Cybercrime, Fastweb: in Italia +180% di eventi malevoli, allarme rosso sul 2022

36 milioni di eventi malevoli registrati nel solo primo semestre 2021 che corrispondono numericamente a quelli di tutto il 2020, segnando dunque una crescita del 180% anno su anno: è uno scenario più che allarmante quello che emerge dall’analisi dei fenomeni più rilevanti elaborata dal Security Operations Center (Soc) di Fastweb nell’ambito del rapporto Clusit.

Due i principali fenomeni emersi dall’analisi sull’infrastruttura di rete di Fastweb – costituita da oltre 6,5 milioni di indirizzi IP pubblici su ognuno dei quali possono comunicare centinaia di dispositivi e server attivi presso le reti dei clienti: il primo riguarda un forte incremento nel primo trimestre degli attacchi di tipo “Proxy Logon”, il secondo riguarda invece l’incremento dell’attività dei ransomware con richiesta di riscatto.

Relativamente al fenomeno Proxy Logon, tale attacco – spiega la telco – consente di accedere ai server di posta elettronica delle aziende (su tecnologia Exchange) delle vittime riuscendo a violare gli account di posta elettronica, e veicolando attraverso di essi ulteriore software malevolo per aumentare la portata dell’attacco. “A partire dal mese di aprile tale attacco ha avuto una flessione vista la disponibilità di una patch per andare a risolvere la vulnerabilità nei sistemi di posta”, sottolinea l’azienda.

Sul fronte ransomware è stata osservata una crescita dell’attività di questo malware di circa il 350% rispetto allo stesso periodo dello scorso anno. E le conseguenze causate da questa ti­pologia di attacchi, sempre più aggressivi, diventano in qualche modo ancora più evidenti. Si vedano ad esempio gli attacchi a danno di strutture pubbliche che hanno bloccato l’operati­vità quotidiana. Ci sono però – evidenzia Fastweb – anche buone notizie perché l’attività della bot­net Emotet ha cessato di fatto la propria attività durante il mese di aprile 2021. “Gra­zie all’intervento congiunto di associazioni governative internazionali tale minaccia è sparita ma è importante evidenziare come nella cyber security sia importante il concetto di gioco di squadra. Da soli non si vince, è necessario mettere insieme le forze e soprattutto essere tutti consapevoli delle minacce cyber”.

Nella sua analisi Fastweb mette nero su bianco anche le previsioni per l’ultima parte dell’anno e per il 2022. “Gli attaccanti – si legge nel report – si stanno concentrando su quello che è il punto debole della catena della sicurezza, ovvero i dipendenti in smart working. Si registra, infatti, un crescente nu­mero di minacce sull’endpoint che arrivano addirittura a 90.000 rispetto allo stesso periodo dell’anno scorso (gen-sett) dove ci si fermava a 65.000, con una crescita del 40%”.

Secondo la telco per una lettura più completa dei fenomeni in atto è necessario iniziare ad analizzare anche le minacce sulla parte applicativa “visto che l’im­piego di queste tecniche è sempre più frequente e con impatti in termini di cybersecurity che saranno in futuro sempre più significativi”.

Da quest’anno infatti Fastweb contribuirà al Rapporto Clusit con un’analisi sul mondo del­le vulnerabilità e degli attacchi indirizzati ai software e ai sistemi applicativi delle aziende clienti del settore Enterprise e della Pubblica amministrazione, rilevati attraverso tecno­logie di tipo Web Application Firewall. “Dalle evidenze raccolte nei primi nove mesi del 2021, possiamo constatare che buona parte delle rilevazioni fa riferimento ad attività cyber correlate alla raccolta di informazioni (Information Gathering 54,8%).Tale attività, non essendo legata direttamente a un attacco è spesso legata ad attività preparatorie in ottica di raccogliere informazioni di dettaglio sui sistemi applicativi aziendali per sferrare successiva­mente un attacco mirato al server”.

Seguono per numerosità, tentativi di File Injection (18,3%) dove l’attaccante prova a inse­rire nel sistema file malevoli con l’obiettivo di prenderne il controllo e i tentativi di sfrutta­mento vulnerabilità verso applicativi Web (9,6%) come ad esempio CMS Joomla, Drupal, Wordpress. Nella categoria Generic Attack (6%) sono state inserite invece tutte quelle tipologie di at­tacchi che sfruttano exploit comuni ma non usano tecniche come SQL Injection (attacco diretto ad avere accesso ai dati, sfruttando le debolezze del linguaggio di programmazione per la gestione dei database), ad esempio LFI (Local File Inclusion).

Sempre presenti, anche se con percentuali minori, eventi di SQL Injection , di Cross Site Scripting (attacco finalizzato all’introduzione di codice non appartenente al sito che si sta visitando, costringendo l’utente a eseguire azioni non volute), e di Directory Traversal (at­tacco per avere accesso a file in directory in cui non si è autorizzati ad accedere) che ancora oggi sono vettori di attacco importanti nonostante queste metodologie siano ben note anche a chi sviluppa e mette in sicurezza l’applicazione.