Il ransomware si evolve, il phishing imperversa: ecco le minacce 2020 alle aziende

Negli ultimi sei mesi, un’organizzazione italiana è stata attaccata in media 734 volte a settimana, contro la media globale di 465 attacchi. Il ransomware poi sta modificando la sua strategia, mentre il phishing continua a essere dannoso. Sono alcuni dei dati che emergono dal Threat intelligence report di Check Point software technologies.

Per approfondire i trend internazionali delle minacce alla cyber security, l’azienda ha organizzato l’evento CPX360 a Vienna. Un’occasione per analizzare lo scenario futuro della cyber security, con i consigli degli esperti per le aziende. La sicurezza “è una combinazione di tecnologie e consapevolezza”, spiega a Cybersecurity360.it Maya Horowitz, direttrice della Threat Intelligence Research di Check Point.

Le minacce in Italia: Emotet ed email malevole

Il Threat intelligence report di Check Point indica che le organizzazioni italiane subiscono ogni settimana in media più attacchi rispetto alla media di quelli messi a segno globalmente: 734 attacchi alle organizzazioni italiane, contro 465 attacchi settimanali alle organizzazioni a livello globale.

La minaccia è costituita principalmente da Emotet, che risulta essere il malware più diffuso in Italia. Emotet infatti, secondo i dati Check Point, ha un impatto sul 34% delle organizzazioni italiane. La lista delle minacce prosegue con il trojan bancario Trickbot, il Rat AgentTesla e il cryptominer XMRig.

Il mezzo più utilizzato per diffondere i file malevoli in Italia è risultato essere l’email, con una percentuale del 93%, contro la percentuale del 65% a livello globale. L’Information disclosure, invece, è il metodo più usato per sfruttrare le vulnerabilità dei target.

Si evolve il ransomware, occhio a cloud e mobile

Maya Horowitz ha spiegato che un importante trend per il 2020 è rappresentato dall’evoluzione del ransomware: “Mentre in passato eravamo abituati a vedere il ransomware nel 20-30% delle organizzazioni attaccate, ora il trend sta cambiando. Guardando solo i numeri, sembra che ci siamo sbarazzati dei ransomware perché le percentuali risultano essere dell’1-2%. Questo è ingannevole: il fatto è che non risultano esserci grossi attacchi coi ransomware perché iniziano con le botnet, che compiono la prima fase dell’attacco. Solo quando i malintenzionati capiscono di aver raggiunto il loro obiettivo, allora usano nella fase finale la loro vera arma”.

Quindi apparentemente ci sono meno attacchi ransomware, ma la realtà è diversa. Ora i criminali raccolgono i dati e sanno di quanto denaro dispongono i loro obiettivi: “Guardano i loro report finanziari per capire quanto possono chiedere: in passato chiedevano 1.000-5.000 dollari, ora anche mezzo milione di dollari”, precisa Horowitz, perché hanno chiara la situazione economica del loro target.

Altro punto critico per il 2020 sono le tecnologie mobile e cloud: “I malintenzionati hanno imparato ad attaccarli, ma spesso non vengono messe in sicurezza”. Così, sono grandi opportunità per i criminali: “Esiste la tecnologia per metterli in sicurezza ma nessuno la usa”.

Threat intelligence, il ruolo dell’AI

In un contesto in continua evoluzione come quello delle cyber minacce, una mano agli analisti viene data dall’intelligenza artificiale: “Usiamo l’intelligenza artificiale e il machine learning per trovare le nuove minacce, le cose interessanti che nessuno nota per poi indirizzare la ricerca su quegli ambiti”, commenta Horowitz. L’esperta spiega che l’intelligenza artificiale si può usare anche nei prodotti, perché “per fermare gli attacchi che non ci sono familiari, dobbiamo usare l’intelligenza artificiale”.

A proposito, è utile in questo senso per gli esperti anche individuare e mappare vulnerabilità e minacce nei prodotti più popolari sul mercato, per fare in modo che vi si ponga rimedio e si evitino pericolose conseguenze.

Le soluzioni e i consigli

“Ci sono nuove tecnologie che non vengono protette: la cosa più importante che le aziende possono fare per prevenire gli attacchi, è adottare le giuste misure di sicurezza. Mi rendo conto che ci sono dei limiti per le risorse che le imprese possono stanziare. Un consiglio è adottare una soluzione che protegga l’intera architettura”, spiega Horowitz.

L’altro importante consiglio dell’esperta è puntare “sulla formazione. Possiamo proteggerci a diversi livelli, ma può sempre arrivare un’email con un link malevolo”. Le persone vanno quindi educate, “per imparare dagli errori degli altri” ed evitare comportamenti nocivi. Un suggerimento avanzato anche da Dan Wiley, Head of Incident Response di Check Point, per cui l’approccio migliore per far fronte agli incidenti è basato “sulla formazione” a ogni livello. Ma prima ancora, “bisogna capire dove sono le proprie “uova d’oro”, i dati e le collaborazioni critici” per proteggersi adeguatamente.

Dan Wiley sottolinea che nelle aziende “la sicurezza dev’essere una priorità. Abbiamo notato occupandoci di diversi incidenti l’anno scorso, che le aziende che hanno investito in sicurezza hanno una chance, quelle invece che non l’hanno fatto sono tutte state compromesse”, spiega l’esperto.

Incident response, come mettere in pratica la strategia

Dopo aver stanziato il budget, le aziende devono sviluppare un programma per affrontare in modo efficace i problemi di sicurezza: “Security achitectures programs, security operations plan e incident response. Abbiamo notato nel corso della nostra esperienza che una volta implementati questi piani, le aziende hanno una possibilità di far fronte alle minacce. L’ultimo step è quello di applicare le tecnologie: attivare le protezioni, assicurarsi di avere strumenti di ultima generazione”, raccomanda Wiley.

In caso ci fosse un incidente, la cosa migliore da fare “è rivolgersi a un team di professionisti per avere aiuto nelle indagini”, oltre a prepararsi alle conseguenze legate alla normativa, come il GDPR in Europa. La comunicazione è fondamentale, anche per preservare la brand reputation.

Phishing: la classifica delle aziende più “imitate”

La sezione Check Point Research ha reso pubblico il nuovo Brand Phishing Report per il quarto trimestre del 2019: il periodo dell’anno in cui, statisticamente, si fa più shopping. Il rapporto segnala i brand che più spesso sono stati imitati dai criminali per lanciare le proprie esche e tentare di rubare dati personali o di pagamento. La tecnica del phishing, lo ricordiamo, è quella di imitare il sito ufficiale del marchio usando simili domini, URL e design, per poi inviare mail o SMS alle vittime che reindirizzano al falso sito.

I brand più imitati, in base al numero di tentativi di attività dei cyber criminali, sono stati:

1. Facebook (18% di tutti i tentative di phishing al mondo)
2. Yahoo (10%)
3. Netflix (5%)
4. PayPal (5%)
5. Microsoft (3%)
6. Spotify (3%)
7. Apple (2%)
8. Google (2%)
9. Chase (2%)
10. Ray-Ban (2%)