Nel corso del 2023, l’Italia è stata ancora una volta oggetto di minacce cyber, facendo registrare lo 0,79% sul totale delle minace globali, rispetto allo 0,50% del 2022. Un dato preoccupante, che mostra una costante ascesa di questo fenomento il quale già nel 2022 aveva fatto registrare numeri da record. Aldo Di Mattia di Fortinet ha analizzato i dati contenuti nei FortiGuard Lab Reports dai quali, esaminando le minacce specifiche rispetto ai dati globali, è emerso che le principali minacce riscontrate in Italia sono le seguenti:
- 2,5% dei malware (2,8% nel 2022);
- 1,18% dei tentativi di exploit globali (1,2% nel 2022);
- 1,81% delle botnet intercettate nel mondo (2% nel 2022).
Andando a collocare le modalità di attacco individuate, in Italia e nel mondo, nel Mitre Att&Ck Framework (linea guida per classificare e descrivere attacchi informatici e intrusion, nda), si hanno i seguenti risultati. Anche nel 2023 fa riflettere il dato legato alle attività di Reconnaissance: la ricognizione consiste in tecniche che coinvolgono gli avversari che raccolgono attivamente o passivamente informazioni che possono essere utilizzate per supportare l’attacco.
Tali informazioni possono includere dettagli dell'organizzazione, dell'infrastruttura o del personale della vittima. È proprio qui che si può e si deve perfezionare la strategia difensiva: Deception, Intelligence e Ai sono ormai dei validi alleati, troppo spesso ignorati o ridimensionati.
L'analisi delle minacce in Italia e nel mondo
Nel corso dell'ultimo trimestre del 2023, FortiGuard Labs ha condotto un monitoraggio dettagliato e analisi approfondite sulle attività malevoli nel campo della sicurezza informatica, con l'obiettivo principale di fornire una panoramica completa delle minacce informatiche globali. Questo studio è stato effettuato grazie all’analisi dei dati ottenuti da diversi sistemi di monitoraggio, tra i quali AntiMalware, AntiBotnet e Intrusion Prevention, che hanno registrato numerosi tentativi di attacco. La variazione percentuale totale delle minacce nell'area Emea, considerando tutti i Paesi e tutti i tipi di telemetria, ha registrato un aumento del 42% rispetto al trimestre precedente. Sebbene in Q3 si sia registrata una diminuzione degli attacchi, i numeri attuali mostrano un aumento rispetto a quanto osservato in Q2.
In particolare, esaminando i malware individuati nel quarto trimestre del 2023, è emersa una notevole presenza di minacce legate a Microsoft. Nonostante si tratti di vulnerabilità vecchie la loro persistenza suggerisce che gli attaccanti continuino a trovarle sfruttabili. Da sottolineare, che nel corso dell'anno la distribuzione di malware attraverso i file di Office, come Excel, Word e PowerPoint, ha rappresentato quasi il 50% dei riscontri totali. Pertanto, si dovrebbe ritenere opportuno implementare strategie di sensibilizzazione e controlli per rilevare e mitigare efficacemente queste attività malevole. In tale contesto, è importante tenere presente che gli attaccanti sempre più sfruttano l'apertura di file malevoli da parte di utenti inconsapevoli, i quali attraverso tecniche di social engineering, vengono ingannate e indotte ad aprire file che possono poi portare all'esecuzione di codice dannoso.
La previsione
L’analisi evolutiva del Cybercrime, sottolinea Di Mattia, indica che i classici modelli di attacco non sono scomparsi, al contrario, evolvono e crescono via via che gli attaccanti ottengono l'accesso a nuove risorse. Attacchi di tipo Denial of Service (DoS), estorsioni e Advanced Persistent Threats (Apt) continuano ad aumentare e a perfezionarsi, favoriti anche dall'evoluzione dell'Intelligenza Artificiale (Ai) generativa. La trasformazione dell’Ai in strumento di attacco sta infatti offrendo agli attaccanti un mezzo semplice ed estremamente efficace per potenziare molte fasi delle loro offensive. Come previsto nei precedenti report, si sta assistendo a un utilizzo sempre più esteso dell'intelligenza artificiale da parte dei criminali informatici per supportare attività dannose con nuove logiche, che vanno dal contrastare il rilevamento del “social engineering”, all'imitazione del comportamento umano (Deep Fake). Mentre le Organizzazioni criminali strutturate si affideranno sempre più a tecniche e tattiche collaudate per ottenere il massimo ritorno economico, gli aggressori non appartenenti a gruppi specifici hanno a disposizione un numero crescente di strumenti “a la carte” che li aiutano nell'esecuzione degli attacchi. Nel mezzo di questo grande processo evolutivo del CyberCrime, nel corso del 2024 si prevede il proliferare delle seguenti nuove tendenze e quelli che potranno essere dei plausibili scenari:
- playbook di livello superiore: negli ultimi anni, gli attacchi ransomware in tutto il mondo sono cresciuti esponenzialmente, rendendo ogni organizzazione, indipendentemente dalle dimensioni o dal settore, un bersaglio. Tuttavia, mentre un numero crescente di criminali informatici lancia attacchi ransomware per ottenere un ritorno economico, alcuni gruppi stanno rapidamente esaurendo gli obiettivi più piccoli e potenzialmente vulnerabili. Guardando al futuro, si prevede che gli aggressori adotteranno un approccio "go big or go home", dove gli attaccanti rivolgeranno la loro attenzione a settori critici, come la sanità, la finanza, i trasporti e i servizi pubblici, così da ampliare il loro potenziale ritorno economico. Contestualmente si assiste ad un’evoluzione dei loro strumenti di attacco, che renderanno le loro attività ancora più aggressive e distruttive;
- rinnovato interesse per gli zero-day: mentre le organizzazioni espandono il numero di piattaforme, applicazioni e tecnologie su cui fare affidamento per il business quotidiano, i criminali informatici hanno un’opportunità unica per scoprire e sfruttare le vulnerabilità dei software. Nel 2023 sono stati osservati numeri record di “zero day”, nuove vulnerabilità ed esposizioni comuni (Cve) e, questi numeri, sono in costante aumento. Considerato il grande valore che gli zero-day hanno per gli aggressori, ci si aspetta un incremento considerevole di “broker zero-day”, ovvero gruppi criminali specializzati nella vendita di zero day sul dark web a chiunque ne faccia richiesta;
- introduzione agli attacchi “we the people”: cresceranno le minacce legate ad eventi sociali e geopolitici, come le elezioni statunitensi del 2024 e i giochi di Parigi 2024. Sebbene gli attaccanti hanno sempre sfruttato i grandi eventi, ora i criminali informatici dispongono dell'Ai generativa che potenzia notevolmente la natura di queste minacce e aumenta le preoccupazioni, oltre che la difficoltà nell’individuarle e contrastarle opportunamente.
«I dati FortiGuard Labs pubblicati nel rapporto Clusit mostrano che in Italia, nel corso del 2023, sono state individuate molte più minacce informatiche dell’anno precedente (+268%), anche se purtroppo non è abbastanza; basti considerare che lo scorso anno in Italia è andato a segno l’11% degli attacchi gravi globali mappati dal Clusit, per un totale di 310 attacchi, dato che marca una crescita del 65% rispetto al 2022», ha commentato Aldo Di Mattia di Fortinet, che ha poi aggiunto: «Guardando diverse statistiche in Italia, rispetto a molte altre nazioni europee, abbiamo meno laureati in facoltà Stem (Science, Technology, Engineering and Mathematics) e una cultura della sicurezza informatica insufficiente. Bisognerebbe introdurre la materia della cybersecurity già nelle scuole elementari. È lì,infatti, che i bambini iniziano ad utilizzare dispositivi altamente tecnologici senza un’adeguata consapevolezza. Potremmo tutelarli, migliorando la cultura generale della sicurezza informatica e appassionarli a questa materia, così da aumentarne poi i laureati».