Anche il 2021 sarà ricordato come un anno difficile per la cybersecurity delle imprese italiane. Nel periodo luglio 2020 – giugno 2021 in Italia sono cresciuti soprattutto gli attacchi alla supply chain e i furti di credenziali. I dati sono di Yarix, divisione di Var Group, parte del gruppo SeSa, che ha monitorato l’esposizione delle aziende italiane agli attacchi di cybercrime.
Mirko Gatto, CEO di Yarix commenta così i risultati: “Il panorama del cyber risk in Italia sta diventando sempre più preoccupante: non parliamo più di minacce sporadiche a un gruppo limitato di aziende, percepito dagli hacker come detentore di asset di valore, ma di attacchi sistemici sempre più aggressivi, pronti a colpire qualsiasi settore e qualsiasi azienda con dati da proteggere. Il nostro Report evidenzia bene questo orientamento, registrando circa 5000 eventi in media al mese, cioè 167 al giorno, ovvero 7 all’ora per 24 ore al giorno, 7 giorni su 7.”
Il report in cifre:
- Circa 57.000 eventi di sicurezza rilevati (+157% anno su anno): si tratta di possibili violazioni dei livelli di sicurezza informatica, tali da configurare una situazione di potenziale rischio;
- Di questi, quasi 16.000 si sono evoluti in incidenti di sicurezza (+225%): si tratta delle situazioni più gravi, tali da pregiudicare l’utilizzo di asset aziendali, violare disposizioni aziendali o di legge, causare la perdita o la diffusione di dati, etc;
- 130 eventi critici (+280%): si tratta di eventi in grado di provocare una vera emergenza per l’azienda. Richiedono interventi di Emergency Response per ripristinare la normalità dei sistemi, implementare le necessarie contromisure di prevenzione e compiere una successiva analisi post-incidente per rilevare l’origine della compromissione o dell’attacco;
- Tra i settori più colpiti emergono ilmanufacturing e il fashion (28% degli attacchi), seguiti da quello relativo a Information Technology e Banking and Finance, rispettivamente al 12% e al 10%. Particolarmente significativo l’aumento registrato dal settore Health, che si attesta a 9%.
Il furto di credenziali
Uno dei trend in costante aumento evidenziato dal team YCTI è il furto di credenziali e informazioni sensibili e confidenziali per la loro conseguente messa in vendita nel Dark Web e nei canali underground specializzati nella compravendita di informazioni. Il team YCTI formato da analisti in grado di muoversi nel dark web con profili sotto copertura, infiltrandosi in black market e forum e di interagire direttamente con i threat actor, ha riportato un totale di 423 eventi significativi riconducibili a queste attività.
Le analisi evidenziano che i threat actor agiscono principalmente attraverso due metodologie che si distinguono, oltre che per il costo, anche per le informazioni fornite. Si può avere una semplice vendita, e in questo caso l’attività si limita alla sola cessione della credenziale compromessa per l’accesso dell’azienda target, oppure di una vendita accompagnata ad una già avviata attività di compromissione. In questo secondo caso, il threat actor fornisce un accesso completo all’azienda vittima, che può potenzialmente procurare uno o più accessi o una backdoor con privilegi amministrativi all’interno dell’infrastruttura. L’accesso avviene attraverso tre step: attività di ricognizione (reconnaissance), privilege escalation e lateral movement.
Il trend della supply chain
Nel corso del 2021 una nuova tipologia di compromissione ha preso piede nel panorama dei cyber attacchi: quella della Supply Chain o catena di approvvigionamento.
Gli attacchi diretti verso organizzazioni ben protette spesso comportano un costo e una complessità rilevante per gli attaccanti; può risultare quindi più semplice attaccare la catena di approvvigionamento, che offre un numero maggiore di possibili target e consente di trovare più facilmente un anello debole. In caso di successo l’impatto può essere significativamente più esteso e non solo rivolto al target principale dell’attacco.
Questa tipologia prevede una compromissione in almeno due fasi, una prima di compromissione del “fornitore” e una seconda di compromissione dell’anello successivo della catena di fornitura.
Il rischio per le infrastrutture target è particolarmente elevato perché sfrutta una componente insita nella maggior parte dei rapporti di fornitura, cioè il trust che c’è tra fornitore e utilizzatore del servizio, presente sia sotto forma di rapporto contrattuale, sia di rapporto basato su una fiducia insita nel servizio o nel software stesso, dettata dal brand del fornitore o da rapporti di fiducia personali.
L’attacco alla Supply Chain può avvenire attraverso:
- La compromissione di un fornitore di servizi informatici,utilizzando come testa di ponte gli accessi privilegiati alle infrastrutture dei clienti. Questi accessi sono il vettore d’attacco perfetto per un attaccante, in quanto già presenti e per loro natura abilitati allo svolgimento di diverse attività all’interno del perimetro dell’azienda. Sfruttando la catena di fiducia che lega il cliente al fornitore, l’attaccante può così massimizzare il profitto con attacchi mirati verso tutte le aziende che utilizzano lo stesso fornitore. A questo si aggiunge un ulteriore e ormai “classico” secondo ricatto, cioè quello dovuto all’esfiltrazione di dati e al danno reputazionale legato alla pubblicazione di dati relativi a contratti, clienti e know how aziendale;
- La compromissione di un software, solitamentediffuso all’interno delle realtà aziendali, utilizzato come vettore del payload malevolo dell’attaccante. In questo caso il trust è implicito nella presenza del software stesso e non sono rare le situazioni in cui tali software siano esclusi dai controlli di sicurezza attivi, al fine di consentirne il corretto funzionamento.
Il report è stato curato dagli analisti del Cognitive Security Operation Center (YCSOC) di Yarix, una cyber control room che, 24 ore su 24, monitora e gestisce la sicurezza delle reti aziendali e pubbliche attraverso funzionalità evolute basate su AI. La base dati è stata integrata dalle risultanze delle analisi del team Cyber Threat Intelligence di Yarix (YCTI), che scandaglia la rete – Clear, Dark e Deep Web – per identificare informazioni utili a prevedere in anticipo potenziali attacchi informatici. Il report restituisce una rielaborazione analitica dei dati provenienti dalle aziende monitorate dal SOC, il security operations center, e corrispondenti alla base dei clienti di Yarix. Le imprese rappresentate nel panel analizzato occupano, in media, oltre il migliaio di addetti e sviluppano fatturati superiori ai 50 milioni di euro. La base di dati proveniente dal SOC è stata integrata con i dati provenienti dalle analisi svolte dal team YCTI. Ulteriori informazioni derivano da fonti interne e da collaborazioni con istituzioni, enti e altre aziende, nonché tenendo conto delle notizie provenienti dal circuito FIRST (Forum for Incident Response and Security Teams), la comunità internazionale più estesa e autorevole per la prevenzione e la gestione congiunta di incidenti di sicurezza.
