Oggi esce l’edizione 2023 dell’X-Force Threat Intelligence Index, il report annuale di IBM che segnala le cyber minacce più pericolose nel 2023. Estorsione, thread hijacking ed exploit legacy.
L’Italia rappresenta l’8% degli attacchi europei: quelli più comuni sono l’integrazione di backdoor, ransomware, accesso ai server e malware bot che continuano ad affliggere le aziende. Le imprese più nel mirino degli attacchi, a livello mondiale, sono quelle del settore manifatturiero, con il più alto numero di estorsioni, seguite da quelle del finanziario e assicurativo.
Per affrontare queste minacce, “la priorità è conoscere il perimetro d’attacco”, commenta Francesco Teodonno, IBM Security Leader per l’Italia. Ecco come proteggersi.
L’evoluzione della minaccia informatica ci insegna come combatterla
Indice degli argomenti
X-Force Threat Intelligence Index di IBM
Dal report annuale X-Force Threat Intelligence Index di IBM Security, emerge che la percentuale di incidenti legati ai ransomware è in lieve calo (-4%) dal 2021 al 2022. Infatti, gli addetti alla cyber security hanno avuto maggiore successo nella rilevazione e prevenzione della cyber minaccia.
Tuttavia, non si ferma l’evoluzione degli attaccanti: il tempo medio per condurre a termine un attacco ransomware è passato da 2 mesi a meno di 4 giorni.
Il report di IBM denuncia che l’azione più rilevante degli aggressori nel 2022 è stata l’integrazione di backdoor. Esse permettono l’accesso remoto ai sistemi. Circa il 67% dei casi di backdoor è riferita a tentativi di ransomware, dove i difensori IT sono stati in grado di scoprire la backdoor prima dell’avvio della distribuzione del malware.
L’elevato valore di mercato delle backdoor ne causa l’incremento delle distribuzioni. Secondo X-Force, infatti, i cyber criminali mettono in vendita l’accesso a backdoor per 10.000 dollari, mentre i dati delle carte di credito rubate sono in vendita per cifre inferiori a 10 dollari.
“L’aumento degli investimenti verso le soluzioni per il rilevamento e la risposta a un attacco ha permesso ai difensori di bloccare i cybercriminali nelle prime fasi dell’attacco”, afferma Charles Henderson, Head of IBM Security X-Force. “Ma è solo una questione di tempo prima che il problema backdoor di oggi diventi la crisi ransomware di domani. Gli aggressori trovano sempre nuovi modi per non essere rilevati. Una buona difesa non è più sufficiente. Per non dover più sottostare all’infinita rincorsa degli aggressori, le aziende devono adottare una strategia di sicurezza proattiva e basata sulle minacce.”
Metodologia di analisi del rapporto IBM
Il report di IBM Security traccia le tendenze e i nuovi ed esistenti modelli di attacco. Infatti l’X-Force Threat Intelligence Index attinge da miliardi di dati che provengono da dispositivi di rete ed endpoint, da attività di risposte agli incidenti e da altre sorgenti.
Le minacce più temibili nel 2023: lo scenario italiano ed europeo
Come dicevamo, estorsione, thread hijacking ed exploit legacy sono le cyber minacce più temibili quest’anno.
Secondo lo studio 2023 di IBM, l’estorsione resta il metodo preferito dai cyber criminali. Questi ultimi raggiungono l’obiettivo tramite attacchi ransomware o la compromissione delle e-mail aziendali. Il 44% delle estorsioni osservate è avvenuto in Europa, dove gli attori delle minacce hanno tentato di sfruttare le tensioni geopolitiche.
Il thread hijacking, ovvero il tentativo di sfruttare le conversazioni via email, attraverso account compromessi, ha permesso ai cyber criminali di entrare inosservati nelle conversazioni. Nel 2022 i tentativi mensili di questa categoria sono raddoppiati rispetto al 2021. Gli aggressori hanno distribuito Emotet, Qakbot e IcedID, software malevoli che spesso provocano infezioni da ransomware.
Anche gli exploit legacy rappresentano una seria minaccia. Gli exploit esistenti rispetto alle falle sono in calo del 10% dal 2018 al 2022, a causa del nuovo record del numero di vulnerabilità registrate nel 2022. Secondo il Report, gli exploit legacy hanno consentito a vecchie infezioni da malware, come WannaCry e Conficker, di persistere e continuare a diffondersi.
Identikit delle vittime secondo l’X-Force Threat Intelligence Index
Il settore più colpito è quello manifatturiero con il 25% dei casi e registra un incremento rispetto al 2021. Segue a ruota il settore finanziario ed assicurativo, ma in calo del 19%.
Il maggior numero di estorsioni nel 2022 ha colpito l’industria manifatturiera, la più attaccata per il secondo anno consecutivo. Le aziende di questo settore sono un obiettivo particolarmente appetibile per gli estorsori, a causa della scarsa tolleranza all’inattività.
Oltre al ransomware, i cybercriminali sono sempre a caccia di nuovi modi per costringere le vittime a pagare, mediante una forte pressione psicologica.
Nel Nord America il settore energetico spicca al quarto posto tra i settori più nel mirino nell’ultimo anno, con il 46% di tutti gli attacchi al settore (+25%). L’Asia ha subito più cyber attacchi di qualsiasi altra area: quasi un terzo di tutti gli attacchi, con il settore manifatturiero che da solo sfiora la metà di tutti i casi osservati nel continente asiatico lo scorso anno.
Nuove tattiche di attacco
I criminali hanno messo a punto una tattica in gran voga, consistente nel rendere i dati rubati più accessibili anche alle vittime secondarie, compresi clienti e partner commerciali.
Le notifiche alle vittime aumentano i costi potenziali e l’impatto psicologico degli attacchi informatici.
Corsi e master, quanto è importante una cultura cyber diffusa
Come proteggersi
“Le aziende devono conoscere il loro perimetro d’attacco”, sottolinea Francesco Teodonno, “dal momento che nuovi software o applicazioni possono rappresentare un punto d’ingresso, come dimostra il caso dell’attacco ai server VMware ESXi“.
Le aziende devono disporre di un piano di risposta agli incidenti su misura e “mantenere un approccio di difesa proattivo”, come sottolinea l’IBM Security Leader per l’Italia, tenendo conto anche dell’impatto degli attacchi sugli stakeholder e sull’intero ecosistema dell’organizzazione.
“Inoltre occorre avere un atteggiamento Zero Trust“, sottolinea Francesco Teodonno: “Non dobbiamo mai fidarsi e dare per scontato un ingresso già avvenuto. Dalla segmentazione della rete alla crittografia dei dati, l’obiettivo è fornire l’accesso minimo e che l’accesso è quello previsto e consentito”.
“Il terzo elemento di cui tenere conto è la complessità di gestione“, mette in guardia Francesco Teodonno: “Una strategia di sicurezza deve disporre di una piattaforma tecnologica che dia flessibilità, permettendo di integrare le numerose tecnologie che fanno il loro lavoro, ma per un settore definito. Occorre prendere il meglio da ogni software, dedicato a una specifica area da proteggere, ma al contempo devo costruire uno specifico percorso di sicurezza costruito per la propria azienda e che non è necessariamente quello imposto dai vendor. Bisogna creare un profilo di rischio, azienda per azienda, anche in modo automatico, rispetto agli indicatori di compromissione dell’impresa specifica, rispetto alla propensione verso attacchi di un certo tipo eccetera. Serve un’operazione ‘artigianale’ fatta con altissime tecnologie, con una visione che le metta insieme, secondo il profilo aziendale che è specifico per ogni impresa”.
Crittografia omomorfica e algoritmi quantum safe
Il phishing è stato il principale vettore di attacchi informatici nel 2022. Gli aggressori sfruttano la fiducia che i dipendenti ripongono nelle email. Per proteggersi, le aziende devono sensibilizzare i dipendenti sul thread hijacking per minimizzare il rischio.
Ma non solo. Qui entra in gioco la protezione del dato. “Nell’era del cloud i dati stanno ovunque”, spiega Francesco Teodonno, “e oggi i dati sono il vero e proprio business dell’azienda. La priorità è capire dove stanno questi dati e classificarli. Fondamentale è quondi il monitoraggio: sapere chi accede e cosa fa con quei dati, per bloccare accessi non autorizzati od altro”.
“Chi gestisce questa parte di gestione dati, a volte però, non parla col SOC: per questo serve un’integrazione, servono gli algoritmi di AI, l’automazione”, continua Teodonno.
“A questo punto, per proteggere i dati, occorre adottare la crittografia omomorfica per tenere crittografati i dati anche durante l’esecuzione, per alzare il livello difensivo”, mette in evidenza Francesco Teodonno. “La crittografia basata su algoritmi fattoriali RSA, nel giro di qualche anno, sarà completamente obsoleta: dobbiamo utilizzare algoritmi quantum safe. L’operazione ora consiste nel sostituire gli algoritmi funzionanti, ma vecchi con i nuovi algoritmi quantum safe. Sono processi lunghi e complessi”, afferma Teodonno.
Servono competenze e diversity
“Il lavoro compiuto dal Professor Baldoni, direttore generale dell’ACN dell’ACN, è stata una presa di coscienza della necessità delle competenze per tutto il mondo universitario. La situazione è migliorata rispetto ad alcuni anni fa, ma bisogna andare avanti. Il tema degli skill è legato a quello della complessità: poiché ogni software richiede uno specialista dedicato, le figure professionali servono. Ma l’uso di open standard, la capacità dell’integrazione e della semplificazione delle tecnologie (con algoritmi di AI e automazione) aiuteranno la richiesta di competenze”, illustra Francesco Teodonno.
“Le competenze non devono essere solo declinate al maschile: le competenze femminili in azienda portano un punto di vista diverso. Le imprese devono essere aperte alla diversity“, conclude Teodonno che spiega che il team cybersecurity di IBM è composto da donne al 30%.
Difendersi da phishing ed exploit
Dal 2018 il rapporto tra exploit noti e vulnerabilità è sceso di 10 punti percentuali. I cybercriminali hanno già accesso ad oltre 78.000 exploit noti, semplificando lo sfruttamento delle vulnerabilità più vecchie e non corrette.
Anche dopo 5 anni, le falle che portano a infezioni da WannaCry, secondo X-Force, registrano un aumento dell’800% del traffico di ransomware WannaCry nei dati di telemetria dall’aprile 2022. L’impiego continuato di exploit datati dimostra che le organizzazioni devono perfezionare e maturare programmi di gestione delle vulnerabilità, a partire da una più accurata comprensione del perimetro di attacco e dalla necessità di definire le priorità delle patch in base al rischio.
Poiché il phishing “rinuncia” ai dati delle carte di credito (-52% in un anno), significa che gli aggressori preferiscono dare priorità a informazioni di identificazione personale come nomi, email e indirizzi di casa, da vendere a un prezzo più alto sul dark web o da utilizzare per condurre ulteriori attività cyber crime.
