cybersicurezza
Oltre ai ransonware si diffondono nuovi attacchi informatici

Da 7 minuti siete seduti al computer e si sono già verificati dei possibili attacchi informatici nel vostro sistema. Proprio così secondo i risultati del report di CrowdStrikeNowhere to Hide: 2022 Falcon OverWatch Threat Hunting” ogni 7 minuti un hacker cerca di entrare in un computer. Come dicono gli esperti, i tempi di breakout da parte degli avversari di eCrime si stanno riducendo. A spiegare cosa stia accadendo ai nostri device, ma soprattutto come impedire che accada è CrowdStrike, azienda che ha fatto della protezione gli endpoint, dei workload in cloud e dell’identità e dei dati il proprio marchio di fabbrica. Proprio in questi giorni ha annunciato la pubblicazione della quarta edizione del report annuale sul threat hunting di CrowdStrike Falcon OverWatch: Nowhere to Hide: 2022 Falcon OverWatch Threat Hunting Report.

Le notizie non sono buone per i computer

Nel 2022 i pirati informatici hanno deciso di darti più da fare. Secondo il report i tentativi di intrusione sono cresciuti del 50%. Secondo gli esperti si parla di 77mila mila potenziali intrusioni. Una ogni sette minuti. Falcon OverWatch ha calcolato che il tempo di breakout – il tempo impiegato da un avversario per muoversi lateralmente da un punto di accesso iniziale verso altri sistemi della rete – degli avversi di eCrime è sceso a 1 ora e 24 minuti, rispetto all’ora e 38 minuti, come riportato nel 2022 CrowdStrike Global Threat Report da Falcon OverWatch. Inoltre, Falcon OverWatch ha scoperto che in circa un terzo (30%) delle intrusioni di eCrime, l’avversario era in grado di muoversi lateralmente in meno di 30 minuti.  “Negli ultimi 12 mesi il mondo ha affrontato nuove sfide determinate dalle pressioni economiche e dalle tensioni geopolitiche, che hanno reso lo scenario delle minacce informatiche più complicato che mai”. La combinazione della piattaforma CrowdStrike Falcon con la telemetria, gli strumenti, la threat intelligence e l’ingegno umano di Falcon OverWatch, protegge le imprese a livello globale dalle minacce informatiche più sofisticate e nascoste”.

Quali sono i principali risultati emersi dal report sugli attacchi informatici

L’eCrime è la minaccia principale per le campagne di intrusione interattiva. L’eCrime rappresenta il 43% delle intrusioni interattive, mentre le attività state-nexus si attestano al 18%. Gli hacktivisti rappresentano solo l’1% delle campagne di intrusione interattiva, mentre la percentuale restante non è stata attribuita. Gli avversari continuano ad allontanarsi dal malware. Le minacce prive di malware rappresentano il 71% di tutti i rilevamenti indicizzati dal CrowdStrike Threat Graph. La predominanza di attività malware-free è legata, in parte, al prolifico abuso di credenziali valide da parte degli avversari per facilitare l’accesso e la persistenza negli ambienti delle vittime. Un altro fattore riguarda è la velocità con cui nuove vulnerabilità vengono divulgate e con cui gli avversari sono in grafo di rendere operativi gli exploit.

Il settore tecnologico figura come quello più preso di mira per le intrusioni interattive. I cinque settori principali presi di mira dalle intrusioni sono quello tecnologico (19%), telecomunicazioni (10%), manifatturiero (7%), istruzione (7%) e sanitario (7%). È importante constatare come il settore tecnologico sia quello colpito il 90% in più dalle intrusioni interattive, rispetto al settore che si posiziona al secondo posto. Le telecomunicazioni sono quelle più colpite dalle intrusioni da parte degli autori sponsorizzati dagli Stati-Nazione. I primi cinque settori presi di mira da questo tipo di intrusione sono le telecomunicazioni (37%), tecnologico (14%), pubblica amministrazione (9%), istruzione (5%) e media (4,5%). Le telecomunicazioni continuano ad essere nel mirino per soddisfare le priorità di sorveglianza, intelligence e controspionaggio sponsorizzate dallo Stato. In particolare, il settore Telco è stato colpito il 163% più frequentemente dalle intrusioni state-nexus rispetto al settore che si posiziona al secondo posto. Il settore sanitario si trova nel mirino degli affiliati al Ransomware-as-a-Service (RaaS). Il volume di tentativi di intrusioni interattive contro questo settore è raddoppiato anno su anno. Un numero significativo di queste intrusioni è stato attribuito all’eCrime

LEGGI ANCHE: Dark web: mail e password nelle mirino dei pirati digitali

Chi c’è dietro questi attacchi informatici

A leggere questi dati non si può non pensare che ogni qualvolta che si accende un computer il nostro privato sia esposto a violazioni di ogni tipo, che vanno dai furti di identità, fino a quelli di credenziali bancarie, per non parlare dei dati sensibili, legati alla salute, che subito dopo una pandemia rappresentano senza dubbio un target di interesse. Quello che spaventa però è affrontare l’ignoto, il non sapere chi ci sia dall’altra parte dello schermo, che sia la bella ragazza che scrive promettendo amicizia o altro via social, o il giovane africano che lancia un appello per salvare la sua famiglia o,peggio, la minaccia silenziosa che si è già infilata nel nostro computer, quando abbiamo scaricato qualche programma magari free. “Un cliente – racconta Luca Livrieri senior manager sales engineering southern europe di CrowdStrike – mi dice puoi cercare se ci sono le mie credenziali in vendita. E c’erano. Poi mi chiede: “Me le puoi comprare?”, cosa che io non faccio, perché i criminali noi li combattiamo. Questo è il caso da manuale di truffa sul web, quella che ha alle spalle degli interessi economici”. Chi ha un intento economico si divide in tre macrogruppi. C’è chi deve fornire servizi al macrosistema criminale, che lavora come aziende con modalità di customer care, chi è responsabile di raggiungere il maggior numero di vittime a scopo di monetizzazione e chi banalmente effettua delle compravendite-. “Si tratta- continua – di attacchi in modalità composita. C’è chi va a prendere credenziali su siti di terze parti e punta sul fatto che la stessa mail o lo stesso account sia usato su più sistemi e poi le rivende a chi effettua attacchi. E c’è chi addirittura vende le credenziali alle aziende”.

LEGGI ANCHE: L’Italia è ancora troppo debole contro gli attacchi informatici

Si tratta ormai di cybermafie 

Sono quindi passati i tempi del nerd solitario che dalla propria cameretta attaccava per pure divertimento i siti della Nasa, o della passionaria che difendeva l’ambiente colpendo la rete informatica delle grandi multinazionali. Dietro agli attacchi informatici ci sono gruppi, che dice lo stesso Livrieri, ormai operano come mafie, che creano pacchetti in vendita nel dark web e che possono essere usati da chiunque. Anche da persone in apparenza oneste. La parola celata dietro questo sistema è oggi riciclaggio. “L’attacco può arrivare – continua – per conto di chi compra le credenziali e ci sono aziende che si occupano di pulire il denaro rubando numeri di carte di credito e aprendo conti correnti in modalità molto veloci”.