
(In) Sicurezza informatica in Italia
Attacchi Informatici, la situazione è drammatica e non c’è più tempo da perdere. Facciamo il punto

Nella foto “Attacchi per semestre 1H 2018 – 2H 2021 – Rapporto Clusit 2022 sulla Sicurezza ICT in Italia”
Chi è del settore sa che, da diversi anni, la quantità e la qualità degli attacchi, così come la loro severità e gli impatti sulle vittime, sono in costante crescita, e ogni anno che passa sembra il peggiore di sempre, per poi accorgersi, l’anno successivo, che quello appena trascorso è stato ancora peggiore del precedente.
Anche senza seguire riviste e account social specialistici ci si accorgerebbe comunque di questa tendenza perchè certe notizie cominciano, finalmente, a comparire anche sui quotidiani, ai telegiornali e alla radio. Ai rischi di sempre si è aggiunta, in questo periodo dell’anno, la crisi in Ucraina, che ha così peggiorato la situazione, già drammatica, della sicurezza informatica per le aziende e i cittadini. Per la prima volta un conflitto si sta combattendo oltre che sui fronti classici, quali acqua, cielo, terra e spazio, anche in quello Cyber. E in quest’ultimo fronte, a differenza degli altri, è molto più facile che un attacco fuoriesca dai confini per il qule era stato pensato e coinvolga, invece, chi con il conflitto non c’entra nulla e si trovi a migliaia di kilometri da esso.
Rapporto Clusit
Qualche settimana fa è stato presentato il Rapporto Clusit 2022 sulla sicurezza ICT in Italia. Il Clusit, l’Associazione Italiana per la Sicurezza Informatica redige e pubblica gratuitamente due volte l’anno, a marzo e Ottobre, un resoconto su quanto successo nell’ultimo semestre, in relazione anche al triennio precedente, in fatto di attacchi informatici, loro geografia, minacce prevalenti e attori coinvolti. Sono oltre settanta mila le copie del rapporto Clusit scaricate nel 2021.
L’ultimo Rapporto comincia così: “Nel 2021 gli attacchi nel mondo sono aumentati del 10% rispetto all’anno precedente, e sono sempre più gravi”. Ma del resto anche quelli del 2020 erano aumentati rispetto a quelli del 2019, anzi il 2020 era stato definito “l’anno peggiore di sempre in termini di evoluzione delle minacce “cyber” e dei relativi impatti”. A memoria, non ricordiamo che ci sia stato mai un anno che abbia visto una diminuzione delle minacce e degli attacchi rispetto all’anno precedente. E pensare che quando il Clusit ha pubblicato il suo primo Rapporto nel 2012 analizzando la situazione dell’anno 2011, lo definì come “l’Annus Horribilis della sicurezza informatica”.
Tornando alla situazione attuale, leggiamo sul rapporto come i danni derivati dagli attacchi informatici nel 2021 ammontino a 6,8 mila miliardi di dollari, ovvero pari a 4 volte il PIL italiano e come la categoria del “Cybercrime” rappresenti l’86% del totale degli incidenti. Dati, questi, che devono far riflettere, anche in considerazione che essendo basati su notizie di pubblico dominio, e sapendo bene che molti attacchi non vengono resi pubblici dalle aziende per ovvii motivi di reputazione, c’è da supporre che la situazione sia anche ben più grave di quella illustrata dal rapporto.
La distribuzione delle tecniche di attacco è una delle categorie che maggiormente varia nel corso del tempo (come anche la tipologia di vittime colpite) perchè dipende dal costante aumento della capacità degli attori criminali ma anche dall’opposta capacità di difesa che le potenziali vittime riescono a mettere in atto.
Ebbene, come possiamo osservare dalla tabella che segue, se è vero che in termini assoluti il malware la fa da padrone al primo posto con 850 casi, sono preoccupanti però, perchè in forte salita rispetto all’anno scorso, gli attacchi che sfruttano le Vulnerabilità conosciute e non (con un aumento del 60%) e quelli scagliati contro le Web Application (83%). In sostanza, scrive il rapporto “gli attaccanti possono fare affidamento sull’efficacia del Malware, prodotto industrialmente a costi decrescenti, e sullo sfruttamento di Vulnerabilità (note o meno), per colpire più della metà dei loro obiettivi (57% dei casi analizzati)”.

Distribuzione delle tecniche di attacco (2018 – 2021) – In salita Vulnerabilità e Attacchi Web.
Le Vulnerabilità
In termini di Vulnerabilità non c’è giorno dove non ne vengano individuate e pubblicate di nuove. Del resto software non aggiornati, applicazioni (web e non) e device nuovi messi in circolazione senza opportuni test preventivi, possono nascondere vulnerabilità, così come lo fanno configurazioni errate, password deboli o di default lasciate sui sistemi. Di conseguenza la ricerca delle Vulnerabilità in una rete informatica è una delle attività fondamentali che un’azienda dovrebbe effettuare per potersi proteggere da questo tipo di minaccia ed essere anche compliance alle normative e best practice di sicurezza informatica.
Nell’immagine che segue vediamo, a titolo informativo, gli alert delle ultime vulnerabilità scoperte e pubblicati sul sito del CSIRT Italia (Computer Security Incident Response Team – Italia) (istituito presso l’Agenzia per la Cybersicurezza Nazionale (ACN) alla data in cui stiamo scrivendo.

Gli ultimi alert sul portale del “Computer Security Incident Response Team – Italia (CSIRT)”
Malware e Botnet
Nel Rapportoio Clusit, da vari anni, è presente anche l’analisi Fastweb sulla situazione Italiana che raccoglie i dati del suo Security Operations Center (SOC). Questo, nel 2021, ha registrato oltre 42 milioni di eventi di sicurezza, con un aumento del 16% rispetto a quelli rilevati l’anno precedente. Ha osservato, inoltre, una continua crescita di Malware e Botnet, con un numero di server compromessi che fa segnare un netto +58%. Rilevanti e da non trascurare sono anche le infezioni nel settore del “mobile”, con la presenza nelle prime posizioni di FluBot, un malware per dispositivi Android che si distribuisce attraverso link di phishing condivisi grazie a SMS o app di messaggistica
Secondo poi il C.N.A.I.P.I.C (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche) della Polizia Postale e delle Comunicazioni, che nel 2021 ha gestito ben 5.509 attacchi informatici subiti da sistemi istituzionali, infrastrutture critiche e sensibili di interesse nazionale/regionale e grandi imprese, tra tutte le fattispecie delittuose ricomprese nella categoria cybercrime, il ransomware si è dimostrato un fenomeno costantemente in crescita per numero di attacchi perpetrati nonché in continua metamorfosi nelle modalità di offesa alle vittime.
Posta Elettronica – Phishing / Spam
E uno dei principali mezzi utilizzati dai criminali per veicolare malware (es il ransomware) e attaccare le aziende in cerca di vulnerabilità, anche umane (phishing, spam,… ), da sfruttare, rimane ancora oggi la posta elettronica e mai come in questo periodo, per i motivi più disparati (Covid, Guerra, ma per i criminali ogni occasione è buona), stiamo assistendo a continue campagne di Spam e Phishing che sfruttano tecniche sempre più sofisticate, subdole ed evolute.
A tal proprosito sono interessanti i risultati di una “Campagna di Phishing simulato”, classificata come “moderatamente difficile” (cioè erano stati lasciati all’interno del messaggio email alcuni indizi di maliziosità) effettuata da Libraesva attraverso una finta email di auguri natalizi inviata ai dipendenti di una grande azienda italiana. “Le campagne di phishing simulato sono lo strumento ideale per misurare la permeabilità di una organizzazione al phishing”.

Campagna di phishing simulato (Fonte: servizio PhishBrain di Libraesva)
Come vediamo dall’immagine in alto, che evidenzia i risultati del test, a fronte di circa 4200 email inviate, oltre la metà dei dipendenti l’ha aperta e, cosa assai pericolosa per l’azienda, quasi un quarto dei destinatari ha fornito le credenziali all’attaccante. Del resto “è sufficiente un minimo di personalizzazione, come la presenza di un semplice logo aziendale, per superare la gran parte delle difese” e poi “gli auguri aziendali ricevuti al momento giusto nel periodo prefestivo e la possibilità di un premio individuale la cui entità può essere rivelata autenticandosi, producono il risultato che abbiamo visto”.
Ransomware
Secondo la rubrica mensile “Ransomware data-room” della rivista di Cyber Security “Red Hot Cyber”, nel mese di marzo, l’Italia si trovava in seconda posizione in fatto di aziende colpite dai ransomware moderni, ovvero con “doppia estorsione” (una prima estorsione per poter decifrare i propri dati che i criminali hanno cifrato e un’altra perchè prima di cifrare i dati i criminali li hanno esfiltrati e quindi minacciano di pubblicarli).
Un tweet di “@darktracer_int” del 29 marzo, l’account twitter della famosa azienda Darktrace, illustrava la classifica dei paesi colpiti dal Ransomware “Conti”. Come possiamo vedere l’Italia ha una bella fetta sul grafico a torta che corrisponde alla sesta posizione (3,5%). Non è un caso, poi, se in data 06 maggio il Dipartimento degli Stati Uniti ha annunciato una ricompensa fino a 10.000.000 dollari per informazioni che portino all’identificazione e/o all’ubicazione di qualsiasi individuo che ricopra una posizione di leadership nel gruppo criminale transnazionale della variante ransomware Conti.

Crisi in Ucraina
La guerra tra Russia e Ucraina ha portato inevitabili rischi informatici anche per le aziende italiane e soprattutto, secondo gli esperti, per le piccole e medie imprese che potrebbero non disporre dei mezzi necessari a individuare e contrastare attacchi che nascono in contesti “Nation State”. Tra questi, durante attività di sabotaggio possiamo individuare, ad esempio, l’utilizzo di malware di tipo “Wiper (software sviluppato per cancellare completamente un sistema e quindi distruggerlo) o attacchi DDOS (Distributed Denial of Service) che mandano in crash i sistemi esposti.
Una pagina aggiornata con alert e informative sulle minacce che derivano dalla Guerra in corso in Europa si trova sul portale del CSIRT che nella home page ha una scritta rossa grande “ALERT” come vediamo in foto e che raccoglie tutte le minacce che derivano dalla situazione in Ucraina.

Ad esempio il 15 Marzo è stato emanato un Alert su “CaddyWiper” per la diffusione di un nuovo malware di tipo “wiper”, distribuito verso organizzazioni ucraine, mentre il 14 Marzo quello per una massiva distribuzione di e-mail malevole, per conto degli organi statali e destinate a diverse istituzioni similari ucraine, contenente false istruzioni relative all’aumento del livello di sicurezza della propria organizzazione.
Ma che rischi corrono le aziende Italiane? Il problema è che l’acuirsi delle attività malevole nello spazio cibernetico incrementa la possibilità che le stesse possano generare fenomeni di spillover al di fuori degli assetti direttamente oggetto delle campagne. E ciò può avvenire attraverso l’utilizzo di piattaforme pubbliche per il rilascio di software (malevolo), invio di email di phishing con link o allegati malevoli, malware distribuito tramite piattaforme peer to peer, sfruttamento di vulnerabilità note, e così via.
Tale situazione ha portato l’ Agenzia per la Cybersicurezza Nazionale, sentito il Nucleo per la Cybersicurezza, a pubblicare le “raccomandazioni di procedere urgentemente ad un’analisi del rischio derivante dalle soluzioni di sicurezza informatica utilizzate e di considerare l’attuazione di opportune strategie di diversificazione per quanto riguarda, in particolare, le seguenti categorie di prodotti e servizi, qualora quelle in uso fossero prodotte/fornite da aziende legate alla Federazione Russa:
- sicurezza dei dispositivi (endpoint security), ivi compresi applicativi antivirus, antimalware ed “endpoint detection and response” (EDR);
- “web application firewall” (WAF);
- protezione della posta elettronica;
- protezione dei servizi cloud;
- servizi di sicurezza gestiti (managed security service).
Sulla stessa linea è il Decreto-Legge 21/2022, pubblicato da poco in Gazzetta Ufficiale, prevede che tutte le Amministrazioni Pubbliche dovranno tempestivamente diversificare strumenti e servizi di sicurezza informatica prodotti da imprese legate alla Federazione Russa.
Inoltre, in merito ai rischi derivanti da questa situazione, sul sito del CSIRT è stato pubblicato il bollettino (BL01/220214/CSIRT-ITA) “Misure di protezione delle infrastrutture digitali nazionali dai possibili rischi cyber derivanti dalla situazione ucraina” che vanno ad indicare delle Misure organizzative e Tecniche supplementari a quelle che sono definite già come “migliori pratiche in materia di cybersicurezza e misure previste dalla legislazione vigente” allo scopo di elevare il livello di attenzione.
Conclusione
Per quanto trattato fino ad ora è evidente che non c’è più tempo da perdere, riportando quanto indicato dagli specialisti del Clusit nel loro report “il tempo della sottovalutazione dei problemi, del rimandare l’adozione di contromisure efficaci (evitando di investire quanto necessario) è terminato. Già da anni siamo di fronte a problematiche che per natura, gravità e dimensione travalicano costantemente i confini dell’ICT e della stessa Cyber Security, ed hanno impatti profondi, duraturi e sistemici su ogni aspetto della società, della politica, dell’economia e della geopolitica”.
AUTORE: Red Team SISTechnlolgy
Comments are closed.