898 obiettivi attaccati ed esposti alla pubblicazione dei propri dati in 79 paesi nel primo trimestre di quest’anno, con una crescita del 19% rispetto al trimestre precedente. Impennata degli attacchi tra gennaio e marzo 2023, con un aumento del 161%: dai 175 attacchi del primo mese dell’anno si è passato ai 475 del terzo.
THREATLAND REPORT CYBER SECURITY Q1
Come evidenziano i dati del Threatland Report Cyber security Q1 sul primo trimestre 2023 realizzato dal team di Threat Intelligence di Swascan, società del gruppo Tinexta fondata e guidata da Pierguido Iezzi, le minacce ransomware a imprese e istituzioni sono sempre più frequenti, con una particolare predilezione per le piccole e medie imprese. La distribuzione geografica delle vittime delle cybergang vede gli Stati Uniti come il Paese che ha subito il maggior numero di attacchi, con 405 aziende colpite. Seguono il Regno Unito con 63 e il Canada con 47. L’Italia si posiziona al sesto posto mondiale per numero di aziende colpite, con un totale di 26. Si tratta di un forte aumento rispetto al trimestre precedente, pari all’85,7% che indica la necessità urgente di adottare misure di sicurezza adeguate a proteggere le aziende italiane dalle minacce del ransomware.
I BERSAGLI DELLE AZIONI DI PHISHING
Diverse aziende e servizi online sono stati bersaglio di campagne di phishing, con l’utilizzo di Facebook in testa alla lista con il 18% degli attacchi: la popolarità del social network è stata sfruttata per convincere gli utenti a inserire le loro credenziali di accesso in siti web contraffatti, con l’obiettivo di rubare le informazioni personali degli utenti. Al secondo posto figura Office365, con il 17% degli attacchi di phishing, seguito da Bet365, con l’11%. Questo sito web di scommesse sportive è stato spesso utilizzato come esca per convincere gli utenti ad inserire le loro informazioni di pagamento. Al quarto posto si trova DHL con l’8%, spesso sfruttato dai criminal hacker per creare e-mail contraffatte che sembrano legittime, convincendo le vittime a fornire le loro informazioni personali. Per quanto riguarda gli strumenti d’attacco, i malware sono sempre più utilizzati in diversi modi per sostenere le aggressioni di ransomware: trojan e spyware sono usati per penetrare i sistemi delle vittime e raccogliere preziose informazioni, quali credenziali, password o accessi di sistema utili per poi lanciare attacchi ransomware più mirati, dannosi ed efficaci.
MALWARE MAGGIORMENTE DIFFUSI
I malware al momento più diffusi sono Hajime, con il 34% degli attacchi condotti tramite questo worm che si diffonde attraverso dispositivi IoT, smartphone, smartTV ed elettrodomestici di ultima generazione connessi a Internet, cercando di creare una rete botnet per aggredire altri sistemi, e Mirai, malware noto per essere stato utilizzato per attaccare dispositivi IoT in tutto il mondo, causando interruzioni di servizio e problemi di sicurezza, usato nel 33% dei casi. Al terzo posto della lista dei malware più diffusi si trova RecordBreaker, con il 12% degli attacchi: utilizza tecniche avanzate di evasione per eludere le misure di sicurezza, rendendolo particolarmente difficile da rilevare. Al quarto posto si trova Gozi, con l’11% degli attacchi: un trojan bancario che esfiltra le credenziali di accesso ai conti bancari online degli utenti, causando danni finanziari. Infine, al quinto posto della lista si trova Emotet, con il 10% degli attacchi: si diffonde principalmente attraverso e-mail di spam che contengono collegamenti o documenti dannosi.
LE CYBERGANG PIÙ ATTIVE NEL 2023
Le cybergang più attive nel primo trimestre 2023 sono LockBit con 227 attacchi, seguita da CLOP con 106 e da ALPHV/BlackCat con 94. Si tratta di un mondo in costante evoluzione, con alcuni gruppi in rapida ascesa e altri che subiscono un calo. Questo è il caso di Vice Society, che ha visto una crescita del 267% nella sua attività di attacco, concentrato sui settori sensibili e in particolare sull’istruzione, mentre ALPHV ha invece registrato un calo del 25% degli annunci da dicembre a gennaio. I dati mostrano chiaramente che gli attacchi ransomware si concentrano principalmente sulle piccole e medie imprese: l’80% degli attacchi ha infatti come obiettivo le aziende con un fatturato inferiore ai 250 milioni di euro, mentre il 62% degli attacchi ha riguardato realtà con meno di 500 dipendenti.
L’ATTENZIONE DEI CRIMINAL HACKER
«L’attenzione dei criminal hacker nei confronti del mondo delle credenziali, fortunatamente non è passata in sordina. Negli ultimi mesi le autorità internazionali hanno infatti chiuso due dei principali market per la compravendita di informazioni rubate. Questo però ha portato i criminali informatici a ripiegare in maniera più massiccia sul mondo dei trojan e infostealer per avere queste informazioni, adesso non più così facilmente reperibili – spiega il CEO di Swascan Pierguido Iezzi -, quanto riportato in questo studio ci da un’idea degli scenari futuri di evoluzione del mondo del cyber crime. Per contrastare la continua crescita di questo mondo è necessario quindi giocare d’anticipo, in particolare andando ad anticipare i vettori d’attacco e agendo in maniera preventiva e proattiva sui singoli step della cyber kill chain prima che vengano conclusi nella loro interezza».
SICUREZZA ASSOCIATA A SENSIBILIZZAZIONE
Ad avviso di Iezzi, questo passa non solo per le misure tecniche di sicurezza predittiva, preventiva e proattiva, ma anche attraverso una generale e diffusa opera di sensibilizzazione nei confronti delle minacce, sia nel mondo del privato che in quello del pubblico. «È anche auspicabile – egli conclude – che, per quanto riguarda il nostro sistema paese, non si fermino le opere in supporto alla difesa cyber delle aziende. Quanto di buono è stato fatto e verrà fatto grazie al Piano nazionale di resilienza e ripresa potrebbe essere affiancato da un’ulteriore defiscalizzazione degli investimenti nel campo della cyber security».