Anche nel 2021 i due maggiori fenomeni osservati a livello di sicurezza informatica sono stati quello della double Extortion e quello degli attacchi alla supply chain. A dirlo è l’edizione 2022 del Rapporto 2022 di Yoroi (Tinexta Group), che fotografa lo stato delle minacce cibernetiche affrontate dal nostro paese nell’anno precedente e individua le tendenze che a livello globale si riflettono sull’Italia.
Il rapporto evidenzia come le tecniche e procedure usate dai criminali informatici siano simili a quelle osservate negli anni precedenti: phishing, malware zero day, attacchi alla supply chain. Soluzioni e strumenti perfezionati dagli aggressori per sfruttare meglio la debolezza del fattore umano con tecniche di ingegneria sociale e indurre le vittime a commettere errori basati sulla fretta, l’urgenza, e la distrazione. Una delle caratteristiche peculiari del Cyber Security Annual Report di Yoroi riguarda i dati. I dati grezzi utilizzati non appartengono all’open source intelligence (Osint) o alle rilevazioni di reti esterne, ma piuttosto a incidenti reali che sono stati gestiti da analisti umani. I dati utilizzati in questo rapporto, riguardano dunque incidenti realmente accaduti.
Il codice malevolo è in costante crescita
Il volume del codice malevolo intercettato dalla tecnologia Yoroi-Tinexta secondo il rapporto è in costante crescita rispetto agli anni precedenti e le modalità operative degli attaccanti suggeriscono una netta suddivisione tra attacchi di tipo opportunistico e attacchi mirati.
La telemetria offerta dalla piattaforma Yoroi ha permesso di estrarre una serie di statistiche riguardo attacchi di tipo “zero-day Malware”, ovvero Malware non noti alle firme dei sistemi antivirus, essendo il 76% delle minacce Malware di tipo 0-day. In questo contesto, il phishing e lo spear phishing sono i vettori più adottati nel 2021 per avviare la catena di attacco.
Come evidenziato nel 2020, la maggioranza dei Malware individuati in Italia appartengono alla tipologia dei Trojan Bancari. Il principale vettore di ingresso è rappresentato da Ursnif con una presenza del 33.5% sul totale e la presenza di Emotet per il 18.9% dei campioni.
Tuttavia, durante il 2021, il phishing, con il 41.88% degli attacchi bloccati, è stata la minaccia numero uno da affrontare. Il secondo gruppo per volumi di richieste bloccate sono i malware con una prevalenza pari al 38.08%. La terza macro-famiglia di minacce bloccate sono i siti web dannosi con il 19.95%.
Per quanto riguarda Botnet e Attacchi Opportunistici, in base alle osservazioni esiste una distribuzione tipica dell’origine delle incursioni in cui gli Stati Uniti come territori d’origine occupano anche quest’anno il primo posto con il 38% della quota, aumentando rispetto all’anno 2020 (34%). Inoltre, i tentativi provenienti dalla Cina sono rimasti costanti rispetto all’anno scorso al 24%. Il terzo posto è conservato dalle infrastrutture russe, che dalla nostra telemetria contengono l’8% delle comunicazioni malevole.
Anche nel 2021, gli attori malevoli continuano a preferire le email e la messaggistica come vettore di diffusione del malware: per il quinto anno di fila, le mail malevole rappresentano una parte rilevante dei cyber-attacchi.
I cyber-attacchi sfruttano le falle di Microsoft Office
“Esaminando la telemetria raccolta dall’infrastruttura di monitoraggio del nostro Cyber Security Defence Center”, commenta Yoroi, “possiamo confermare che i documenti di Microsoft Office sono il vettore di consegna dei malware più rilevante. Durante il 2021 è stata individuata una significativa tendenza da parte degli attori criminali a sperimentare nuove tecniche per lo sfruttamento dello strumento di produzione di documenti elettronici più usato al mondo per diffondere codice malevolo. Nonostante non sia uno dei vettori più utilizzati, lo sfruttamento delle falle tecnologiche da parte di attori malevoli – specie sul perimetro esterno – è gradualmente aumentato di popolarità nel 2021”.
Nel corso del 2021, numerosi vendor sono stati vittima di attacchi attraverso i loro prodotti, sia in maniera diretta come nell’eclatante caso di Kaseya, sia in maniera indiretta, con lo sfruttamento di gravi falle ritrovate all’interno dei loro apparati hardware e software.
Verso la fine del 2021 è emersa quella che è sembrata, per gli addetti ai lavori, una grave catastrofe nell’ambiente della cybersecurity, un software open source usato all’interno di praticamente tutti i progetti scritti in linguaggio Java, sia in ambito open source che in ambito Enterprise: Log4j. Per tutto il dicembre 2021, dove gli attacchi erano in massa, il team del Csdc di Yoroi è stato attivo H24 per il monitoraggio dei tentativi di attacco per tale vulnerabilità.
Focus sulla supply chain
Gli attacchi alla supply chain sono stati, come detto, di particolare rilevanza. Ogni business si basa su catene del valore che spesso trascendono gli stessi confini aziendali. Le filiere produttive sono sempre più complesse, intricate ed estese: alla base di un qualsiasi prodotto o servizio si possono trovare decine o centinaia di organizzazioni del tutto eterogenee, da microimprese a grandi gruppi, interconnesse tra loro.
Ognuno di questi enti, questi piccoli nodi nell’intricato grafo di relazioni commerciali che formano la catena di supply chain aziendale, hanno un ruolo e con esso dei rischi associati. “Per far fronte a questi rischi nel prossimo futuro”, conclude Yoroi, “è necessario compiere ancora significativi sforzi di miglioramento nella gestione delle Cyber-Crisis, diventando capaci di sviluppare politiche aziendali e tecnologiche di protezione per prevenirli e contenerli”.
