Archivio progetti

REPORT ACRONIS H1 2024 Attacchi e-mail, ransomware e intelligenza artificiale, le principali minacce alla sicurezza informatica
Il report sulle minacce digitali nel primo semestre 2024, redatto da Acronis Threat Research Unit, contiene informazioni relative alle minacce ransomware, al phishing, ai siti web dannosi e alle vulnerabilità del software, oltre a suggerimenti su come proteggersi da tali minacce. Pubblicato ogni sei mesi, il report è considerato un punto di riferimento per le informazioni sulla sicurezza informatica. L’analisi offre spunti di grande utilità per gli utenti e per la vasta community globale che si occupa di Cyber Security e intende contribuire all’aggiornamento costante sugli sviluppi della sicurezza informatica.
“Gli attacchi via e-mail nel primo semestre del 2024, rispetto allo stesso periodo del 2023, sono aumentati del 293% e sono emersi nuovi gruppi di ransomware”. È questa una delle indicazioni più allarmanti che emergono dall’ultimo report sulle minacce digitali “Acronis Cyberthreats Report, H1 2024” redatto ogni sei mesi da Acronis, leader globale della Cyber Security e della protezione dati. Il report, basato su oltre un milione di singoli endpoint Windows distribuiti in 15 Paesi del mondo, intende fare luce sulle più recenti tendenze globali del settore della Cyber Security, rivelando i dati e i trend globali relativi ai malware registrati nel primo semestre dell’anno ed evidenziando anche l’uso crescente dell’intelligenza artificiale generativa e dei grandi modelli linguistici (LLM) da parte dei cybercriminali. Con specifico riferimento agli attacchi di malware, il Paese che a maggio 2024 risultava quello maggiormente colpito era rappresentato, a livello percentuale, dagli Stati Uniti (19,2%), seguito dal Brasile (10,7%) e dall’Italia (6,9%).Attacchi via e-mail e ransomware
Come sottolineato all’inizio di questo articolo, nella prima metà del 2024, le organizzazioni pubbliche e private hanno registrato un aumento preoccupante degli attacchi via e-mail, con il 40% degli utenti che dichiara di aver subìto almeno un attacco e il 26% che ha riscontrato tentativi di phishing tramite URL dannosi, finalizzati a compromettere i sistemi e sottrarre informazioni sensibili.
Oltre all’aumento esponenziale delle e-mail come vettore di attacco largamente utilizzato dai cybercriminali, il report evidenzia un aumento del 32%, tra l’ultimo trimestre 2023 e il primo semestre 2024, di ransomware, ovvero i programmi informatici “malevoli” che possono infettare un dispositivo digitale (PC, tablet, smartphone, smart TV), bloccando l’accesso a tutti o ad alcuni dei suoi contenuti per poi chiedere un riscatto (ransom) da pagare per “liberarli”. Nel primo trimestre 2024, sono stati registrati 10 nuovi gruppi di ransomware che, complessivamente, hanno rivendicato 84 attacchi informatici a livello globale; tra questi, LockBit, Black Basta e PLAY emergono come i più attivi contributori, essendo collettivamente responsabili del 35% degli attacchi. Le piccole e medie imprese (PMI), specialmente nei settori governativo e sanitario, sono tra le principali vittime degli attacchi stessi, a causa della loro vulnerabilità a questo tipo di minacce.
Peraltro, nonostante l’attività ransomware continui a crescere anno dopo anno, i dati rivelano un calo del 46% nei pagamenti di riscatto nel primo semestre 2024. Questo calo è un segnale promettente di una maggiore resilienza informatica in tutte le organizzazioni e di migliori sforzi di sicurezza all’interno di entità private e pubbliche; in sostanza, anche se gli attacchi ransomware sono più facili da lanciare, la loro redditività viene oggi maggiormente ostacolata rispetto al passato. Ad esempio, a febbraio 2024 è stata smantellata (almeno parzialmente) l’organizzazione ransomware LockBit che aveva perpetrato, a spese di aziende e governi di tutto il mondo, alcuni degli attacchi informatici più dirompenti e costosi della storia recente. In particolare, con l’operazione Cronos, guidata della National Crime Agency (NCA) del Regno Unito con il supporto di Europol, Eurojust e delle agenzie di polizia globali, sono state interrotte le operazioni di LockBit ed è stato preso il controllo della sua piattaforma principale e della sua infrastruttura critica, compresi 34 server in più Paesi, tra cui Paesi Bassi, Germania, Finlandia, Francia, Svizzera, Australia, Stati Uniti e Regno Unito. Inoltre, sono stati neutralizzati 14.000 account che venivano utilizzati per ospitare strumenti e archiviare dati rubati e sono stati confiscati 200 wallet di criptovaluta e 1.000 chiavi di decrittazione, determinanti nello sviluppo di strumenti di decrittazione disponibili al pubblico.
Tuttavia, a dimostrazione del fatto che nella lotta contro queste minacce informatiche non sono possibili distrazioni, occorre anche rilevare che, nonostante gli arresti di alcuni criminali chiave di LockBit, questo ransomware sta riemergendo e sta nuovamente impegnandosi nella sua attività criminale. Non solo: come già detto, nel corso del primo semestre 2024, sono emersi nuovi gruppi ransomware, che hanno già rivendicato decine di attacchi informatici.
Attacchi contro i Managed Service Provider (MSP)
I Managed Service Provider (MSP) – partner tecnologici delle aziende che desiderano delegare la gestione delle loro attività IT a soggetti specializzati – sono vittime privilegiate di attacchi e compromissioni, soprattutto attraverso phishing, social engineering, exploit delle vulnerabilità, compromissione delle credenziali e attacchi alla supply chain, che risultano tecniche particolarmente efficaci per violare le difese di Cyber Security degli MSP e mettere a rischio non solo i dati aziendali ma anche quelli dei clienti serviti.
In particolare, il phishing e il social engineering sono tattiche ingannevoli che inducono i dipendenti MSP a divulgare informazioni sensibili o a eseguire azioni dannose, facilitando accessi non autorizzati e violazioni dei dati; attraverso l’exploit delle vulnerabilità, i criminali informatici sfruttano le debolezze del software, dei sistemi operativi e dell’infrastruttura di rete per ottenere l’accesso iniziale alle reti MSP, spesso sfruttando vulnerabilità note con codice exploit disponibile al pubblico. Con la compromissione delle credenziali, gli aggressori rubano le credenziali MSP attraverso vari mezzi, tra cui phishing, exploit delle vulnerabilità nelle soluzioni di accesso remoto, ecc.; infine, con gli attacchi alla supply chain, gli autori delle minacce si infiltrano negli aggiornamenti software affidabili con malware, aggirando le misure di sicurezza tradizionali e ottenendo un accesso diffuso alle reti dei clienti. Ai Managed Service Provider Acronis raccomanda di adottare un approccio olistico a protezione dei dati, dei sistemi e delle infrastrutture digitali esclusive dei propri clienti. Con soluzioni integrate, gli MSP possono rendere la loro offerta di sicurezza più competitiva, aumentando al contempo la visibilità e la protezione sulle superfici di attacco.
In un panorama irto di minacce informatiche, gli MSP devono rimanere vigili e proattivi nella difesa contro gli attori malintenzionati che cercano di compromettere i loro sistemi e i dati dei loro clienti. Adottando un approccio di sicurezza multistrato, promuovendo una cultura di consapevolezza della sicurezza informatica e rimanendo al passo con le minacce emergenti e le best practice, gli MSP possono rafforzare le loro difese e proteggere le risorse digitali affidate alle loro cure. Attraverso la collaborazione, l’innovazione e un impegno costante per la sicurezza informatica, gli MSP possono continuare a fungere da partner fidati nella salvaguardia delle organizzazioni contro il paesaggio delle minacce in continua evoluzione. Nel grafico che segue si riportano, per numerosità e ripartizione percentuale, i principali vettori utilizzati dai cybercriminali nel primo semestre 2024 per attaccare gli MSP.
L’Intelligenza Artificiale: arma e difesa contro gli attacchi informatici
Un ruolo crescente nel perpetuare gli attacchi da parte dei cybercriminali nel primo semestre 2024 è stato svolto attraverso l’uso malevolo dell’intelligenza artificiale generativa, la cui esplosione ha reso la stessa AI non solo un argomento di tendenza, ma anche uno strumento accessibile alle masse, tanto che sia gli aggressori quanto i difensori hanno iniziato ad esplorarne il potenziale al fine di supportare i loro sforzi. Con l’emergere di nuovi modelli come Chat GPT, l’interesse per l’AI in tema di sicurezza informatica non mostra segni di cedimento, tenuto conto che alcuni aggressori hanno già iniziato ad utilizzare l’intelligenza artificiale generativa e i modelli di linguaggio di grandi dimensioni (LLM) nei loro attacchi. In questo campo, si possono distinguere due tipi principali di minacce AI: da un lato, le minacce generate dall’intelligenza artificiale, ovvero malware e altre minacce create utilizzando tecniche di AI che, tuttavia, non incorporano l’AI nelle loro operazioni, essendo l’AI un semplice strumento per la creazione di malware e minacce; dall’altro, i malware abilitati dall’intelligenza artificiale, che integrano l’AI nella sua funzionalità e possono contenere un modello di AI completo come un LLM, ma più comunemente, comunicano con un modello di intelligenza artificiale backend. Questo secondo tipo di minacce può adattarsi all’ambiente circostante e modificare il suo comportamento. A tale riguardo, il report descrive sei tipi di attacchi: e-mail dannose, deepfake utilizzati nella compromissione delle e-mail aziendali, estorsioni deepfake, bypass KYC, generazione di script e generazione di malware (vedi riquadro sottostante).
Di seguito, alcuni esempi su come l’intelligenza artificiale può essere utilizzata nella catena di attacco informatico:
- ricognizione: analisi di grandi set di dati da scansioni e social media per identificare modelli, automatizzare la profilazione del bersaglio ed effettuare selezioni;
- armamento: generazione di payload dannosi;
- consegna: generazione di e-mail di phishing personalizzate o esche deepfake e creazione di script di automazione per la consegna del payload;
- sfruttamento: esecuzione di scansioni di rete automatizzate e sfruttamento delle vulnerabilità;
- installazione: generazione di script e malware per movimenti laterali all’interno di una rete;
- comando e controllo: creazione di canali di comunicazione offuscati, adattati all’ambiente;
- azioni sugli obiettivi: automatizzazione della raccolta di dati e credenziali redditizie, nonché analisi dei dati sottratti per attacchi di follow-up.
Un altro metodo di attacco prevede il sovraccarico di richieste di LLM. Questo attacco DoS non solo degrada la qualità del servizio per gli utenti, ma consuma anche token di risposta, aumentando i costi per il proprietario del servizio che paga per le risposte. Chi utilizza l’intelligenza artificiale generativa nella propria organizzazione dovrebbe seguire le best practice per proteggersi da perdite di dati, problemi di privacy, risposte di codice false, pregiudizi sottostanti e avvelenamento dei dati del modello.
Peraltro, la stessa tecnologia AI può essere utilizzata per difendersi, rilevando e rispondendo proattivamente alle minacce. Dal momento che i tempi di reazione umani di fronte alle minacce non sono paragonabili ai tempi dell’intelligenza artificiale, abbiamo bisogno della stessa AI per rilevare e fermare gli attacchi 24 ore su 24 e collaborare con gli esperti per adottare le risposte più appropriate. Le funzionalità di AI generativa possono aiutare gli amministratori ad automatizzare le attività di routine per ridurre l’errore umano e liberare tempo per attività più critiche. L’utilizzo di modelli di AI sofisticati per rilevare e prevedere gli attacchi informatici, come i modelli di trasformazione per analizzare le sequenze di comportamento del malware, può aiutare a identificare attacchi sofisticati. Finora, né le minacce generate dall’AI né quelle abilitate dall’AI sono state in grado di aggirare completamente le moderne capacità di rilevamento: molto spesso il comportamento che mostrano è ancora rilevabile con le attuali soluzioni di protezione informatica, se applicate correttamente. L’intelligenza artificiale generativa può anche aiutare a stabilire le priorità degli attacchi, spiegare il loro impatto agli analisti, agire come un “esperto nel settore” che fornisce consulenza sulle best practice per i passaggi successivi e mitigare il divario di competenze in materia di sicurezza informatica che molte organizzazioni devono affrontare.
Raccomandazioni: insistere sulla formazione, sulla consapevolezza della sicurezza e sul consolidamento delle soluzioni
Va sottolineata l’importanza di un approccio olistico alla protezione dei dati, che include la formazione del personale e una pianificazione efficace delle risposte agli incidenti. In particolare, l’educazione di MSP e dipendenti aziendali sulle best practice di sicurezza informatica si è dimostrata efficace contro il prolifico panorama delle minacce, tanto che si può affermare che il calo della redditività del ransomware sia stato dovuto in buona parte ad una maggiore consapevolezza della sicurezza ed a misure potenziate di difesa. Sia gli sforzi guidati dall’uomo che le tecnologie di sicurezza informatica sono parti uguali dell’equazione della resilienza informatica. Da un lato, la formazione sulla consapevolezza della sicurezza consente ai dipendenti di riconoscere e segnalare tentativi di phishing, tattiche di social engineering e attività sospette; dall’altro, rafforzare le misure di sicurezza non implica solo investire in tecnologie all’avanguardia, ma anche adottare un approccio integrato alla sicurezza informatica e alla protezione dei dati per aumentare la gestione IT, l’efficienza e le prestazioni, nonché ridurre i costi e i problemi di compatibilità.
Il report offre, infine, una serie di raccomandazioni per rafforzare le difese informatiche, tra cui l’adozione di soluzioni come l’Extended Detection and Response (XDR) e l’autenticazione a più fattori, al fine di consentire alle organizzazioni di “essere al sicuro” nell’attuale ambiente di minacce informatiche. Se ne fornisce di seguito una sintesi:
- Il backup è essenziale quando le soluzioni di sicurezza informatica falliscono, ma va tenuto presente che le soluzioni di backup possono essere compromesse o disattivate e spesso funzionano lentamente, causando alle aziende una perdita economica a causa dei tempi di inattività.
- Molti attacchi hanno successo a causa di vulnerabilità non corrette. Occorre tracciare tutte le vulnerabilità scoperte e le correzioni rilasciate per affrontarle e consentire ad amministratori o tecnici di applicare facilmente le patch a tutti gli endpoint con una configurazione flessibile e report dettagliati.
- Ogni giorno compaiono in gran numero nuovi messaggi di phishing e siti web dannosi. Questi vengono spesso filtrati a livello di browser, ma le soluzioni di protezione informatica offrono funzionalità aggiuntive di filtraggio URL dedicate. i link dannosi possono provenire da qualsiasi luogo, comprese app di messaggistica istantanea, e-mail, post di forum online, ecc.
- La propria soluzione antimalware deve essere configurata correttamente e bisogna leggere attentamente i messaggi da essa provenienti, assicurandosi, qualora si tratti una versione a pagamento, che la licenza sia legittima.
- Le password devono essere sicure e private. Anche quando si lavora da casa, è opportuno bloccare il laptop o desktop e limitarne l’accesso. Sfruttando i dati biometrici, come impronte digitali o riconoscimento facciale, token hardware o verifica e-mail/telefono, l’autenticazione senza password fornisce un livello di sicurezza più elevato, riducendo al minimo il rischio di accesso non autorizzato.
- Le soluzioni non integrate consentono molteplici lacune di sicurezza che possono essere sfruttate dalle minacce alla sicurezza. Per affrontare queste lacune, le aziende dovrebbero passare a una soluzione integrata che combini sicurezza informatica, EDR/XDR, backup e disaster recovery. L’eliminazione di un patchwork di strumenti isolati aiuta a mantenere prestazioni ottimali, eliminare problemi di compatibilità e garantire un rapido ripristino.
TRE CASI DI RANSOMWARE RILEVATI NEL PRIMO SEMESTRE 2024
- Attacco ransomware Tietoevry
A gennaio 2024, il fornitore finlandese di servizi IT e cloud Tietoevry ha subito un attacco ransomware che ha preso di mira uno dei suoi data center in Svezia, interrompendo agenzie governative, università e aziende svedesi. Il gruppo ransomware Akira, identificato come il colpevole, ha colpito in particolare Primula, un’azienda di paghe e risorse umane utilizzata da molte università e autorità governative svedesi. Tale azienda impiega circa 24.000 dipendenti in tutto il mondo ed ha avuto un fatturato di 3,1 miliardi di dollari nel 2023. Tietoevry ha segnalato l’incidente alla polizia e ha riconosciuto la gravità dell’attacco, che faceva parte di un modello più ampio di attività di Akira in Finlandia da giugno 2023.
- Seven Seas Technologies
Ad aprile 2024, la Seven Seas Technologies con sede negli Emirati Arabi Uniti è stata vittima di un attacco ransomware da parte di Rhysida, che ha richiesto un riscatto di 6 BTC (circa 400.000 $). Il gruppo ransomware ha pubblicato il fornitore di servizi IT sul suo sito di fuga di notizie, insieme a screenshot di passaporti, contratti di manutenzione e altre informazioni riservate e ha pubblicato un campione dei dati sottratti.
- Scanda
A maggio 2024, Scanda, un fornitore messicano di soluzioni di consulenza IT e sicurezza con 25 anni di esperienza, è stato colpito da LockBit. L’azienda, che genera 23,6 milioni di dollari di fatturato annuo, ha subito la sottrazione di 387 GB di dati, tra cui informazioni di identificazione personale, documenti aziendali, informazioni legali, dati finanziari, buste paga, dati personali dei dipendenti, corrispondenza, informazioni sui clienti, contratti e backup di database.
STRATEGIE DI DIFESA CONSIGLIATE AI MANAGED SERVICE PROVIDER (MSP)
- Formazione sulla consapevolezza della sicurezza: istruire i dipendenti MSP sulle best practice di sicurezza informatica, per riconoscere e segnalare tentativi di phishing, tattiche di ingegneria sociale e altre attività sospette.
- Pianificazione della risposta agli incidenti: sviluppare e testare regolarmente un piano di risposta agli incidenti per garantire che gli MSP possano rilevare, contenere, mitigare e ripristinare efficacemente gli incidenti di sicurezza, per ridurre al minimo interruzioni e danni.
- Autenticazione a più fattori (MFA): applicare MFA per tutti gli account privilegiati e i sistemi critici, per aggiungere un ulteriore livello di sicurezza e per impedire l’accesso non autorizzato.
- Segmentazione di rete: segmentare le reti MSP per contenere e isolare potenziali incidenti di sicurezza, limitare il movimento laterale degli aggressori e ridurre l’impatto delle violazioni.
- Sicurezza degli endpoint con EDR/XDR: implementare soluzioni avanzate di protezione degli endpoint con funzionalità quali analisi comportamentale e AI, integrazione di intelligence sulle minacce e ripristino automatico, per rilevare e mitigare le infezioni da malware.
I PIÙ COMUNI TIPI DI ATTACCHI GENERATI DALL’INTELLIGENZA ARTIFICIALE
- E-mail dannose: il testo può essere scritto in più lingue e adattato a situazioni personali estraendo informazioni da social media. I cicli di feedback possono essere incorporati per adattare la messaggistica in base ai precedenti tassi di successo.
- Compromissione della posta elettronica aziendale deepfake (BEC): le truffe BEC sono popolari non solo tramite e-mail ma anche tramite chiamate vocali o video. Le convincenti videochiamate deepfake dei dirigenti possono convincere i dipendenti a trasferire denaro o inviare buoni regalo.
- Estorsione deepfake: l’uso di immagini deepfake ha aumentato le truffe estorsive come il sextortion. Le vittime sono minacciate con immagini pornografiche che mostrano i loro volti, che verranno rilasciate ai loro amici se le richieste di riscatto non saranno soddisfatte.
- Elusione KYC: la migliore qualità dei deepfake consente agli aggressori di creare carte d’identità false per eludere i processi KYC dei broker di criptovalute o superare l’autenticazione vocale biometrica dei sistemi di online banking.
- Generazione di script: gli script e gli strumenti di automazione che aiutano nel processo end-to-end degli attacchi informatici possono ridurre significativamente il tempo necessario per avviare e ridimensionare un attacco.
- Generazione di malware: l’intelligenza artificiale può essere utilizzata per generare malware semplici, come i ladri di informazioni, o per modificare il codice sorgente di malware esistenti, rendendolo più difficile da rilevare con le firme.
CONCLUSIONI CHIAVE DEL REPORT
- I Paesi maggiormente colpiti dagli attacchi malware nel primo trimestre del 2024 sono stati Bahrein, Egitto e Corea del Sud.
- Acronis ha bloccato quasi 28 milioni di URL all’endpoint nel primo trimestre del 2024, con un aumento del 3% rispetto al quarto trimestre del 2023.
- Per il 27,6% tutte le e-mail ricevute erano spam; l’1,5% conteneva malware o link di phishing.
- Ogni campione di malware sopravvive in media 2,3 giorni prima di scomparire.
- Ci sono stati 1.048 casi di ransomware segnalati pubblicamente nel primo trimestre del 2024, con un aumento del 23% rispetto al primo trimestre del 2023.
- Tre gruppi fortemente attivi sono stati i principali contributori agli attacchi ransomware, collettivamente responsabili di circa il 35% degli attacchi: LockBit ha rappresentato il 20% degli attacchi ransomware, seguito da BlackBasta e Play, rispettivamente con il 7,1% e il 7,0%.