Nel 2021 gli attacchi nel mondo sono aumentati del 10% rispetto all’anno precedente, e sono sempre più gravi. Le nuove modalità di attacco dimostrano che i cyber criminali sono sempre più sofisticati e in grado di fare rete con la criminalità organizzata. Questo è quanto emerge dal nuovo Rapporto Clusit 2022.
CLUSIT, l’Associazione Italiana per la Sicurezza Informatica, ha presentato il nuovo rapporto il 15 marzo nel contesto del Security Summit, evento di riferimento per la cybersecurity in Italia.
Il rapporto Clusit 2022 scatta una fotografia a livello globale e italiano della cybersecurity secondo i dati ufficiali del 2021, a cui si aggiungono approfondimenti tematici, come quello relativo al settore finance e i dati rilevati dal SoC di Fastweb, uno dei principali ISP (Internet Service Provider) del nostro paese.
I dati raccolti, relativi al 2021, rappresentano l’evoluzione che gli esperti si attendevano: i casi gravi aumentano e l’Europa è sempre più al centro degli attacchi dei cyber criminali. Il dato più negativo di tutti è l’aumento importante della severità media degli attacchi, circostanza che comporta danni sempre maggiori e conseguenze sempre più devastanti per le aziende che subiscono le aggressioni, considerando che i danni stimati ammontano per il 2021 a 6 trilioni di dollari. La situazione geopolitica purtroppo non aiuta.
Questi i temi più rilevanti emersi nel rapporto:
-
Analisi dei principali cyber attacchi
-
La severity degli attacchi
-
Tecniche di attacco
-
L’analisi di Fastweb per l’Italia
Analisi dei principali cyber attacchi
Come si legge nel Rapporto gli attacchi crescono in quantità e in “qualità”: la classificazione dei ricercatori di Clusit si basa anche su una valutazione dei livelli di impatto dei singoli incidenti, che tiene in considerazione aspetti di immagine, economici, sociali e le ripercussioni dal punto di vista geopolitico.
Da gennaio 2011, Clusit ha analizzato poco più di 14mila attacchi, ma oltre la metà di questi sono stati registrati dal 2018 in poi. Evidente quindi l’accelerazione. Solo nel 2021 si contano 2.049 cyber attacchi gravi: con una crescita del 10% rispetto all’anno precedente, per una media mensile di 171 attacchi, il valore più elevato mai registrato, mentre nel quadriennio il numero di attacchi è di fatto cresciuto di un terzo circa (il 32%).
Si può immaginare come la situazione effettiva sia peggiore, data la tendenza complessiva delle vittime a tenere riservate, ove possibile, le informazioni sugli attacchi cyber subìti. E la tendenza appare evidente ancora oggi in Europa, per quanto le normative ormai consolidate, quali il Regolamento Gdpr e la Direttiva Nis, autorizzerebbero a sperare il contrario.
Questa la distribuzione mensile degli attacchi registrati nel 2021.
Come si può notare, i picchi maggiori – cioè sopra la media dell’anno – si sono avuti a febbraio, marzo e aprile, mostrano un calo nel periodo estivo e una stabilizzazione su livelli alti nell’ultimo semestre.
La geografia degli attacchi
Gli attacchi classificati dai ricercatori di Clusit si sono verificati nel 45% dei casi ancora nel continente americano (in leggero calo rispetto al 2020). Sono invece cresciuti gli attacchi verso l’Europa, che superano un quinto del totale (21%, contro il 16% dell’anno precedente), e verso l’ Asia (12%, rispetto al 10% del 2020). Resta sostanzialmente invariata la situazione degli attacchi verso Oceania (2%) e Africa (1%).
“Due le ragioni principali per l’incremento europeo: la prima è legata all’effetto delle normative che anche se non del tutto, comunque hanno contribuito a portare “in chiaro” gli attacchi; la seconda riguarda l’estensione degli attacchi a livello globale e quindi anche una maggiore concentrazione in un’area di benessere e fiorente per le attività di interesse del cybercrime come è l’Europa”, ha commentato Andrea Zapparoli Manzoni, del Comitato Direttivo Clusit.
Diminuiscono invece gli attacchi verso location multiple, che costituiscono il 19% del totale (-5% rispetto al 2020), un trend questo correlabile con altri, come per esempio l‘estrema focalizzazione degli attacchi rispetto al passato.
La severity degli attacchi
Cattive notizie anche sul fronte della severity degli attacchi, con danni a livello globale stimati nell’ordine di 6 trilioni di dollari, una cifra impressionante, che equivale a 4 volte il volume del PIL italiano.
Nel quadriennio 2018-2021 il numero di attacchi gravi analizzati da Clusit è cresciuto del 32%.
Tra le categorie più colpite, il settore governativo (15%) seguito da ICT e multiple targets. Secondo i dati sulla gravità degli attacchi, quelli di livello critico hanno rappresentato il 32%, l’alto livello il 47%, medio livello 19% e basso livello 2%. Ciò significa che gli attacchi devastanti e quelli molto gravi sono praticamente l’80% del totale, erano il 56% l’anno scorso.
Secondo Zapparoli Manzoni, “Si tratta di una crescita drammatica […] non è più possibile procrastinare l’adozione di contromisure efficaci e i necessari investimenti. Le risorse allocate dal PNRR dovranno a nostro parere essere gestite con una governance stringente in ottica cybersecurity di tutti i progetti di digitalizzazione previsti, valorizzando finalmente le competenze cyber delle risorse umane del Paese”.
Un dato decisamente preoccupante se abbinato al fatto che aumenta la serietà anche degli episodi relativi al cyber crime, categoria che rappresenta in totale l’86% degli attaccanti (in crescita rispetto all’81% del 2020): “Di solito l’attacco cyber crime aveva un impatto basso, non particolarmente grave, perché avevano interesse a stare sotto traccia – ha aggiunto Zapparoli Manzoni -. La maggior parte degli attacchi di livello grave o critico ora è di natura cyber crime, con lo stesso tipo di severity che vedevamo con finalità di information warfare. Ciò rappresenta un moltiplicatore di danno incredibile”.
Come si evince confrontando i due grafici, nel 2021 gli attacchi con Severity “Critical” realizzati per finalità cybercriminali sono sensibilmente aumentati rispetto al 2020, il che desta grande preoccupazione e denota chiaramente un cambio di strategia da parte degli attaccanti.
Tecniche di attacco
Il Rapporto Clusit entra nel merito delle principali tecniche di attacco che hanno assistito gli incidenti informatici avvenuti nel corso del 2021. Come ampiamente preventivato, il malware, che comprende in particolare il ransomware, si conferma lo strumento preferito dal cybercrime. E’ riconducibile a tecniche di malware il 41% degli attacchi, seguito dal 21% della categoria “unknown” (chiamata così perché ci sono molti data breach, ma le vittime non sono tenute a dichiarare come è successo). Le vulnerabilità note e non note sono il 16% e sono in forte crescita, mentre il phishing si attesta sul 10%.
Ciò conferma la capacità dei cybercriminali di attuare attacchi sempre più sofisticati, sulla base della continua ricerca di metodi utili a penetrare nei sistemi degli obiettivi selezionati. Ciò è ad esempio palese negli attacchi phishing a tema Covid-19, cosi come negli attacchi che alterano la supply chain delle grandi organizzazioni, andando sistematicamente a colpire gli anelli più deboli della catena.
Gran parte delle responsabilità degli attacchi subiti rimane attribuibile a sistemi inadeguati, come le vulnerabilità che rimangono latenti per via del mancato intervento, ignorando il fatto che anche se una risorsa non viene più utilizzata, questa può essere sfruttata dai malintenzionati per penetrare all’interno del sistema aziendale, dove può essere sferrato un attacco mirato verso le regioni della rete più interessanti da colpire.
L’analisi di Fastweb per l’Italia
Il Rapporto Clusit 2022 contiene un approfondimento messo a punto dal SOC (Security Operations Center) di Fastweb, in merito alla situazione italiana in materia di cybercrime e incidenti informatici. Il quadro che emerge è stato rilevato sulla base dei 6.5 milioni di indirizzi IP pubblici che caratterizzano ad oggi l’infrastruttura di rete proprietaria del celebre Internet Service Provider, da sempre specializzato nelle connessioni in fibra ottica.
Ne parla Mirco Santocono, manager of Product Marketing di Fastweb. “L’analisi quest’anno si è arricchita dei dati relativi all’email security e alle frodi, per un quadro più ampio sui trend”.
I numeri che emergono dall’indagine parlano di oltre 42 milioni di eventi di sicurezza, con un aumento del 16% rispetto all’anno precedente.
Proprio le minacce relative ai servizi mail vedono una continua crescita. Il vettore d’attacco principale è stato nel 2021 l’utilizzo di Url malevoli, con l’87% sul totale, in crescita dell’11%. In aumento, secondo Fastweb, sono anche i fenomeni fraudolenti che sfruttano il servizio Sms, dovuti in particolare alla diffusione di malware, quali il malware Flubot, veicolati attraverso smishing che espongono gli utenti a molteplici rischi in ambito privacy.
Per quanto riguarda le tecniche di attacco, nel 2021 si è rilevato un aumento del 58% dei device colpiti dal malware, diffusi sempre più frequentemente grazie alle botnet, capaci di propagare la propria presenza virale in maniera sempre più discreta sui dispositivi informatici dei cittadini e delle aziende. Piuttosto preoccupante l’azione degli attacchi DDoS (Distributed Denial of Service) che hanno registrato nel corso del 2021 ben 2500 eventi, per un totale di ben 18mila anomalie gestite dai vari sistemi di sicurezza attivi nella rete. A livello di esposizione, la Pubblica Amministrazione e le realtà del settore finanziario condividono il primo posto con il 18% degli attacchi subiti, seguito dal settore industriale, in netta ascesa rispetto al 2020.
L’Italia ha visto a livello globale anche un aumento per quanto riguarda l’attività criminale, risalendo al terzo posto in Europa per quanto riguarda la provenienza degli attacchi informatici. In generale, il cybercrimine europeo ha dimostrato un generale aumento nei confronti dei colleghi statunitensi, almeno secondo quanto rilevato a livello di geolocalizzazione dei server da cui sono partiti gli attacchi.
Conclusione
“Il rapporto, basato sui dati raccolti e analizzati nel 2021, non tiene conto degli effetti dei possibili attacchi svolti nell’ambito della guerra russo-ucraina, i quali tuttavia potrebbero emergere tra settimane o mesi”, ha commentato Andrea Zapparoli Manzoni.
Sempre in merito alla guerra, lo stesso Zapparoli Manzoni ha rilevato che “non c’è allo stato attuale un particolare incremento di attività cyber offensive, perché vengono pianificate in anticipo ed eseguite silenziosamente. Le attività più sottili come quelle di spionaggio e alteramento della percezione, per questa guerra sono iniziate mesi e mesi prima. Non mi aspetto un grandissimo picco di questi episodi al momento”. Per l’esperto, “non può vincere nessuno una guerra nel cyber spazio. Nessuno attacca con una cattiveria significativa perché nessuno sarebbe capace di difendersi. Non c’è un colpo che possa impedire ritorsioni pesantissime”.
Per Faggioli invece, “ci sono capacità tecnologiche differenti. Sono contrario alla disconnessione di un’intera zona, il mio parere personale è che qualunque azione troppo forte in questo momento è negativa”.
In generale conclude Zapparoli Mazoni “Non è più possibile procrastinare l’adozione di contromisure efficaci e i necessari investimenti. Le risorse allocate dal PNRR dovranno a nostro parere essere gestite con una governance stringente in ottica cyber security di tutti i progetti di digitalizzazione previsti, valorizzando finalmente le competenze cyber delle risorse umane del Paese”.
Emerge dunque “la necessità di fare assessment più frequenti, per capire come reagire alle minacce”. Per Alessio Pennasilico, CTS Clusit, “non esiste la cosa che risolve integralmente il problema. Dietro alla parola assessment si possono prevedere attività diverse”, per esempio, tra le altre strategie, si può condurre un monitoraggio continuo.
“Il rischio informatico è una criticità da non sottovalutare quando aumentano l’automazione e le connessioni alla rete, pena l’interruzione della produzione, l’erogazione di servizi essenziali, e i relativi costi per il ripristino in caso di incidenti, oltre ai danni e all’eventuale pericolo per la sicurezza di persone e per l’ambiente”, spiegano dal Clusit.