Cybersecurity: lo stato delle minacce in Italia nel rapporto Yoroi 2022

Pubblicato il 1 aprile 2022
Yoroi cybersecurity 2022

Il Rapporto annuale 2022 di Yoroi fotografa lo stato delle minacce cibernetiche affrontate dal nostro Paese nell’anno precedente e individua le tendenze che a livello globale si riflettono sull’Italia.

Il rapporto evidenzia come le tecniche e procedure usate dai criminali informatici sono simili a quelle osservate negli anni precedenti: phishing, malware zero day, attacchi alla supply chain. Tecniche e strumenti perfezionati dagli aggressori per sfruttare meglio la debolezza del fattore umano con tecniche di ingegneria sociale e indurre le vittime a commettere errori basati sulla fretta, l’urgenza, e la distrazione.

Il volume del codice malevolo intercettato dalla tecnologia Yoroi-Tinexta secondo il rapporto è in costante crescita rispetto agli anni precedenti e le modalità operative degli attaccanti suggeriscono una netta suddivisione tra attacchi di tipo opportunistico e attacchi mirati.

Nel 2021 le maggiori problematiche di sicurezza informatica sono però state il fenomeno della Double Extortion e quello degli attacchi alla supply chain. Ci si attende che accada lo stesso nel corso del 2022.

La telemetria offerta dalla piattaforma Yoroi ha inoltre permesso di estrarre una serie di statistiche riguardo agli attacchi di tipo “zero-day Malware”, ovvero Malware non noti alle firme dei sistemi antivirus che rappresentano il 76% delle minacce Malware attuali.

Il phishing e lo spear phishing sono i vettori più adottati nel 2021 come inizio di una catena di attacco. A differenza dell’anno precedente, è stato osservato un aumento repentino del “drop and execute” con la conseguente adozione di attività di “Download” di componenti malevoli.

Proprio come evidenziato l’anno scorso, la maggioranza di malware presenti nelle organizzazioni osservate sono stati Trojan Bancari. Il principale vettore di ingresso è rappresentato da Ursnif con una presenza del 33.5% sul totale e quella di Emotet per il 18.9% dei campioni. Tali trojan sono vettori di ingresso ampiamente utilizzati per installare impianti malevoli di varia natura.

In Italia durante l’anno appena trascorso il phishing, con il 41.88% degli attacchi bloccati, è stata la minaccia numero uno da affrontare. Il secondo gruppo per volumi di richieste bloccate è rappresentato dai malware con una prevalenza pari al 38.08%; in questa categoria consideriamo tutte le famiglie di codice malevolo, a partire dai Trojan, arrivando ai ransomware, e agli info-stealer. La terza macro-famiglia di minacce bloccate sono stati i siti web dannosi con il 19.95%. In questo caso abbiamo soprattutto due possibili situazioni da considerare: gli attacchi di “Watering hole” e quelli prettamente opportunistici, quali adware, malvertising, click fraud e altri.

Il territorio d’origine di Botnet e Attacchi Opportunistici ripete una distribuzione tipica: al primo posto ci sono Stati Uniti con il 38% della quota (con aumento del 34% rispetto all’anno 2020; al secondo posto ci sono i tentativi provenienti dalla Cina (CN), costanti rispetto all’anno scorso al 24%; il terzo posto è conservato dalle infrastrutture russe, che dalla nostra telemetria contengono l’8% delle comunicazioni malevole.

Anche nel 2021 i cybercriminali continuano a preferire le email e la messaggistica come vettore di diffusione del malware: per il quinto anno di fila, le mail malevole rappresentano una parte rilevante dei cyber-attacchi. La strategia più utilizzate dagli attaccanti per sfruttare il vettore email sono le campagne di spam malevolo denominate “malspam”. Esse sono configurate per colpire singoli individui e piccole organizzazioni, ad esempio tramite mail di finte fatture con documenti Office malevoli.

Esaminando la telemetria raccolta dall’infrastruttura di monitoraggio del Cyber Security Defence Center, possiamo confermare che i documenti di Microsoft Office sono il vettore di consegna del malware più rilevante, rappresentando il modo più comune per diffondere il primo stadio della catena di infezione del malware. Infatti, i documenti Microsoft Word (35%) e i fogli di calcolo Excel (33,2%) rappresentano congiuntamente il 68,2% di tutti gli allegati maligni intercettati dai servizi Yoroi di email Protection.

Infatti, una delle ultime tattiche adottate dai cyber criminali è quella di comprimere gli allegati all’interno di un file di archivio (zip, gzip o rar, 7zip) e crittografarli con una password menzionata all’interno del corpo della mail. È un metodo abbastanza semplice, ma rimane una tattica molto efficace e su cui gli avversari fanno sempre più riferimento.

Nonostante non sia uno dei vettori più utilizzati, lo sfruttamento delle falle tecnologiche da parte di attori malevoli è gradualmente aumentato di popolarità. Nel corso del 2021, numerosi Vendor sono stati vittima di attacchi attraverso i loro prodotti, sia in maniera diretta come nell’eclatante caso di Kaseya, sia in maniera indiretta, con lo sfruttamento di gravi falle ritrovate all’interno dei loro apparati hardware e software.

Ogni business si basa su catene del valore che spesso trascendono gli stessi confini aziendali. Le filiere produttive sono sempre più complesse, intricate ed estese: alla base di un qualsiasi prodotto o servizio si possono trovare decine o centinaia di organizzazioni del tutto eterogenee, da microimprese a grandi gruppi, interconnesse tra loro con un ruolo e dei rischi associati. Nell’ultimo anno, uno di questi rischi in particolare si è manifestato con grande sorpresa: il rischio cyber della supply chain.

Verso fine 2021 è emersa quella che è sembrata per gli addetti ai lavori una grave catastrofe nell’ambiente della cybersecurity, un software open source usato all’interno di praticamente tutti i progetti scritti in linguaggio Java, sia in ambito open source che in ambito Entreprise: Log4j. Per tutto il dicembre 2021, dove gli attacchi erano in massa, il team del CSDC di Yoroi è stato attivo H24 per il monitoraggio dei tentativi di attacco per tale vulnerabilità.

Una delle caratteristiche più importanti del Cyber Security Annual Report di Yoroi riguarda i dati. I dati grezzi utilizzati non appartengono all’open source intelligence (OSINT) o alle rilevazioni di reti esterne, ma piuttosto a incidenti reali che sono stati gestiti da analisti umani. I dati utilizzati in questo rapporto, riguardano incidenti realmente accaduti.

La concretezza di questi dati fornisce quindi un importante spunto di riflessione e un’opportunità di miglioramento per i prossimi anni per quanto riguarda sia la formazione del personale in materia di security awareness che l’impiego di team specializzati come il nostro Defence Center per approntare le difese necessarie.



Contenuti correlati

  • L’arma segreta nella corsa per la cybersecurity

    Le imprese hanno adottato ampiamente i data lake come metodo per consolidare le informazioni provenienti da più fonti e migliorare i risultati grazie ad analisi e automazione. I responsabili della sicurezza, di conseguenza, stanno lavorando per allineare...

  • E4 Federico Pinca HPC
    Cybersicurezza nazionale, l’HPC avrà un ruolo chiave

    Federico Pinca, HPC Architect di E4 Computer Engineering, spiega come il calcolo ad alte prestazioni possa giocare un ruolo importante in tema di innovazione e sicurezza Noi che siamo nativi digitali (nati negli anni ‘80) almeno una...

  • Lapp: la connessione come ‘ponte’ fra safety e security

    Si è tenuta a Bologna la giornata di lavori intitolata “Industrial Network Security: come proteggere le infrastrutture 4.0?” organizzata da Lapp Italia e dedicata alla sicurezza. “Nata nl 1959 come azienda famigliare, Lapp conta oggi più di...

  • Sistemi di visione

    Diamo qui una panoramica delle tecnologie e dei sistemi di visione, la cui presenza è sempre più indispensabile in tutti i processi produttivi e lungo l’intera supply chain Leggi l’articolo

  • Industry 4.0: l’89% delle aziende è colpito da attacchi cyber e subisce milioni di perdite

    Nell’ultimo anno l’89% delle organizzazioni nei settori elettrico, oil&gas e manifatturiero ha subito un attacco cyber che ha danneggiato la produzione e la fornitura di energia. Il dato emerge da “The State of Industrial Cybersecurity”, l’ultimo studio...

  • Reply minacce informatiche
    Automation e AI sono la chiave per difendersi dalle minacce del mondo digitale

    La cybersecurity rappresenta oggi una priorità assoluta e contestuale all’implementazione di nuove tecnologie, dato il ruolo cruciale che sono arrivate ad occupare nelle nostre vite private e professionali. Smart Home, Connected Car, Delivery Robot: l’evoluzione non si...

  • Innovazione e ricerca, la Lombardia prima in europa nel campo della cybersicurezza

    È stato firmato nell’Aula Magna del Politecnico di Milano, l’accordo di collaborazione tra Politecnico di Milano, Regione Lombardia, Aria, Intesa Sanpaolo e il I Reggimento Trasmissioni dell’Esercito per la nascita di una rete di comunicazione quantistica a...

  • Lior Div Cybereason sicurezza informatica
    Sicurezza informatica, alcuni principi guida per il settore privato

    Cybereason ha pubblicato il report inaugurale del Cyber Defenders Council, un gruppo di 50 eminenze della sicurezza provenienti da organizzazioni del settore pubblico e privato in Nord America, EMEA e APAC. Il report intitolato Defend Forward: A Proactive...

  • Cybersecurity e convergenza IT/OT, le specificità del mercato farmaceutico

    Dall’arresto della filiera produttiva al furto di dati sanitari sensibili, fino alla manomissione di servizi pubblici primari, una cosa è certa: la continua evoluzione delle minacce digitali coinvolge sempre più i sistemi OT, con impatti devastanti sia...

  • A SPS Italia 2022 parliamo di cybersecurity con Stormshield

    A SPS Italia 2022 Automazione Oggi ha intervistato Davide Pala, pre-sales engineer di Stormshield. Automazione Oggi: Qual è lo stato normativo attuale in tema di cybersecurity industriale? Quali sono le conseguenze di questa situazione, quali misure e migliorie sarebbero...

Scopri le novità scelte per te x