di monitoraggio effettuate per i clienti).
Backdoors e ransomware, le tecniche di attacco più frequenti
Il rapporto diffuso a fine febbraio descrive uno scenario ancora dominato dagli attacchi di tipo ransomware, che rappresentano il 17% delle offensive perpetrate globalmente nel 2022. Nonostante la lieve flessione dell’incidenza rispetto all’anno precedente (-4% ) è ancora decisamente presto per cantare vittoria. Se i professionisti della cybersecurity hanno affinato le tecniche di difesa, migliorando soprattutto le capacità di rilevamento e prevenzione, gli attaccanti stanno affilando le armi. Basti pensare che il tempo medio per completare un attacco ransomware è crollato da 2 mesi a meno di 4 giorni.
Tuttavia, in cima alla lista delle azioni malevole che più frequentemente colpiscono e impattano le aziende, svetta l’implementazione delle backdoor, con cui gli attaccanti riescono a penetrare i sistemi informativi da remoto eludendo le procedure di autenticazione. Da qui si aprono le porte per ulteriori operazioni criminali, quali ad esempio il dispiegamento del ransomware. Il 21% degli attacchi su scala worldwide (quindi più di uno su cinque) è rappresentato dall’impiego delle backdoor e il loro valore di mercato è schizzato alle stelle. Secondo l’X-Force, ovvero il team di esperti IBM dedicato alla sicurezza informatica, attualmente il prezzo di vendita per l’accesso a una backdoor esistente è valutato attorno ai 10mila dollari (mentre le credenziali delle carte di credito sul dark web costano anche meno di 10 dollari). La buona notizia è che nel 67% dei casi, i tecnici IT sono riusciti a intercettare le backdoor prima che potessero servire da ingresso per altra tipologia di azione malevola.
Proseguendo nell’elenco degli attacchi principali stilato da IBM, dopo le backdoor e i ransomware, seguono la compromissione delle e-mail aziendali (BEC) con una quota del 6% e una serie di minacce, ovvero maldocs, campagne di spam, strumenti di accesso remoto e accesso ai server, che condividono un tasso di frequenza del 5%.
L’impatto degli attacchi, dall’estorsione all brand reputation
Un’analisi interessante contenuta nel report riguarda le finalità e l’impatto degli attacchi. Secondo le statistiche del 2022, l’estorsione è risultata il principale obiettivo dei cybercriminali e oltre un attacco su quattro (27%) è stato perpetrato nel tentativo di costringere o persuadere le vittime a versare denaro. Nei casi più frequenti, l’attività estorsiva viene condotta tramite ransomware o BEC, includendo spesso anche il ricorso a backdoor, cryptominer, downloader, web shell e altri strumenti di accesso remoto. Il 44% delle estorsioni osservate dal team di IBM ha interessato il territorio europeo, poiché gli attaccanti hanno cercato di sfruttare le tensioni geopolitiche in atto.
Il furto di dati si è classificato al secondo posto tra i principali obiettivi degli hacker, riguardando il 19% degli attacchi messi a segno, mentre gli incidenti che hanno comportato la sottrazione di credenziali sono stati l’11% del totale. La perdita effettiva dei dati da parte della vittima (data leak) a seguito del furto o della fuga di informazioni, si è verificata nell’11% dei casi, mentre il danno alla reputazione aziendale ha rappresentato lo scopo finale per il 9% delle offensive. Gli incidenti con un impatto sulla brand reputation sono stati perpetrati principalmente con attacchi DDoS (Distributed Denial of Service), che hanno causato un’interruzione dell’operatività aziendale con ripercussioni importanti sull’opinione dei clienti.
Le tendenze principali, dal thread hijacking allo spear phishing
Oltre a riportare la lista delle principali tecniche e finalità di attacco, il report dell’X-Force ha messo in luce una serie di statistiche che permettono di approfondire lo stato della sicurezza mondiale.
Il phishing si conferma anche nel 2022 come il metodo preferito dagli hacker per guadagnare l’accesso iniziale alle risorse IT della vittima. Il 41% degli attacchi osservati, nella prima fase, ha sfruttato l’invio di messaggi fraudolenti per convincere il destinatario a rivelare informazioni riservate o compiere azioni specifiche, così da potere innescare successive operazioni dannose. Nel 62% degli eventi di phishing, gli attaccanti hanno effettuato invii mirati su target precisi (spear phishing), con messaggi che contenevano allegati malevoli.
Si segnala una netta diminuzione (-52%) dei casi di phishing finalizzati al furto di informazioni delle carte di credito. Gli hacker sembrano più interessati a carpire dati sensibili come nomi, e-mail e indirizzi di casa, che possono essere rivenduti sul dark web a un prezzo più alto oppure utilizzati per compiere altre azioni malevole.
Un fenomeno particolarmente rilevante ha riguardato il thread hijacking, ovvero una tecnica che permette di sfruttare account e-mail compromessi per entrare nelle conversazioni come partecipanti autorizzati, ottenendo informazioni preziose per perpetrare futuri attacchi. La media mensile di tentativi di thread hijacking è raddoppiata rispetto al 2021.
Il 26% sul totale delle vulnerabilità sfruttate dagli hacker nell’ultimo anno è riconducibile a exploit noti. Secondo i dati raccolti dall’X-Force, la percentuale è diminuita di dieci punti a partire dal 2018, dimostrando i vantaggi di un processo di gestione delle patch ben curato. Tuttavia, ancora oggi, exploit tradizionali come WannaCry e Conficker continuano a mietere vittime.
I principali bersagli per area geografica e settore commerciale
Dal punto di vista geografico, il report di IBM segnala come bersaglio principale degli hacker la regione Asia-Pacifico, che nel 2022 ha calamitato il 31% degli attacchi a livello mondiale e detiene il primato di vittima per il secondo anno consecutivo. L’Europa si piazza in seconda posizione con il 28% degli incidenti registrati e un aumento di cinque punti percentuali rispetto al 2021. Il Nord America completa il podio con una quota del 25% in crescita del 4%. Crollano invece gli attacchi diretti al Medio Oriente, dal 14% al 4%.
Infine, con riferimento ai settori più colpiti nel 2022, il Manufacturing si conferma al primo posto per il secondo anno consecutivo, raccogliendo quasi un quarto degli incidenti verificati. Come nel 2021, il comparto Finance si conferma al secondo posto della classifica, dopo avere detenuto lo scettro di principale bersaglio per diversi anni consecutivi. Attualmente, la percentuale di attacchi diretti verso Banche e Assicurazioni si mantiene poco sotto la soglia del 20%.