Gli attacchi cyber aumentano inesorabilmente: scenari e tendenze nel report ENISA

Il recente ENISA Threat Landscape (ETL) 2024 prende in esame il periodo tra la fine del 2023 e la prima metà del 2024, evidenziando una significativa escalation degli attacchi alla sicurezza informatica, causata dalle tensioni geopolitica in atto.

Inoltre, il report rivela che i conflitti regionali ancora in corso continuano a influenzare profondamente il panorama della sicurezza informatica.

Ancora, l’hacktivismo ha visto un’espansione costante, con eventi di rilevanza come le elezioni europee che hanno stimolato un incremento delle attività di questi attori.

Infine, l’ETL include due allegati di grande interesse, la cui consultazione è caldamente consigliata e, precisamente:

1. Allegato A: fornisce un elenco delle tecniche del framework MITRE ATT&CK associate al software ransomware, ai gruppi di ransomware o a entrambi, secondo le tecniche ransomware in ATT&CK613. Si noti che si tratta di una rappresentazione dinamica basata su osservazioni reali che possono cambiare nel tempo, man mano che i gruppi si evolvono e utilizzano nuove tecniche.
2. Allegato B: fornisce le raccomandazioni di ENISA allineate alle misure di sicurezza previste dagli standard internazionali – quali ISO/IEC 27001:2022 e NIST Cybersecurity Framework (CSF) v2.0 – comunemente adottati dalle organizzazioni in diversi settori.

Scenario attacchi cyber

Il rapporto ENISA ha identificato sette principali minacce alla sicurezza informatica:

• ransomware
• malware
• ingegneria sociale
• minacce contro i dati
• minacce alla disponibilità come gli attacchi di Denial of Service (DDoS)
• manipolazione e interferenza delle informazioni
• attacchi alla catena di approvvigionamento

Panorama delle minacce dell’ENISA 2024 – Principali minacce (Fonte: ENISA Threat Report – Creative Commons Attribution 4.0 International (CC BY 4.0)).

In particolare, l’ETL rivela che gli attacchi ransomware e DDoS sono state le forme di attacco più segnalate durante il periodo di riferimento, rappresentando più della metà degli eventi osservati, seguiti dalle minacce riferite ai dati. In diversi casi, gli incidenti hanno coinvolto più di una categoria di minaccia e sono stati quindi analizzati nel contesto di tutte le rispettive categorie, come si evince dalla figura di seguito riportata.

Ripartizione degli incidenti analizzati per tipo di minaccia (da luglio 2023 a giugno 2024) (Fonte immagine – ENISA Threat Report – Creative Commons Attribution 4.0 International (CC BY 4.0)).

I trend da monitorare

Le principali tendenze osservate nel panorama delle minacce informatiche nel periodo di riferimento includono:

1. DDoS e ransomware: queste minacce continuano a essere sempre rilevanti mantenendosi ai vertici della classifica anche quest’anno.
2. Living Off Trusted Site (LOTS): i cyber criminali sfruttano servizi cloud affidabili e legittimi, come Slack e Telegram, per nascondere le comunicazioni di comando e controllo (C2), evitando così il rilevamento.
3. Influenza geopolitica: le tensioni geopolitiche sono il “motore” principale che alimenta le operazioni informatiche dannose.
4. Progressi nelle tecniche di evasione: diversi gruppi di criminali informatici – soprattutto operatori di ransomware – utilizzano le tecniche “Living Off The Land” (LOTL) per integrarsi nell’ambiente e mascherare le loro attività.
5. Business Email Compromise (BEC): gli incidenti BEC sono in forte aumento.
6. Estorsione e divulgazione forzata: le aziende vengono spinte a soddisfare le richieste di estorsione prima delle scadenze di divulgazione.
7. Stabilizzazione degli attacchi ransomware: si registra una lieve flessione rispetto al periodo precedente.
8. Operazioni di contrasto efficaci: si sta assistendo ad operazioni di contrasto efficaci come l’Operazione Chronos e l’Operazione Endgame.
9. Strumenti di intelligenza artificiale: i cyber criminali utilizzano sempre più l’intelligenza artificiale – tramite modelli linguistici come FraudGPT – per generare email di phishing e script dannosi.
10. Identificazione di vulnerabilità: il report rivela che sono state identificate 19.754 vulnerabilità, di cui il 9,3% considerate critiche e il 21,8% ad alto rischio.
11. Informazioni rubate: le catene di attacco continuano a basarsi sulle informazioni rubate, grazie alla popolarità degli Initial Access Brokers (IAB).
12. Hacktivisti: sempre più gruppi di hacktivist Hacktivisti sovrappongono le loro attività con quelle dei State-Nexus actor. Ovvero, si assiste come tendenza alla crescente somiglianza tra gli State-Nexus actor e le presunte attività degli hacktivisti.
13. Data leak site inaffidabili: molti data leak site hanno iniziato ad essere considerati inaffidabili dato che molti dei data leak pubblicati sono duplicati di attacchi precedenti o erroneamente attribuite al gruppo ransomware Lockbit. Ciò si verifica anche a seguito all’interruzione delle loro operazioni da parte dell’Operazione Chronos.
14. Aumento dei mobile banking trojan: l’aumento dei mobile banking trojans è dovuto all’utilizzo di vettori di attacco sempre più sofisticati.
15. Malware-as-a-Service (MaaS): si tratta di una minaccia in rapida crescita.
16. Compromissione della supply chain: è in aumento la compromissione della supply chain soprattutto tramite ingegneria sociale. Il report rivela che, ad esempio, nel marzo 2024, è stato introdotto il codice backdoor in un progetto open source XZ Utils, un insieme di strumenti e librerie utilizzati per la compressione dei dati.
17. Crescente compromissione dei dati: si registra un aumento vs. 2023 e si ritiene che questo trend continuerà a crescere durante il 2024.
18. DDoS-for-Hire: si tratta di attacchi su larga scala sferrati da utenti non esperti che hanno oggigiorno la possibilità di accedere ai servizi DDoS disponibili sul dark web.
19. Manipolazione delle informazioni: si tratta di un fattore chiave nella guerra Russia-Ucraina, con un aumento delle interferenze in eventi di rilevanza globale come le elezioni.
20. Manipolazione delle informazioni supportata da IA: purtroppo si è rilevata una tendenza nascente di questo fenomeno, con cyber criminali che stanno sperimentando l’uso dell’intelligenza artificiale per influenzare i contenuti.

L’EU al centro del mirino

Il rapporto ENISA 2024 fornisce un’esamina delle principali minacce informatiche rivolte all’area dell’UE, oltre a rilevare un aumento degli attacchi nel 2024 rispetto al 2023, principalmente scaturito dai conflitti geopolitici in atto.

Il ransomware e gli attacchi DDoS costituiscono le minacce più rilevanti per l’UE. Inoltre, nel 2024, sono stati rilevati 11.079 incidenti, di cui 322 che hanno preso di mira due o più Stati membri dell’UE.

Gli attacchi informatici hanno impattato vari settori e in particolare la pubblica amministrazione (19%), i trasporti (11%) e la finanza (9%). Inoltre, anche settori come l’infrastruttura digitale e i servizi alle imprese sono stati bersagliati in misura significativa.

Ripartizione degli eventi a livello mondiale e dell’UE (luglio 2023 – giugno 2024) (Fonte: ENISA Threat Report – Creative Commons Attribution 4.0 International (CC BY 4.0)).

Cronologia degli eventi nell’UE (conteggio del numero di incidenti osservati al mese) (Fonte: ENISA Threat Report – Creative Commons Attribution 4.0 International (CC BY 4.0)).

Ripartizione UE del numero di minacce per gruppo di minacce (Fonte: ENISA Threat Report – Creative Commons Attribution 4.0 International (CC BY 4.0)).

Settori interessati per numero di incidenti (luglio 2023 – giugno 2024) (Fonte: ENISA Threat Report – Creative Commons Attribution 4.0 International (CC BY 4.0)).

Altre tendenze

Il report di ENISA rivela altresì altre tendenze in atto, quali:

1. Il 67% delle violazioni è segnalato da una terza parte benigna o dagli stessi aggressori, registrando, in questi casi, un aumento di 1 milione di dollari del costo di una violazione rispetto al rilevamento interno, che rappresenta solo il 33% delle segnalazioni.
2. L’adozione di avanzate pratiche DevSecOps riduce il costo di una violazione dei dati di 1,68 milioni di dollari, mentre una pianificazione e test di risposta agli incidenti abbassano il costo di 1,49 milioni di dollari.
3. Il costo di una violazione dei dati ai danni di infrastrutture critiche aumenta di 1,26 milioni di dollari.
4. Le violazioni importanti, che coinvolgono più di un milione di record compromessi, sono rare ma con conseguenze notevoli. Il report rivela che nel 2023 il costo di questi attacchi, per violazioni che compromettevano tra 50 e 60 milioni di record, è sceso a 323 milioni di dollari.
5. Il 70% delle aziende, secondo Thales, non è in grado di classificare più del 50% dei propri dati sensibili.
6. Oltre 386 casi di fughe di dati pubblici sono stati rilevati in Europa nel 2023, ma solo il 3,4% conteneva password. I Paesi più colpiti sono stati Francia, Spagna e Italia.
7. Il ransomware rimane lo strumento preferito dai più importanti cyber criminali, secondo Crowdstrike. Inoltre, il report evidenzia che l’estorsione tramite furto di dati è un metodo di monetizzazione in crescita, con un aumento – tra il 2022 e il 2023 – del 76% delle vittime elencate su siti dedicati.
8. I dati sensibili, secondo Netskope, vengono inviati ad applicazioni di intelligenza artificiale generativa (genAI) fino a otto volte per giorno lavorativo. Per ogni 10.000 utenti aziendali, un’organizzazione riscontra circa 183 incidenti mensili di dati sensibili pubblicati su queste app.

Conclusioni

Il rapporto ENISA Threat Landscape 2024 evidenzia le urgenti sfide in materia di sicurezza informatica che le organizzazioni devono affrontare oggi, considerando le minacce in aumento in termini di ransomware, DDoS e ingegneria sociale.

Pertanto, risulta fondamentale per le organizzazioni dare priorità all’applicazione di patch, adottare soluzioni avanzate di rilevamento delle minacce e coltivare una cultura della cyber resilience quale intersezione dei principi di risk management business continuity e cyber security, considerando che la galassia normativa europea adotta sempre più un approccio risk-based e resilience-based.