Marco Lucchina, Country Manager Italy, Spain & Portugal di Cynet: i problemi arrivano in particolare da hacker e cybergang. Per proteggere la società digitale nel futuro, serve una strategia di difesa integrata e proattiva.
Può sembrare un’affermazione provocatoria, ma la realtà è proprio questa. Ovvero, per le possibilità che esistono ora nel mondo del cybercrimine, i cybercriminali che sono attivi sono tanti, ma potrebbero essere molti di più. Questo perché siamo stati abituati a una visione degli attaccanti ormai stereotipata che, tuttavia, è molto cambiata nel tempo. Nella nostra memoria rimane impressa l’immagine di un hacker come quella di un giovane incappucciato. Un solitario che nel segreto della sua stanza attacca le infrastrutture informatiche di aziende e privati in tutto il mondo per estorcere riscatti. Questa raffigurazione risulta ormai anacronistica, figlia di rappresentazioni d’avanguardia e cinematografiche.
Chi sono oggi gli hacker
Per anni, si è perpetuata una narrazione “piratesca” di queste figure, che oggi è necessario delineare meglio. Quando si parla di hacker, si intende una persona che impiega le proprie competenze tecnologiche per esplorare i dettagli dei sistemi programmabili e sperimentare nuovi usi degli stessi. Siamo dunque di fronte a uno “studioso”, un esperto curioso della rete, non necessariamente pericoloso. Il tempo ha inciso una differenza sostanziale: oggi la cybersecurity è un settore industriale a tutti gli effetti, con i suoi specifici attori. Ciò che rappresenta una vera minaccia, incarnando quella temibile immagine di soggetti incappucciati pronti a tutto per aggredire i sistemi informatici di chiunque, sono le cybergang, vere e proprie organizzazioni criminali.
Un mercato sempre più strutturato
Un dato di fatto: il MITRE censisce 138 gruppi di APT (Advanced Persistent Threat), mentre altre ricerche ipotizzano fino a 3000 cybergang, considerando anche i sottogruppi. Queste organizzazioni generano know-how sotto forma di tecniche, tattiche, procedure d’attacco, traendo profitto dall’utilizzo che altri soggetti, definiti “affiliati”, ne fanno per lanciare gli attacchi effettivi. Inoltre, il cambiamento riguarda anche la modalità di “acquisto” dei toolkit.
I suggerimenti di Cynet
Oggi si preferisce sottoscrivere veri e propri abbonamenti che forniscono il necessario per condurre gli attacchi. È fondamentale sottolineare come chiunque possa facilmente entrare in possesso di tecnologie e metodologie avanzate. Il tutto senza necessariamente avere competenze tecniche approfondite, ma semplicemente disponendo di un budget sufficiente. Questa eccessiva accessibilità aumenta il potenziale distruttivo degli attacchi: la semplice affiliazione di più persone rende più agevole la diffusione degli assalti informatici.
Una maggiore competitività anche tra i criminali
Una volta compreso che il crimine informatico è motivato esclusivamente da interessi economici e include diversi gruppi di cybercriminali, è importante sottolineare che gli attacchi ransomware non sono l’unica modalità utilizzata per monetizzare. E soprattutto sono in continua evoluzione. Con l’aumento della diffusione delle capacità di risposta agli incidenti, gli attaccanti stanno facendo in modo che il pagamento del riscatto sia la soluzione più facile e accessibile. Riducendo gli importi dei riscatti in modo da competere con il costo delle attività di ripristino della sicurezza, dimostrano una logica di mercato che spinge il crimine informatico verso una maggiore competitività. Studi internazionali dimostrano che il crimine informatico sta entrando in una fase di mercato diversa, più matura.
Non ci sono più gli hacker di una volta. I suggerimenti di Cynet
Le aziende non sono rimaste ferme di fronte alla crescita esponenziale del mercato del crimine informatico e stanno investendo in strumenti di difesa. In particolare, si stanno osservando due tendenze. Da una parte la diminuzione del valore medio del riscatto (è più facile farsi pagare un importo basso piuttosto che uno più elevato), dall’altra la ricerca di vettori di attacco diversi, come i PC domestici e i dispositivi mobili.
Il problema dispositivi
Ciò che rende i dispositivi personali o domestici così appetibili per gli attaccanti è la presenza di credenziali aziendali valide e non protette: il vero oggetto del desiderio. La rivendita di credenziali valide è diventata un’attività molto remunerativa. In particolare, si parla di credenziali attuali, non già utilizzate in passato poiché meno preziose. Nel fitto sottobosco del crimine informatico, si sta definendo sempre più una filiera organizzata, con specializzazioni nella produzione e nel recupero delle credenziali, poi messe a disposizione di altri gruppi attivi.
Chi è più attivo nella cybercriminalità
A livello globale, Russia, Cina, Corea del Nord e Iran si confermano come i Paesi più “attivi” in termini di presenza di gruppi di cybercriminali sul proprio territorio. Allo stesso tempo, Usa e Regno Unito rimangono i principali obiettivi di interesse per tali gruppi, per evidenti ragioni geopolitiche. Tra le bande di ransomware, LockBit, dato per sconfitto dall’FBI, si è riorganizzato e continua a rappresentare la minaccia più rilevante a livello europeo. Nonostante i successi delle agenzie governative nel chiudere piattaforme come Raidforum, Genesys market e Quakbot, i numeri del crimine informatico continuano a crescere.
I suggerimenti di Cynet per proteggere i sistemi
I cybercriminali preferiscono ora evitare i grandi mercati illegali, optando invece per maggiore riservatezza attraverso abbonamenti e contatti tramite social per le loro transazioni. In sintesi, il panorama geopolitico rimane dominato da alcune nazioni particolarmente attive nel cybercrime, con Stati Uniti e Regno Unito bersagli principali. Inoltre, le organizzazioni criminali si stanno evolvendo, abbandonando i grandi spazi di mercato illegale a favore di canali più riservati per le loro attività.
Lo stato dell’arte in Italia
L’Italia, insieme alla Germania, rappresenta un obiettivo molto appetibile per i cybercriminali. Il nostro Paese è particolarmente vulnerabile a causa della presenza capillare di piccole e medie imprese sul territorio. Queste realtà imprenditoriali sono più facilmente attaccabili in quanto dispongono di meno risorse per proteggersi adeguatamente dai cyberattacchi. Purtroppo, questa situazione a volte costringe gli imprenditori a trovarsi di fronte a un dilemma difficile.
Pagare o non pagare
Ovvero: pagare il riscatto richiesto dai criminali o sostenere i costi per ripartire, senza la certezza di recuperare i dati e i sistemi compromessi. In sintesi, la diffusione capillare delle PMI, meno preparate a fronteggiare le minacce cyber, rende l’Italia un target particolarmente vulnerabile per i gruppi di cybercriminali. Un fattore che spesso costringe le aziende a subire il ricatto del pagamento del riscatto.
Come proteggersi per il futuro? I suggerimenti di Cynet
Per proteggere efficacemente la società digitale nel futuro, è necessaria una strategia di difesa integrata e proattiva, con investimenti in formazione e tecnologie. In un’epoca di attacchi sistematici, le piattaforme di incident response basate sull’intelligenza artificiale rappresentano un elemento fondamentale per difendersi dalle minacce delle bande di cybercriminali. Grazie alla capacità di analizzare grandi quantità di dati e individuare comportamenti sospetti, consentono alle aziende di identificare e rispondere prontamente agli attacchi in corso.
Il ruolo dell’AI
Attraverso automazione e apprendimento continuo, le piattaforme di incident response alimentate dall’AI migliorano l’efficienza delle operazioni di sicurezza. Inoltre permettono di adottare misure preventive più efficaci, contribuendo così a proteggere le organizzazioni dalle sempre più sofisticate minacce provenienti dal mondo del cybercrime.
Affinché l’intelligenza artificiale applicata alla sicurezza informatica possa essere veramente efficace, è necessario disporre di una grande mole di dati. Uno dei modelli operativi teoricamente più validi prevede la raccolta di tutte le informazioni (telemetrie) provenienti da diverse fonti. Tra queste: host, reti, log, cloud, ambiti operativi (OT), dispositivi mobili e anche personali. Includere tutti questi elementi nell’area di protezione, o escluderli dall’operatività, è fondamentale per garantire la massima efficacia degli algoritmi di intelligenza artificiale.