Ecco i principali risultati emersi dal Threat Landscape Report di Kroll relativi al quarto trimestre 2021
Rispetto ai tre mesi precedenti, il quarto trimestre 2021 è stato caratterizzato da un aumento di oltre il 350% del numero degli attacchi che hanno sfruttato una CVE (common vulnerabilities and exposures) o una zero day vulnerability, ossia una vulnerabilità di sicurezza informatica non espressamente nota allo sviluppatore o alla casa che ha prodotto un determinato sistema informatico. Nel corso degli ultimi tre mesi dello scorso anno, infatti, il 27% del totale degli attacchi informatici hanno utilizzato questi metodi per l’accesso iniziale ai sistemi (erano il 6% nel Q3 2021), dimostrando che i pirati informatici stanno sfruttando sempre più le falle dei sistemi, facendo leva su di esse, in diversi casi, nello stesso giorno in cui vengono individuate.
Durante gli ultimi tre mesi del 2021, l’intervento delle forze dell’ordine ha impedito un numero significativo di crimini informatici. Ad esempio, è stato messo offline il sito del ransomware REvil, sono stati effettuati arresti per l’attacco al provider statunitense di software Kaseya, mentre BlackMatter è stato chiuso insieme a diversi siti del dark web. In totale, nel quarto trimestre del 2021, 6 dei più importanti gruppi di criminali informatici sono stati smantellati. Di conseguenza, si è assistito a un picco della creazione di nuovi siti di estorsioni e di nuove varianti di ransomware, mentre i criminali informatici si sono adattati e riorganizzati in seguito alle azioni delle forze dell’ordine.
Nonostante una riduzione di 12 punti rispetto allo scorso trimestre, il phishing rimane lo strumento principale di approccio alle vittime: nell’ultimo trimestre del 2021, è stato infatti scelto nel 39% dei casi.
Anche se si è registrato un leggero calo nel numero di attacchi ransomware nel quarto trimestre, questi rimangono la principale minaccia per le organizzazioni, rappresentando il 40% del totale degli attacchi avvenuti nel periodo considerato. Conti (34% dei casi totali) e LockBit (10%) sono state le più diffuse varianti di ransomware osservate. Stanno inoltre emergendo gruppi ransomware non organizzati, che in alcuni casi vendono il loro accesso iniziale ai sistemi informatici ad altri gruppi criminali. Tra le altre tipologie di attacco, la compromissione di email aziendali raggiunge una quota del 27%, mentre l’accesso non autorizzato ai sistemi IT del 21,7%.
Il settore dei servizi professionali è stato quello in cui sono stati rilevati più attacchi (16% del totale), seguito da tecnologia/telecomunicazioni (12%), sanità (11%), manifattura (9%), servizi finanziari (8%) e istruzione (6%).
Commento di Keith Wojcieszek, Managing Director Cyber Risk di Kroll: “Non sorprende che phishing e ransomware siano tra le modalità di attacco informatico più presenti nell’ultima edizione del rapporto trimestrale Threat Landscape Report di Kroll, ma l’entità della riorganizzazione e dei nuovi attacchi compiuti dai gruppi di criminali informatici è stata insolita. Sebbene le forze dell’ordine abbiano compiuto progressi significativi nel fermare gli aggressori, il fatto che siano state rilevate nuove tipologie di ransomware e di siti di estorsione, uniti a gruppi ransomware non organizzati, dimostra la flessibilità e le intenzioni dannose di questi criminali. Se a questo si aggiunge il maggior numero di vulnerabilità dei software sfruttate dai creatori di ransomware e la velocità con cui i sistemi vengono compromessi, emerge chiaramente l’importanza di un’azione legislativa contro gli aggressori per fermare completamente la loro attività.
In particolare, le organizzazioni devono essere in grado di identificare le lacune nei loro sistemi di sicurezza, di rilevare rapidamente le minacce e di rispondere con decisione a quelle che riescono a superare le difese. Se si considera la velocità con cui gli aggressori sfruttano le vulnerabilità e la mole di lavoro necessaria per lo sviluppo delle patch da parte dei team di sicurezza, impiegare sei mesi per testare una patch prima della sua diffusione costituisce un grosso rischio per la sicurezza dei sistemi. Una reale resilienza alle minacce informatiche può essere testata e assicurata solamente da una approfondita verifica delle misure di sicurezza attraverso valutazioni delle vulnerabilità e la realizzazione di simulazioni di attacco tramite “red team”.”
Commento di Mario Ciccarelli, Vice Presidente Cyber Risk di Kroll: “Non è affatto una novità che ad oggi gli attacchi informatici si siano concentrati essenzialmente su due tipologie: il phishing e il ransomware. Perché queste due? Sono strettamente legate e fanno leva su una grande criticità: l’uomo. Il phishing trae vantaggio dalla consuetudine di ricevere ogni giorno decine o addirittura centinaia di messaggi, e il più delle volte i processi che regolano la verifica degli interlocutori sono fallaci o addirittura inesistenti. Il ransomware, invece, fa leva sulla mancanza di efficacia dei dipartimenti IT e Security nel seguire dei robusti processi di patch management e di monitorare attentamente ciò che accade all’interno dell’infrastruttura IT.
Il più delle volte non si tratta di mancanza di strumenti, ma del loro governo. Purtroppo, è proprio la mancanza della cosiddetta governance dei sistemi e delle informazioni a causare un incidente informatico. La maggior parte degli attacchi non sono per niente sofisticati e una corretta igiene informatica, il più delle volte con strumenti già in dotazione, ne abbassa il rischio in maniera sensibile. È essenziale essere preparati e investire in anticipo, invece che recuperare dopo, quando l’incidente è avvenuto e i dati sono ormai perduti.”
