Il ransomware è ampiamente utilizzato dai criminali informatici, causando danni significativi alle imprese e alle pubbliche amministrazioni. Mentre il 2022 ha visto per la prima volta in cinque anni un calo degli attacchi riusciti, il 2023 è tornato in linea con la tendenza generale, con una rinnovata crescita degli attacchi riusciti, sia in Italia che nel mondo.
Comprendere il modus operandi, le pratiche e le motivazioni degli aggressori è fondamentale per una migliore protezione.
Ecco alcuni approfondimenti dai team Advens CERT e Advens SOC.
Gli highlight risultanti dalla ricerca dell’efficienza negli attacchi evidenziano:
Il sempre più frequente dirottamento di strumenti legittimi dimostra anche un cambiamento nel modus operandi degli aggressori. L’obiettivo è raggiungere un’efficacia sempre maggiore lasciando meno tracce possibili. Secondo Crowdstrike, il 70% degli incidenti indagati nel 2023 non coinvolgevano malware.
Gli strumenti legittimi che vengono regolarmente violati includono:
Lo sfruttamento dell’intelligenza artificiale è destinato a diventare l’elemento più centrale in questo contesto di accelerazione.
L’uso dell’intelligenza artificiale per generare strumenti, procedure e processi di attacco è già una realtà. Ci sono molti esempi di questo. Di conseguenza, il furto di identità diventerà sempre più difficile da individuare e i fondamenti della sicurezza (“Cosa so, cosa ho, cosa sono”) dovranno essere rigorosamente applicati e combinati per evitare formidabili truffe “presidenti” (con l’impressione di avere la persona di fronte), autorizzazioni di accesso illecite e via dicendo.
Ci sono altri fattori da tenere in considerazione da parte dei difensori:
Affrontare le numerose vulnerabilità. Il 2023 ha visto un’esplosione nel numero di vulnerabilità pubbliche (29.000 nel 2023 rispetto a 25.000 nel 2022). Le principali CVE (Common Vulnerabilities and Exposures) scoperte nel 2023 riguardano quasi sistematicamente vulnerabilità perimetrali, a causa di un’eccessiva dipendenza da pochi elementi tecnologici che creano un’elevata concentrazione di vulnerabilità. È importante adottare un approccio strategico a questo problema, in modo da non esporre l’intera organizzazione con una singola vulnerabilità in un dispositivo di accesso.
Integrazione dell’intelligence sulle minacce informatiche. Inoltre, poiché l’intelligenza artificiale induce un apprendimento continuo e automatico, nonché la capacità di essere polimorfica, il suo utilizzo offensivo richiederà alle aziende di collaborare più strettamente nella condivisione delle informazioni. Il ruolo della Cyber Threat Intelligence (CTI) diventerà sempre più strategico per potersi adattare più rapidamente alle modalità di attacco. La collaborazione tra i team di sicurezza e di intelligence dovrà trovare modi di lavorare per anticipare le minacce in rapido movimento.
Non aspettare un incidente. Infine, i nostri team hanno anche osservato che il momento in cui le organizzazioni riescono davvero a potenziare la propria strategia e architettura di difesa è dopo un grave incidente di sicurezza. Un attacco riuscito è un vero e proprio acceleratore della trasformazione informatica. Ma è qualcosa da festeggiare?
Contributo editoriale sviluppato in collaborazione con Advens