Cybersecurity: lo stato delle minacce in Italia nel rapporto Yoroi 2022
Il Rapporto annuale 2022 di Yoroi fotografa lo stato delle minacce cibernetiche affrontate dal nostro Paese nell’anno precedente e individua le tendenze che a livello globale si riflettono sull’Italia.
Il rapporto evidenzia come le tecniche e procedure usate dai criminali informatici sono simili a quelle osservate negli anni precedenti: phishing, malware zero day, attacchi alla supply chain. Tecniche e strumenti perfezionati dagli aggressori per sfruttare meglio la debolezza del fattore umano con tecniche di ingegneria sociale e indurre le vittime a commettere errori basati sulla fretta, l’urgenza, e la distrazione.
Il volume del codice malevolo intercettato dalla tecnologia Yoroi-Tinexta secondo il rapporto è in costante crescita rispetto agli anni precedenti e le modalità operative degli attaccanti suggeriscono una netta suddivisione tra attacchi di tipo opportunistico e attacchi mirati.
Nel 2021 le maggiori problematiche di sicurezza informatica sono però state il fenomeno della Double Extortion e quello degli attacchi alla supply chain. Ci si attende che accada lo stesso nel corso del 2022.
La telemetria offerta dalla piattaforma Yoroi ha inoltre permesso di estrarre una serie di statistiche riguardo agli attacchi di tipo “zero-day Malware”, ovvero Malware non noti alle firme dei sistemi antivirus che rappresentano il 76% delle minacce Malware attuali.
Il phishing e lo spear phishing sono i vettori più adottati nel 2021 come inizio di una catena di attacco. A differenza dell’anno precedente, è stato osservato un aumento repentino del “drop and execute” con la conseguente adozione di attività di “Download” di componenti malevoli.
Proprio come evidenziato l’anno scorso, la maggioranza di malware presenti nelle organizzazioni osservate sono stati Trojan Bancari. Il principale vettore di ingresso è rappresentato da Ursnif con una presenza del 33.5% sul totale e quella di Emotet per il 18.9% dei campioni. Tali trojan sono vettori di ingresso ampiamente utilizzati per installare impianti malevoli di varia natura.
In Italia durante l’anno appena trascorso il phishing, con il 41.88% degli attacchi bloccati, è stata la minaccia numero uno da affrontare. Il secondo gruppo per volumi di richieste bloccate è rappresentato dai malware con una prevalenza pari al 38.08%; in questa categoria consideriamo tutte le famiglie di codice malevolo, a partire dai Trojan, arrivando ai ransomware, e agli info-stealer. La terza macro-famiglia di minacce bloccate sono stati i siti web dannosi con il 19.95%. In questo caso abbiamo soprattutto due possibili situazioni da considerare: gli attacchi di “Watering hole” e quelli prettamente opportunistici, quali adware, malvertising, click fraud e altri.
Il territorio d’origine di Botnet e Attacchi Opportunistici ripete una distribuzione tipica: al primo posto ci sono Stati Uniti con il 38% della quota (con aumento del 34% rispetto all’anno 2020; al secondo posto ci sono i tentativi provenienti dalla Cina (CN), costanti rispetto all’anno scorso al 24%; il terzo posto è conservato dalle infrastrutture russe, che dalla nostra telemetria contengono l’8% delle comunicazioni malevole.
Anche nel 2021 i cybercriminali continuano a preferire le email e la messaggistica come vettore di diffusione del malware: per il quinto anno di fila, le mail malevole rappresentano una parte rilevante dei cyber-attacchi. La strategia più utilizzate dagli attaccanti per sfruttare il vettore email sono le campagne di spam malevolo denominate “malspam”. Esse sono configurate per colpire singoli individui e piccole organizzazioni, ad esempio tramite mail di finte fatture con documenti Office malevoli.
Esaminando la telemetria raccolta dall’infrastruttura di monitoraggio del Cyber Security Defence Center, possiamo confermare che i documenti di Microsoft Office sono il vettore di consegna del malware più rilevante, rappresentando il modo più comune per diffondere il primo stadio della catena di infezione del malware. Infatti, i documenti Microsoft Word (35%) e i fogli di calcolo Excel (33,2%) rappresentano congiuntamente il 68,2% di tutti gli allegati maligni intercettati dai servizi Yoroi di email Protection.
Infatti, una delle ultime tattiche adottate dai cyber criminali è quella di comprimere gli allegati all’interno di un file di archivio (zip, gzip o rar, 7zip) e crittografarli con una password menzionata all’interno del corpo della mail. È un metodo abbastanza semplice, ma rimane una tattica molto efficace e su cui gli avversari fanno sempre più riferimento.
Nonostante non sia uno dei vettori più utilizzati, lo sfruttamento delle falle tecnologiche da parte di attori malevoli è gradualmente aumentato di popolarità. Nel corso del 2021, numerosi Vendor sono stati vittima di attacchi attraverso i loro prodotti, sia in maniera diretta come nell’eclatante caso di Kaseya, sia in maniera indiretta, con lo sfruttamento di gravi falle ritrovate all’interno dei loro apparati hardware e software.
Ogni business si basa su catene del valore che spesso trascendono gli stessi confini aziendali. Le filiere produttive sono sempre più complesse, intricate ed estese: alla base di un qualsiasi prodotto o servizio si possono trovare decine o centinaia di organizzazioni del tutto eterogenee, da microimprese a grandi gruppi, interconnesse tra loro con un ruolo e dei rischi associati. Nell’ultimo anno, uno di questi rischi in particolare si è manifestato con grande sorpresa: il rischio cyber della supply chain.
Verso fine 2021 è emersa quella che è sembrata per gli addetti ai lavori una grave catastrofe nell’ambiente della cybersecurity, un software open source usato all’interno di praticamente tutti i progetti scritti in linguaggio Java, sia in ambito open source che in ambito Entreprise: Log4j. Per tutto il dicembre 2021, dove gli attacchi erano in massa, il team del CSDC di Yoroi è stato attivo H24 per il monitoraggio dei tentativi di attacco per tale vulnerabilità.
Una delle caratteristiche più importanti del Cyber Security Annual Report di Yoroi riguarda i dati. I dati grezzi utilizzati non appartengono all’open source intelligence (OSINT) o alle rilevazioni di reti esterne, ma piuttosto a incidenti reali che sono stati gestiti da analisti umani. I dati utilizzati in questo rapporto, riguardano incidenti realmente accaduti.
La concretezza di questi dati fornisce quindi un importante spunto di riflessione e un’opportunità di miglioramento per i prossimi anni per quanto riguarda sia la formazione del personale in materia di security awareness che l’impiego di team specializzati come il nostro Defence Center per approntare le difese necessarie.
Contenuti correlati
-
I quattro trend nel futuro della supply chain secondo Remira Italia
Investire nella connettività digitale, spingere verso tracciabilità e trasparenza, trovare nuove strategie per rendere le supply chain più resilienti, garantire l’integrità e la coerenza dei dati: queste le quattro tendenze identificate da Remira Italia, azienda specializzata nell’offerta...
-
Mancano 5 milioni di esperti di cybersecurity – e adesso?
ISC2, la principale organizzazione non-profit al mondo per i professionisti della sicurezza informatica, ha stimato che quest’anno la carenza di professionisti della cybersecurity raggiungerà quota 4,8 milioni, segnando una crescita del 19% su base annua. Il gap...
-
Non c’è innovazione senza cybersecurity: il caso Dolomiti Energia
La cybersecurity è diventata una priorità per le aziende, da quando la tecnologia e l’innovazione hanno permeato i processi di produzione e di comunicazione. Da questa consapevolezza è nata la necessità del Gruppo Dolomiti Energia, a seguito...
-
Omron Europe ottiene la certificazione IEC 62443-4-1
Il reparto di ricerca e sviluppo di Omron Europe BV ha ottenuto la certificazione per lo standard IEC 62443-4-1 sui requisiti per lo sviluppo sicuro dei prodotti durante il loro intero ciclo di vita. Questa certificazione, rilasciata dall’ente riconosciuto a...
-
Advantech lancia il servizio di certificazione IEC 62443
Advantech lancia il servizio di certificazione IEC 62443, pensato per le esigenze di certificazione delle apparecchiature di edge computing in conformità alla norma IEC 62443 e agli standard correlati. Advantech offre una soluzione completa per aumentare la...
-
Accordo fra Bonfiglioli Consulting ed expert.ai per offrire soluzioni in ottica di digitalizzazione
Bonfiglioli Consulting, pioniere italiano della filosofia “lean thinking” specializzato da oltre 50 anni nell’ottimizzazione ed efficientamento delle operations, ha siglato un accordo con expert.ai, azienda leader nell’implementazione di soluzioni enterprise di intelligenza artificiale per creare valore di business....
-
Supply chain globale, il percorso in salita delle aziende italiane tra disponibilità, prezzi e normative
Negli ultimi mesi, i costi energetici elevati, le previsioni economiche negative e la difficile situazione del mercato globale hanno catalizzato l’attenzione dell’opinione pubblica. La congestione della supply chain non è stato uno degli argomenti principali. La situazione...
-
PMI sotto attacco: la direttiva NIS2 apre una nuova fase per la cybersecurity
La direttiva NIS2 (Network and Information Security Directive) rappresenta l’occasione per introdurre una nuova consapevolezza nei consigli di amministrazione delle aziende, nell’ottica di elaborare una strategia di cybersecurity a lungo termine e incentivare la competitività garantendo la...
-
Stormshield Data Security ottiene la certificazione Cspn da Anssi
Stormshield, esperto europeo in cybersecurity, ha ottenuto la certificazione di livello 1 (CSPN) per la versione on-premise della sua soluzione di protezione dei dati Stormshield Data Security (SDS). Questo riconoscimento da parte dell’Agence nationale de la sécurité des...
-
Supply chains: still vulnerable: V rapporto McKinsey sulle supply chain
La quinta edizione dell’ indagine annuale McKinsey ‘Global Supply Chain Leader Survey’ è stata condotta tra i dirigenti senior del settore delle forniture di diversi settori e aree geografiche. Il sondaggio, condotto tra aprile e giugno 2024, ha...