Il cybercrime e l’Italia: come sta evolvendo il problema

Tra i cybercriminali che stanno prendendo di mira l’Italia vanno ricordati TA550, TA551, TA544, TA554 e TA542.

cybercrime crimine informatico

Proofpoint ha preso in esame come il cybercrime colpisca l’Italia e ha illustrato come i criminali riescono a far evolvere le loro attività per renderle ancora più redditizie. Proofpoint ha osservato numerosi cambiamenti significativi che influenzano il panorama globale delle minacce. Tra questi, l’abbandono di documenti con macro malevole, l’aumento di uso e disponibilità di kit di phishing in grado di aggirare l’autenticazione a più fattori (MFA). E ancora la tendenza a intrattenere conversazioni con le vittime selezionate prima di inviare messaggi con payload pericolosi.

Il cybercrime e l’Italia

Tra la metà 2022 e il 2023, il panorama delle minacce ha registrato uno dei maggiori cambiamenti nei comportamenti dei cybercriminali, a seguito del blocco, da parte di Microsoft, degli allegati contenenti macro tramite impostazione predefinita nei suoi prodotti Office. Questo aggiornamento ha costretto gli attori delle minacce ad adottare nuovi meccanismi per distribuire malware modificando regolarmente tattiche, tecniche e procedure nelle proprie campagne. Questo per cercare di eludere i rilevamenti di anomalie, utilizzando anche tipologie di file raramente osservati in passato.

Un “attacker-in-the-middle”

Con l’MFA che sta diventando una pratica di sicurezza standard, i kit di phishing si sono evoluti per rubare i token e aggirarla. Gli attori delle minacce utilizzano procedure che sfruttano un reverse proxy trasparente, consentendo loro di effettuare un “attacker-in-the-middle” durante una sessione browser. Riuscendo così a rubare credenziali e cookie in tempo reale. In base alla propria visibilità Proofpoint ha osservato una diffusione sempre più elevata di questi kit.

Crescono le minacce che utilizzano il social engineering

Proofpoint ha osservato anche un aumento delle minacce TOAD (telephone-oriented attack delivery), Queste utilizzano il social engineering per spingere il destinatario a telefonare a un falso rappresentante del servizio clienti, che condurrà successivamente la vittima all’installazione di malware. Attualmente sono centinaia di migliaia le minacce di questo tipo che Proofpoint osserva ogni giorno.

Cosa sta succedendo in Italia

I ricercatori di Proofpoint hanno rilevato numerosi attori delle minacce che prendono di mira le organizzazioni italiane a scopo di lucro, sfruttando tecniche di social engineering, tra cui lo spoofing di enti governativi italiani. Oppure fingono di essere risposte a conversazioni esistenti, per indurre gli utenti a fidarsi e condividere contenuti.

L’impatto finanziario del cybercrime e l’Italia

I cybercriminali dimostrano di avere molti obiettivi. Tra questi vanno ricordati furto di dati, takeover di account, recupero di informazioni bancarie per rubare fondi o installare malware successivi, tra cui potenzialmente il ransomware. Minacce che possono avere un forte impatto finanziario, con perdite di milioni di dollari.

I principali risultati dell’analisi

  • Gli attori del panorama delle minacce, compresi quelli che prendono di mira gli utenti italiani, stanno adottando nuovi metodi di consegna e si stanno allontanando dai documenti abilitati alle macro.
  • Tra i cybercriminali che stanno prendendo di mira nello specifico l’Italia vi sono TA550, TA551, TA544, TA554 e TA542.
  • Il malware bancario Ursnif è il più frequentemente osservato tra quelli che mirano alle aziende italiane.
  • Il cybercrime e l’Italia: come sta evolvendo il problema
  • Proofpoint ha osservato attori che hanno simulato organizzazioni governative italiane legate a servizi finanziari, postali e sanitari.
  • Le minacce identificate possono consentire il furto di dati, la ricognizione, la perdita finanziaria e l’invio di malware successivi, compresi i ransomware.