Anche nei primi mesi del 2021 i cyber criminali cavalcano ancora l’onda della pandemia, sfruttando la crisi sanitaria e sociale per dare credibilità ai propri messaggi “personalizzati” a tema salute, strumenti per lo smart working telelavoro o richiesta di informazioni per il recapito di merce. Secondo il Phishing Attack Landscape Report gli attacchi di phishing hanno registrato un incremento del proprio successo del 30%. La nota società contabile francese CDER lo sa fin troppo bene, grazie a queste tattiche i cybercriminali hanno violato l’account e-mail di un alto dirigente e, impersonandolo (“frode del CEO”), hanno fatto deliberare un pagamento di quasi 15 milioni di euro.
Ransomware in aumento: sanità e servizi di pubblica utilità i più colpiti
Il ricatto per restituire alla vittima il controllo sui propri dati è una tattica adottata sempre più spesso ai danni del settore sanitario. Numerosissime in America e in Europa le strutture sanitarie, cliniche e aziende biotecnologiche che hanno subito attacchi ransomware da parte di aggressori che hanno poi pubblicato sul dark web migliaia di dati dei pazienti. 21 miliardi di dollari è quanto sono costati agli Stati Uniti gli attacchi ransomware contro il settore sanitario nel 2020 secondo un rapporto pubblicato da FBI e NSA. Le cifre in Europa non sono molto differenti con un’aggravante: sinora solo in Europa un ransomware ha avuto esito letale per un paziente.
La questione della cybersicurezza nelle istituzioni sanitarie è complessa, in alcune mancano le risorse IT, in altre manca un’adeguata conoscenza in questioni informatiche e tutto risulta acuito dalla crisi sanitaria. All’interno di un ospedale coesistono tipi diversi di dati: pazienti, brevetti, ricerca scientifica, altri poi riguardano dipendenti, informazioni sul funzionamento dei servizi erogati, dati strategici, ecc. Tutti elementi sensibili che mettono ulteriormente sotto pressione gli ospedali, che devono essere operativi sempre: quando l’organizzazione si rifiuta di pagare il riscatto, a farne le spese sono spesso i pazienti.
Una crescente minaccia ai danni di produttori di software e soluzioni di sicurezza
Per i produttori di software, minacce come il caso SolarWinds sono ancora all’ordine del giorno. Gli attacchi condotti ai danni di noti fornitori IT (come Mimecast, Codecov o Qualys) con malware sempre più sofisticati, come Sunburst, cominciano a prendere piede tra i cybercriminali. “A partire dal 2020, c’è stata una vera esplosione di questo tipo di attacchi”, spiega Alberto Brera, Country Manager di Stormshield Italia. “La natura di questi attacchi implica che questi particolari gruppi di cybercriminali hanno tempo e risorse, e sono ben organizzati per raggiungere i loro obiettivi”.
Un nuovo sviluppo in questo senso è rappresentato anche dagli attacchi rivolti ai produttori di soluzioni di cybersecurity. Anche Stormshield nel 2020 è stata vittima di un’intrusione nella rete dedicata alla gestione dei ticket di supporto tecnico erogato ai suoi partner. Grazie alla segmentazione e alle misure di sicurezza adottate per tutelare gli asset critici dell’azienda, i cybercriminali non hanno avuto modo di accedere a nessun’altra risorsa. “Nonostante l’ormai assodata irrisorietà delle informazioni oggetto di abuso, questo incidente ci incoraggia a rimanere umili di fronte al rischio informatico, e a sottolineare ancora più chiaramente che nessuno può permettersi anche solo di pensare di essere al sicuro” aggiunge Brera.
Secondo Stormshield il tentativo di sabotare soluzioni di sicurezza è una nuova tendenza da tenere sotto osservazione poiché logica evoluzione degli attacchi informatici: i software antivirus o altre soluzioni di cybersecurity per i client dispongono di privilegi elevati sulle macchine su cui sono installati, è quindi naturale che si cerchi di bypassarle o attaccarle. Il principio del malware è quello di evitare il rilevamento da parte di un sistema in modo che possa diffondersi. Disattivare o addirittura compromettere le soluzioni di sicurezza è un buon modo per raggiungere questo obiettivo.
L’esempio di Mitsubishi del 2020 decreta l’inizio di questa nuova tendenza. Sfruttando una vulnerabilità in una soluzione Trend Micro, i criminali hanno compromesso parte del sistema IT causando il leak di dati relativi ai partner dell’azienda. Con questo modus operandi, gli aggressori ritorcono i meccanismi di contro l’organizzazione che se ne avvale, e trovano così il miglior punto di accesso alle risorse aziendali. Dotare i software di sicurezza di meccanismi di protezione ancora più stringenti è responsabilità dei produttori, ma è un compito complesso perché dietro ogni prodotto di sicurezza, c’è un’intera architettura che deve essere presa in considerazione.
Nel contempo sta emergendo un’altra forma di minaccia informatica, ovvero la creazione di false società di cybersecurity ad opera di hacker per accedere a informazioni riservate su dati e infrastrutture sotto le mentite spoglie di uno specialista della sicurezza. Ne è un esempio, decisamente preoccupante, SecuritiElite in Corea del Nord.
Il profilo delle vittime: non solo l’utente medio mal informato
Nel 2021, dovremmo tenere a mente non uno, ma cinque identikit. Questo perché anche se, in generale, l’intera infrastruttura di un’organizzazione può presentare vulnerabilità tecniche o funzionali, un certo tipo di profili utente risulta particolarmente attraente.
In linea con la tendenza degli attacchi contro i produttori di cybersecurity, tecnici, specialisti informatici, sviluppatori e ricercatori di cybersecurity sono a rischio e particolarmente esposti all’ingegneria sociale o al furto di identità. Per i cybercriminali, ciò che conta è la capacità di carpire informazioni tecniche chiave e poi attaccare i prodotti di sicurezza. Allo stesso modo, i fornitori di servizi, a causa della varietà dei loro utenti finali, rappresentano anch’essi un elemento chiave quando si tratta di combattere minacce come gli attacchi alla catena di approvvigionamento. Anche i dipartimenti e i manager IT sono un bersaglio primario, gestiscono e amministrano le infrastrutture, spesso con privilegi elevati per i sistemi informativi.
I dipendenti che approvano o eseguono pagamenti, o i CFO e diretti collaboratori hanno più probabilità di altri di essere presi di mira da truffe come quella del CEO o da frodi sui trasferimenti di denaro. “L’esperienza mostra che i cybercriminali prendono di mira i dipartimenti finanziari, contabili o commerciali dando l’impressione che la transazione finanziaria commissionata sia legittima”, illustra Brera. Infine, anche i dirigenti d’azienda sono a rischio. Brera avverte: “i manager gestiscono informazioni altamente strategiche, ma non tutti mettono in pratica gli stessi criteri di igiene digitale richiesti al resto degli addetti aziendali”.
Non ci sono indicazioni che le minacce informatiche si attenueranno nel 2021. L’aumento dell’uso di strumenti digitali e l’indubbia redditività di queste attività sono una ragione sufficiente per gli aggressori per incrementare i propri sforzi. E mentre è molto difficile entrare nella mente dei criminali informatici, è almeno possibile prevedere due cose: continueranno ad essere creativi e dotati di un’inventiva sorprendente, e le organizzazioni dovranno necessariamente rafforzare e ripensare costantemente le strategie di cybersecurity e le misure di igiene digitale.