Cybersecurity: almanacco del 2021 e trend per il 2022

di Redazione TecnoGazzetta

Cybergon, business unit di Elmec Informatica dedicata alla cybersecurity traccia la cronistoria degli attacchi del 2021 e delinea gli ambiti di maggior interesse per i threat actor nel 2022.
Tra il primo e il secondo semestre del 2021, raddoppiati gli incidenti legati agli attacchi alle aziende italiane.

Se il 2020 è stato considerato l’anno zero della cyber security, quello in cui tutti hanno scoperto il lato oscuro del digitale e ne hanno compreso i rischi, è possibile affermare che con il 2021 si conclude l’anno uno della sicurezza informatica, quello in cui la consapevolezza ha dovuto lasciare il posto all’azione. Il Rapporto Clusit 2021 evidenzia come i costi degli attacchi cyber abbiano ormai superato il valore del 6% del PIL mondiale. Ecco, quindi, che si fanno avanti investimenti, piani di difesa e risposta alle minacce, tecnologie. CybergON, business unit di Elmec Informatica dedicata alla cybersecurity, traccia lo stato dell’arte delle minacce nel 2021 e delinea i possibili scenari che si aprono nel nuovo anno.

Tutti gli attacchi del 2021

L’anno è iniziato con una delle operazioni più significative della storia della lotta al cyber crime: la chiusura di Emotet. Un’operazione particolare anche per la grandiosa collaborazione tra forze dell’ordine di tutto il mondo che, forti di questa sinergia, hanno messo fine a una delle botnet più pericolose e note.
L’operazione, tuttavia, è stato tanto famosa quanto inutile. A novembre Emotet è tornato con una nuova campagna, chiamata Operazione Reacharound, che sfrutta altre infrastrutture per la propria distribuzione.

Tra marzo e aprile si sono susseguite una serie di attività pericolose che hanno innalzato di molto l’attenzione della stampa e delle aziende. La più eclatante è stata ProxyLogon, la vulnerabilità 0-day di Microsoft Exchange, che ha messo in ginocchio oltre 250 mila aziende nel corso di due mesi.

Il filone degli attacchi alla supply chain iniziato nel 2020 con SolarWinds Orion ha preso definitivamente piede nel 2021 con Kaseya e altri player di mercato. Questo e altri metodi di attacco – il phishing rimane tra i più diffusi – hanno contribuito a compromettere ogni genere di azienda, con un focus globale sul settore manifatturiero e ingegneristico, healthcare, servizi e tecnologia.
Una ricerca di Verizon ha indicato che nel 2021 si sono registrati quasi 30.000 attacchi dovuti per lo più ad attività di social engineering e server exploitation.

Il 25% degli attacchi mappati nel primo semestre del 2021 è stato diretto verso l’Europa. Il dato è interessante perché, secondo il rapporto Clusit, nel 2020 gli attacchi gravi contro l’Europa sono stati il 17% ed erano solo l’11% nel 2019.

Poi la pausa estiva, per molti ma non per tutti. In particolare, gli attaccanti hanno agito su due fronti in Italia: la Pubblica Amministrazione e il settore Privato.

Nel primo caso, abbiamo assistito ad attacchi di impatto enorme su alcuni enti pubblici. È il caso di Regione Lazio, dell’Ospedale San Giovanni di Roma, di Regione Toscana e Lombardia, di SIAE e CGIL e della più recente ULSS6 Euganea, azienda ospedaliera di Padova.
L’attenzione posta dai Governi europei su questo tema è stata crescente e l’Italia non è stata da meno. Il Governo ha istituito l’Agenzia per la cybersicurezza nazionale e ha stanziato diverse risorse per la sicurezza informatica nel PNRR. Sono segnali importanti della volontà di adeguare il comparto cyber italiano alle nuove sfide nazionali e internazionali.

Da un lato il Pubblico, dall’altro il Privato. Molte eccellenze italiane sono state oggetto dei più disparati attacchi informatici. Il Made in Italy era già stato colpito nel 2020 con casi quali Luxottica e Geox, ma nella seconda parte del 2021 c’è stata un’escalation di vittime italiane che hanno contribuito a far innalzare ancora di più l’attenzione della stampa nazionale. Aziende del food come San Carlo, manifatturiere, del settore giocattoli (Clementoni) e della moda (Gruppo Miroglio).
In generale, gli attacchi informatici dichiarati nel Bel paese sono stati 600 al giorno, con una concentrazione sui settori della ricerca e dell’istruzione che ci permette di salire sul podio, al secondo posto dopo l’India, per media settimanale di attacchi.
Secondo il report “Attacks from All Angels” di Trend Micro, nel primo semestre del 2021 l’Italia risulta il quarto Paese più colpito al mondo da attacchi informatici, soprattutto per quanto riguarda i settori che trattano informazioni sensibili come le telecomunicazioni, il settore bancario e finanziario e la distribuzione.

Infine, la seconda parte dell’anno ha messo in luce un tema che sarà centrale anche nel 2022: le vulnerabilità.
L’ultima d’impatto critico è stata quella di Log4j ma, di fatto, lo sfruttamento delle vulnerabilità note per perpetrare attacchi informatici è aumentato del 41% nel corso dell’anno passato, secondo solo all’utilizzo di malware (43%).
Rimangono quindi una priorità il monitoraggio delle vulnerabilità, l’aggiornamento dei sistemi, le finestre di manutenzioni ordinarie e di emergenza. Processi che sono strutturati ancora in poche organizzazioni.
L’errore, tuttavia, non è ammesso: lasciare aperta non una porta, ma uno spiraglio, permetterà di subire un attacco in tempi da record. Sfruttando le vulnerabilità più note – come quelle che abbiamo visto protagoniste di recente – CybergON stima che gli attaccanti potranno agire in meno di 48 ore. Nel 2021 questo tempo si aggirava intorno alle 48-72 ore.
Cosa aspettarsi dal 2022

Di seguito, CybergON definisce i sei ambiti su cui si focalizzerà l’attenzione dei gruppi cybercrime:

  1. Cloud – Il Cloud, con la sua capacità apparentemente infinita di archiviare ed elaborare grandi quantità di dati, ha permesso alle aziende di passare al lavoro remoto con relativa facilità dopo lo scoppio della pandemia di Covid-19. Nel prossimo anno la migrazione al Cloud rimarrà un aspetto chiave per le operazioni aziendali. Gartner prevede che la spesa globale per i servizi Cloud raggiungerà oltre 482 miliardi di dollari nel 2022, con un aumento del 54% rispetto ai 313 miliardi di dollari del 2020. E se le aziende migrano sulla nuvola, i cyber-criminali non saranno da meno.
  2. Supply Chain – La pandemia di Covid-19 ha puntato i riflettori sulla fragilità delle supply chain. Enormi carenze e ritardi economici sono sorti a causa di diversi fattori, tra cui l’aumento della domanda e la carenza di container e di lavoratori. Quando i problemi delle supply chain sono diventati un problema mondiale, tutti hanno compreso il valore di queste catene, compresi i cyber criminali che non si sono fatti sfuggire il potenziale di attacchi diretti alle stesse. Sfruttando ulteriormente l’interruzione della catena di approvvigionamento, i threat actor potranno portare un’evoluzione nel modello di “estorsione quadrupla” nel 2022. Sfrutteranno al massimo i loro attacchi informatici spingendo sulle vittime (immaginiamo nomi sempre più importanti) per pagare ingenti somme di denaro tramite una quadruplice tecnica di estorsione: tenere i dati critici della vittima per il riscatto, minacciare di far trapelare i dati e pubblicizzare la violazione, minacciare di perseguire i clienti della vittima e attaccare la catena di approvvigionamento o i fornitori della vittima.
  1. IoT – Si prevede che il numero di dispositivi connessi, Internet of Things (IoT), raggiungerà i 18 miliardi entro il 2022. Una conseguenza di ciò è un numero maggiore di potenziali punti di accesso per i criminali informatici che cercano di accedere a sistemi digitali sicuri. Oltre che più diffuso, nel 2022 l’IoT diventerà anche più sofisticato. Molte organizzazioni sono ora impegnate nello sviluppo di “digital twins” – simulazioni digitali che rispecchiano interi sistemi e business. Questi modelli sono spesso collegati a sistemi operativi interni all’azienda (fonte: Forbes).
    Questo utilizzo massivo dell’IoT riguarda anche gli utenti, che avranno vita sempre più facilitata grazie ai dispositivi connessi. Non si tratta solo dispositivi smart e indossabili ma anche di case sempre più connesse, assistenti vocali e auto “intelligenti”.
    Se nel 2021 il numero di utenti di dispositivi mobili in tutto il mondo si è attestato a 7,1 miliardi, le previsioni suggeriscono che probabilmente salirà a 7,26 miliardi nel 2022. Nel 2025, questo numero potrebbe raggiungere i 7,49 miliardi (Statista). Più utenti, più connessioni e più complessità relative alla cyber security.
  1. Cybercrime as a Service – Se il ransomware da un lato non ha mai smesso di essere un “trend”, dall’altro ha la capacità di rinnovarsi continuamente. Per il 2022 stimiamo che il malware as-a service, MaaS o RaaS, la variante meno rischiosa dell’attacco malware diretto, possa prendersi sempre più spazio. Per la cronaca, un “pacchetto” costa dai 60 ai 650 dollari e, in caso di attacco andato a buon fine, il profitto è del 70% per chi compra e del 30% per chi vende. CybergON ne ha parlato approfonditamente anche nell’ultimo libro: https://bit.ly/book-cybergon
  1. Non-Fungible Token – Nel 2022, è probabile che vedremo NFT ovunque; questo include film, programmi TV, libri e altro ancora. Gli NFT fanno parte dell’economia digitale e stanno diventando mainstream perché consentono alle persone di possedere qualcosa che rappresenta una parte di qualcosa di più grande di loro – un’opera d’arte o un personaggio, per esempio. L’economia digitale è composta da una varietà di mercati online, tra cui videogame, immobili virtuali e piattaforme di social media come Facebook. Ricordiamo che il principio secondo cui agiscono i cyber-criminali è quasi sempre il #followthemoney. Ecco perché bisogna considerare la tendenza degli NFT anche dal punto di vista della sicurezza.
  1. 6G is the new 5G – La pandemia ha pesato sul mobile, con il numero di abbonati che ha subito un leggero calo a livello globale. Ciò detto, la marcia del 5G non si arresta e il 2021 si è chiuso con 500 milioni di abbonati. secondo stime di ABI Research raggiungerà quota 2,6 miliardi di sottoscrittori nel 2026 a fronte di ricavi per 942 miliardi di dollari. Questa espansione sta già facendo spazio a nuovi discorsi legati alla prossima tecnologia: 6G. Nel 2021 LG ha iniziato un progetto di sviluppo legato al 6G e le previsioni attuali indicano la possibile commercializzazione delle soluzioni entro i prossimi 4 anni, con la piena normalizzazione di queste tecnologie entro il 2025. Siamo davvero pronti?

Tre evidenze riscontrate da CybergON

In conclusione, CybergON traccia tre evidenze emerse dalle analisi degli attacchi monitorati.

Attacchi verso aziende italiane – L’esperienza vissuta sul campo durante questo 2021 ha permesso a CybergON di misurare un trend preoccupante.
Confrontando il primo e il secondo semestre del 2021 la business unit di Elmec Informatica ha riscontrato un raddoppio (+100%) degli incidenti legati ad attacchi verso aziende italiane.
In particolare, il 35% avviene attraverso attacchi ransomware e in questi casi la durata media della presenza degli attaccanti all’interno della rete del cliente si attesta tra le 2 e le 5 settimane.
Il 25% è legato al furto delle credenziali aziendali, con lo scopo di compiere attacchi man in the middle. La presenza degli attaccanti in questi casi supera i 2 mesi, proprio perché l’obiettivo è di studiare e comprendere al meglio i flussi di comunicazione dei clienti.

Password e Multifactor – Nel corso del 2021 CybergON ha rilevato un aumento significativo di attacchi legati al furto delle credenziali utente del 180% rispetto al 2020, con un trend preoccupante sull’ultimo trimestre.
Questa tendenza pone le aziende di fronte alla necessità oggettiva di implementare sistemi di autenticazione di nuova generazione.
CybergON stima, ad esempio, che solo il 30% delle aziende che utilizzano sistemi di collaborazione Cloud come Office365 abbiano attivo un sistema di monitoraggio attivo degli accessi sospetti.
Parliamo di “risky users” quando vengono rilevati accessi alla casella di posta da sorgenti non usuali (ad esempio accesso da un indirizzo estero verso una casella utilizzata principalmente in Italia).
I portali Azure tracciano e visualizzano queste informazioni ma come sempre è necessario monitorare e agire di fronte a queste segnalazioni.
Se il doppio fattore di autenticazione (MFA) per accedere alla posta elettronica aziendale era un “nice-to-have” per il 2021, sarà indispensabile per proteggere l’azienda nel corso del 2022.
La sicurezza in azienda può essere ottenuta solo con la collaborazione di tutti ed è quindi necessario chiedere ai dipendenti di abituarsi ad una nuova operatività.
Per ottenere il risultato atteso, un progetto di MFA deve essere affrontato ascoltando le necessità delle varie funzioni aziendali e personalizzando le policy in base alle diverse esigenze.
L’ultimo step sarà quello di passare a un sistema di autenticazione password-less attraverso l’utilizzo di un dispositivo certificato e verificato.

Sistemi di Protezione: questione di efficacia – Con la continua evoluzione e complessità degli attacchi, le protezioni aziendali devono evolvere alla stessa velocità.
CybergON stima che se un’azienda ha implementato un sistema di protezione dei dispositivi utente, sistemi server e network nel corso del 2020, senza adattarlo alle nuove minacce, potrebbe perdere fino al 25% di efficacia nel corso dell’anno successivo e fino al 50% nel corso dei due anni successivi.
Nonostante gli investimenti in ambito cyber security da parte delle aziende siano in costante crescita da pochi anni a oggi, sono ancora poche le aziende italiane (stimiamo circa il 15%) che hanno affrontato nel corso del 2021 progetti di adozione di protezione avanzata basato su intelligenza artificiale e analisi. Se fino a qualche anno fa parlare di antivirus era un ottimo punto di partenza, oggi non è più sufficiente ed è necessario valutare soluzioni di XDR (Extended Detection and Response).
Anche le polizze assicurative legate al rischio cyber richiedono sempre più spesso la compilazione di questionari approfonditi sul livello di protezione aziendale. Il SOC non è più un nice to have.

Vuoi ricevere gli aggiornamenti delle news di TecnoGazzetta? Inserisci nome ed indirizzo E-Mail:


Acconsento al trattamento dei dati personali (Info Privacy)