SCOPRI I NOSTRI GESTIONALI

Attacchi informatici: i più diffusi in Italia nel Rapporto Clusit 2022

Attacchi informatici in Italia - rapporto Clusit 2022

I cyber attacchi aumentano e colpiscono anche le imprese, come emerge dall’ultimo Rapporto Clusit. Un quadro della situazione e alcuni consigli per difendersi.

 

Gli attacchi informatici sono in costante aumento, come evidenzia il rapporto Clusit 2022, pubblicato pochi giorni fa e che raccoglie i dati emersi da diverse fonti: l’analisi del Security Operations Center (SOC) di Fastweb, la ricerca realizzata da Libraesva sull’evoluzione dell’e-mail security in Italia, le rilevazioni di Polizia Postale, i dati di IBM sul Cyber-crime nel settore finanziario in Europa e, in appendice, uno studio realizzato da quattro esperti del CERT di Banca d’Italia.

In particolare, nel 2021 a livello globale si è registrato un aumento del 10% degli attacchi rispetto all’anno precedente. In Italia, il SOC di FASTWEB ha registrato oltre 42 milioni di eventi di sicurezza, con un aumento del 16% rispetto a quelli segnalati nel 2020.

Il rapporto evidenzia anche una costante crescita dei malware e botnet (+58% di server compromessi) ed un aumento delle infezioni anche sui dispositivi mobile, in cui si segnala in particolare FluBot, un malware che colpisce i dispositivi Android propagandosi attraverso link di phishing (una tecnica fraudolenta per sottrarre informazioni e dati sensibili agli utenti) condivisi tramite SMS o app di messaggistica.

In tema di e-mail security, infine, si segnala come le tecniche di attacco si siano evolute in forme sempre più subdole, difficili da riconoscere, monitorare ed intercettare.

Organizzazioni e aziende non possono più trascurare tutti questi fattori, e devono restare aggiornate sull’evoluzione delle diverse forme di attacco informatico. Non basta più dotarsi di contromisure come un buon antivirus o rispettare le più elementari norme di sicurezza – evitando, ad esempio, di aprire link provenienti da fonti sconosciute – ma è necessario adottare un approccio metodologico e culturale, specifico per ogni possibile oggetto di attacco (sito, server, posta elettronica, dispositivi mobili, ecc.). Inoltre, è fondamentale formare i propri dipendenti, affinché siano consapevoli di queste minacce e le evitino.

Cosa sono gli attacchi informatici

Si definisce attacco informatico o cyberattacco qualunque azione commessa da singoli individui od organizzazioni finalizzata a colpire reti e sistemi informatici, infrastrutture, o dispositivi elettronici allo scopo di sottrarre, alterare o distruggere dati, per spionaggio, estorsione o come atto dimostrativo.

Ciò avviene individuando una falla nella sicurezza del sistema/rete/server/dispositivo che si vuole colpire, infettando con un software malevolo (Virus, Trojan o Worm) che, a seconda dei casi, svolgerà determinate azioni.

Un attacco informatico può definirsi sintattico o semantico.
Nel primo caso si tratta di un attacco diretto, attraverso cui viene installato il malware o software malevolo, nel secondo caso può consistere nella modifica di dati e informazioni al fine di diffondere informazioni errate o fasulle, o di ledere l’immagine di un’organizzazione o di un individuo.

Altre tipologie di attacco hanno come finalità il furto di dati personali e password, mentre altre ancora si rivolgono ad obiettivi più specifici, come ad esempio l’interruzione di telecomunicazioni (attacco man in the middle) o l’interruzione di servizio (amplification attack).

Leggi anche “Come creare password sicure

Gli attacchi informatici più comuni in Italia: trend e tipi di attacchi

L’analisi sull’infrastruttura di rete di Fastweb, che comprende oltre 6,5 milioni di indirizzi IP pubblici e riportata nel Rapporto Clusit 2022, ha registrato oltre 42 milioni di eventi di sicurezza, con un aumento del +16% rispetto al Report 2020.

Oltre all’aumento degli attacchi informatici (quasi +10% a livello globale nel 2021), l’analisi ha evidenziato un costante trend di crescita della severity – ovvero l’impatto e le ripercussioni – degli incidenti, con il 32% caratterizzato da una gravità “critica” ed il 47% “alta”.

I cyber attacchi nel 2021 sono risultati meglio tarati e più mirati verso bersagli specifici, segnalando peraltro una sempre più forte coinvolgimento della criminalità organizzata dietro al fenomeno del cybercrime.

Malware e botnet restano tra i trend cybersecurity più rilevanti del 2021, con un netto +58% di server compromessi. Il 34% di queste minacce deriva da specifiche piattaforme, come ad esempio Andromeda, utilizzata per distribuire oltre 80 famiglie di malware, o Downadup, che consente di prendere il totale controllo dei server.

Anche a livello di dispositivi mobili aumenta sensibilmente la penetrazione di cyber minacce, a causa soprattutto di FluBot, un malware per dispositivi Android che si propaga tramite phishing via SMS e app di messaggistica.

In crescita anche i cosiddetti attacchi 0-Day, ovvero attacchi lampo che sfruttano falle sconosciute agli sviluppatori delle infrastrutture IT, e quindi non rilevabili dai normali sistemi di protezione.

La geografia degli attacchi malware si è spostata, interessando maggiormente server ospitati in Europa rispetto agli Stati Uniti, ma la loro entità è in continua crescita e deve essere affrontata adottando sistemi di protezione specifici per singola minaccia e indipendenti dal paese di origine.

Vediamo ora più in dettaglio le principali tipologie di attacco informatico.

Malware

Un malware (per intero: malicious software) è un software che consente di svolgere attività illecite ai danni di altri utenti. I malware si distinguono principalmente in due varianti:

  • Spyware: malware spia, utilizzato per individuare e sottrarre dati e informazioni sensibili dell’utente, come ad esempio password e credenziali di accesso a servizi bancari online;
  • Ransomware: malware che limita o blocca l’accesso ad un dispositivo,al fine di chiedere un riscatto (ransom in Inglese) per rimuovere la limitazione.

Questi malware possono poi suddividersi in virus, trojan (trojan horse), worm ed altre forme che, ognuna attraverso diverse modalità, infettano dispositivi e reti. Spesso i malware sono composti da più software che agiscono in modo coordinato.

Quasi sempre questi attacchi vengono lanciati in modo estensivo, con la logica della rete a strascico, pochi costi e buona resa economica perché permettono di “pescare nel mucchio”. Chi viene infettato, in genere, lo è per caso, ma le possibilità di venire colpiti è molto ampia.

Approfondisci il tema nell’articolo “Cos’è un malware

Attacchi Ddos

Un attacco DoS (denial-of-service, negazione di servizio) o, nella sua forma evoluta, DdoS (Distributed denial-of-service, negazione di servizio distribuita) è un cyber attacco in cui vengono inviati grandi quantità di dati ad una singola risorsa di rete per arrivare a saturarla e mandarla “fuori uso”.

Possono interessare i siti Web, ma anche le reti SMTP o FTP, e nel 2016 sono stati protagonisti di un enorme cyber attacco che ha messo fuori uso per alcune ore i siti di Netflix, Twitter, Amazon e The New York Times.

Anche in questo caso, l’attacco può essere rivendicato per chiedere un riscatto. Sono attacchi complessi, che interessano generalmente siti e reti di Pubblica Amministrazione o grandi aziende.

Attacchi su dispositivi mobili

Nel 2021 Fastweb ha rilevato una crescita di fenomeni fraudolenti che sfruttano il servizio SMS, soprattutto a causa di malware come il già citato Flubot, veicolati attraverso smishing, il phishing via SMS.

Il phishing è un tentativo di frode che ha come obiettivo quello di sottrarre informazioni sensibili, come username, password e numero di carta di credito. Il truffatore invia messaggi di posta elettronica a una grande quantità di persone (spesso decine di migliaia di email).
Il messaggio:

  • viene progettato affinché sembri provenire da un sito web o da una piattaforma nota ai destinatari;
  • invita l’utente a fornire i propri dati in seguito a determinati eventi (problemi intercorsi nell’erogazione del servizio, necessità di aggiornare le propria password, etc.), oppure per beneficiare di offerte esclusive;
  • contiene un link che rimanda a un sito fittizio, ma che assomiglia il più possibile a quello della piattaforma simulata. L’utente viene invitato a cliccare sul link e a inserire i propri dati all’interno del sito di destinazione, che vengono acquisiti dal truffatore.

Lo smishing è una forma di phishing che, anziché i messaggi di posta elettronica, utilizza gli SMS come canale di attacco.

Oltre a comportare potenziale perdita di dati per gli utenti, questi malware si diffondono
inviando nuovi SMS ai contatti che trovano nella rubrica dell’utente ed a numeri telefonici predefiniti da “command & control”, che possono portare a saturare e rallentare temporaneamente la rete.
Un’altra forma di smishing è costituita dai messaggi che invitano a chiamare numerazioni a pagamento (es. numeri 899).

Leggi anche “Truffa online: il malware che cambia l’IBAN

Attacchi via mail

Il rapporto ha evidenziato una crescita costante anche delle minacce che interessano i servizi mail. Ciò è sintomo di una continua evoluzione dei sistemi per eludere i sistemi di protezione dei servizi mail. Nell’87% dei casi – con una crescita dell’11% – vengono utilizzati malware e ransomware, mentre calano gli attacchi basati sull’invio diretto di allegati malevoli.

Tra gli obiettivi di questi attacchi, il furto dei dati personali degli utenti, come ad esempio, il «Credential Phishing», nonostante presenti un trend in lieve decrescita, resta la modalità di attacco più utilizzata, con un peso del 60% sul totale.

In questo tipo di attacchi, resta alta la minaccia individuale, in quanto essendo lanciati su larga scala possono colpire a caso anche il semplice utente privato, tuttavia va ricordato che gli attacchi mail sono sempre più spesso organizzati tramite campagne dedicate a ben specifici soggetti, come enti, istituzioni e imprese.

Leggi anche “Come difendersi dai ransomware

Come difendersi dagli attacchi: consapevolezza e protezione

Che si tratti di un’organizzazione, di un’azienda o di una piccola attività imprenditoriale, ormai tutti devono fare i conti con queste minacce. Il primo step per difendersi dagli attacchi informatici è ridurre la superficie di attacco, avvalendosi di un software antivirus.

È poi necessario integrare questi sistemi con soluzioni antimalware e antispam, per ridurre le possibilità di penetrazione di queste minacce.

Fondamentali, poi, sono frequenti e regolari controlli ai dispositivi e alla rete aziendale.

Tuttavia, la prima forma di prevenzione è una corretta formazione, per evitare che i dipendenti introducano accidentalmente virus nella rete o forniscano informazioni come credenziali o dati sensibili sulla base di richieste ingannevoli.

In questo senso, è bene predisporre un’accurata policy aziendale, che regolamenti l’utilizzo dei dispositivi e che comporti, in caso di errore, una procedura di recovery e business continuity (ovvero di pronta risoluzione della crisi e di mantenimento delle attività aziendali), oltre che ad un puntuale sistema di informazioni che, ad esempio tramite circolari o newsletter, renda note le principali cyber minacce del momento.

Particolarmente utile è anche effettuare periodicamente un penetration test, ovvero la simulazione di un attacco per valutare dall’esterno il livello di sicurezza aziendale, rivolgendosi ovviamente a professionisti qualificati.

Altre best practice per difendersi dai cyber attacchi sono:

  • documentarsi regolarmente su siti affidabili;
  • iscriversi alle newsletter dei principali antivirus;
  • aggiornare periodicamente i software (firewall, antivirus, antimalware…);
  • avere un occhio di riguardo nella scelta delle password aziendali;
  • effettuare periodici controlli della rete wi-fi aziendale.

Appofondisci le best practice per difendersi dagli attacchi informatici nella Guida Danea alla sicurezza informatica aziendale.

Tra i dati più confortanti emersi dal Rapporto Clusit, va sottolineato come in un anno sia calato del 16% il numero dei server e dispositivi privi dei livelli minimi di protezione, sulla scia di un trend degli ultimi anni che dimostra come organizzazioni e imprese stiano progressivamente aumentando le proprie linee difensive.

Ciò è dovuto ad una sempre maggiore consapevolezza da parte delle aziende rispetto ai rischi informatici ed alla necessità di investire nella sicurezza aziendale.
Il sempre maggior utilizzo di strumenti digitali interconnessi tra loro ha infatti messo imprese e PA di fronte alla necessità di una più attenta gestione della sicurezza dei propri sistemi informativi, a cui i dipendenti accedono sempre più in maniera remota e distribuita, in particolare dopo la recente diffusione dello smart working.
Policy aziendali e programmi strutturati di formazione sulla sicurezza informatica sono ad oggi strumenti indispensabili per garantire la sicurezza del proprio business.

Stefano

Dal 2001 scrivo per siti internet e blog (passando per quelle che una volta erano le webzine, le community, ecc ecc). Lavoro in proprio come freelance e collaboro con diverse agenzie di comunicazione e ...