Il report annuale Threat Landscape (ETL) di Enisa, giunto alla nona edizione, conferma che, nell’era post pandemia, la minaccia informatica più pericolosa è costituita dal cyber crime in modalità as-a-service insieme alla diffusione dei ransomware on demand, nell’era in cui i player del crimine informatico puntano soprattutto a capitalizzare i dati trafugati.
Gli autori degli attacchi informatici sono player governativi, al servizio di Stati, e hacker “a noleggio”, criminali informatici for-hire che agiscono come mercenari del cyber crime-as-a-service, che fornisce loro malware e strumenti di attacco in modalità servitization. “Il rapporto evidenzia, ove mai ve ne fosse bisogno, l’aumento del numero di attacchi e del loro livello di sofisticazione“, spiega Pierluigi Paganini, membro del gruppo “Ad-Hoc Working Group on Cyber Threat Landscapes”.
Indice degli argomenti
L’incentivo finanziario per gli attori del cyber crime
“Le attività riconducibile al crimine informatico hanno una matrice prettamente finanziaria“, sottolinea Paganini: “E assistiamo al consolidamento del modello del cyber crime-as-a-service, in cui criminali informatici forniscono propri servizi a reti di affiliati. Grazie a questo modello è estremamente semplice per un attaccante condurre attività malevoli come campagne di phishing, attacchi DDoS, attacchi ransomware, e persino organizzare campagne di disinformazione. Quest’ultima pratica, indicata come Disinformation-as-a-Service (DaaS), è esplosa in concomitanza della pandemia“. Conclude Paganini: “La modalità più diffusa nell’ultimo anno è senza dubbio quella del Ransomware-as-a-Service, ed a farne le spese organizzazioni di tutto il mondo prese di mira dagli affiliati delle principali gang ransomware come REvil e Conti”.
Le principali minacce per l’economia europea
Enisa, l’Agenzia europea per la cybersicurezza sulle minacce informatiche, ha evidenziato otto categorie di minacce alle cyber security, considerando il fatto che la nona, dedicata alle minacce alle catene di fornitura (supply chain), è stata analizzata nel dettaglio in un report ad hoc, intitolato “Enisa Threat landscape for Supply Chain Attack”:
- ransomware;
- malware;
- cryptojacking o cryptomining occulto;
- minacce rivolte alle email (non solo phishing, soprattutto durante lo smart working);
- minacce contro i dati (data leak e data breach);
- minacce contro disponibilità e integrità (attacchi DDos);
- disinformazione e fake news (soprattutto tramite AI)
- minacce non malevoli (errori umani e incidenti dovuti a configurazione di sistema);
- attacchi alle supply-chain.
La nuova minaccia dei ransomware on demand
Dal report di Enisa, la cui analisi copre il periodo fra aprile 2020 e lo scorso luglio, emerge che i ransomware, soprattutto in modalità on demand, rappresentano la minaccia numero uno che incombe sulla ripresa economica europea.
Subito dopo i ransomware-as-a-service, si piazzano nella classifica di Enisa delle minacce più pericolose del 2020-21 le organizzazioni governative, che agiscono sia sullo scacchiere globale che in quello nazionale.
Enisa ha osservato, inoltre, che il declino dei malware, già osservato nel 2020, continua nel corso del 2021, ma a questo calo corrisponde un aumento nell’utilizzo di nuovi o insoliti linguaggi di programmazione da parte dei cyber criminali.
Ransomware in modalità as-a-service (RaaS)
La monetizzazione delle attività cyber crime rimane la motivazione numero uno degli hacker “a noleggio”: infatti i ransomware chiedono un riscatto, da pagare in criptovalute, il metodo più comune di pagamento per gli attori del crimine informatico.
Nel 2020 il RaaS ha dominato due terzi delle campagne di ransomware. Sono molto popolari anche le attività ransomware di estorsione in cui gli hacker cercano di obbligare la vittima a pagare il riscatto, attraverso minacce molteplici: molto in voga è la “pubblica gogna”, la minaccia di pubblicare informazioni delicate e dati sensibili su siti di o su media. Aumentano anche le chiamate dirette ai responsabili dei sistemi o delle imprese o ai loro clienti o finanziatori e anche le aste dei dati sul dark web, sempre con l’obiettivo di piegare le vittime dei ransomware a pagare il riscatto, evitando il “public shame”.
Il cryptojacking
Il cryptojacking ha registrato un record in volume di infezioni nel primo trimestre di quest’anno, rispetto al passato. A spingere questa tipologia di attacco, che non punta a distruggere i sistemi vulnerabili, bensì a impiegarne le risorse per creare criptovalute in quello che di fatto è un cryptomining “nascosto”, è anche in questo caso la monetizzazione dell’attività cyber criminale. Trarre guadagni finanziari dai cyber attacchi è il motivo principale degli autori di reati informatici.
Ancora oggi, nelle campagne di attacco via e-mail, la Covid-19 rappresenta il subject di posta elettronica più abusato.
Le campagne 2021 dei tradizionali attacchi DDoS (Distributed Denial of Service) sono più mirate, più persistenti e più multi-vettore. La nuova ondata di DDoS guarda ai dispositivi IoT (Internet of Things) insieme agli attacchi alle reti mobili.
Nel 2020 e anche quest’anno, Enisa ha osservato un incremento degli incidenti non malevoli: la pandemia da Covid-19 ha moltiplicato gli errori umani e quelli nelle configurazioni di sistema, con i breach dello scorso anno causati soprattutto da errori.
Identikit degli attori cyber crime
L’Agenzia europea per la cybersicurezza sulle minacce informatiche indica quattro possibili identikit dei criminal hacker:
- attori governativi e sponsorizzati dagli Stati;
- cyber criminali;
- hacker for-hire, mercenari “a noleggio”;
- cyber attivisti.
Il cyber crime-as-a-service offre pacchetti di attacco “chiavi in mano”: caccia alle falle e sfruttamento delle vulnerabilità, sviluppo di malware, tecno-controllo, gestione attività, formazione e supporto clienti a chi acquista da queste società della servitization del crimine informatico. Gli hacker for-hire sono una sorta di mercenari “a noleggio” o freelance del crimine informatico, al servizio di governi, imprese e perfino singoli individui.
Le tendenze chiave del cyber crime
Enisa ha anche sottolineato quali sono le principali tendenze chiave del cyber crimine da tenere d’occhio:
- la proliferazione di sofisticati attacchi alle supply chain, a grande impatto (anche economico): i target dei criminali informatici sono innanzitutto i Managed service providers;
- cyber spionaggio che ha sfruttato l’emergenza Covid-19 per diffondersi;
- organizzazioni governative che conducono attacchi state-sponsored;
- l’incentivo economico come molla fondamentale per eseguire attacchi (come nei ransomware) lo sfruttamento delle criptomonete (come i Bitcoin), anche attraverso il cryptomining “nascosto”;
- attacco alle infrastrutture critiche;
- il modello di business dei ransomware as a Service (RaaS);
- il ransomware con “triple extortion”;
- Business E-mail Compromise (BEC) in aumento e con attacchi sempre più sofisticati e mirati;
- Ransom Denial of Service (RDoS), la nuova frontiera degli attacchi denial of service (Dos);
- disinformazione e fake news attraverso intelligenza artificiale (AI).
