Analisi della situazione italiana in materia di cyber-crime e incidenti informatici
– Estratto del ‘Rapporto Clusit 2019’ –
“Possiamo affermare che il 2018 è stato l’anno peggiore di sempre in termini di evoluzione delle minacce “cyber” e dei relativi impatti, non solo dal punto di vista quantitativo ma anche e soprattutto da quello qualitativo, evidenziando un trend di crescita degli attacchi, della loro gravità e dei danni conseguenti mai registrato in precedenza.
Nell’ultimo biennio il tasso di crescita del numero di attacchi gravi è aumentato di 10 volte rispetto al precedente. Non solo, la Severity media di questi attacchi è contestualmente peggiorata, agendo da moltiplicatore dei danni.
Per sintetizzare la gravità della situazione l’anno scorso abbiamo scritto (non senza attirare qualche sberleffo) che il 2017 aveva rappresentato un “salto quantico” nei livelli di cyber-insicurezza globali. Quest’anno, essendo rimasti a corto di paragoni adeguati, abbiamo deciso di esprimere il nostro giudizio sulla criticità del momento storico facendo riferimento al famigerato “Doomsday Clock”, l’orologio metaforico ideato nel 1947 dagli scienziati della rivista Bulletin of the Atomic Scientists dell’Università di Chicago, in cui la mezzanotte simboleggia la fine del mondo, e i minuti di distanza da essa la probabilità dell’apocalisse nucleare.
Perché affermare che ci troviamo ormai a “due minuti dalla mezzanotte”? In sintesi, perché crediamo che le tendenze che stiamo osservando non possano continuare ancora a lungo senza determinare un qualche genere di discontinuità,di rottura (anche se non abbiamo modo di sapere come questa si concretizzerà) e che lo stress ancora sopportabile dal sistema sia limitato…
Come previsto, nel 2018 si sono realizzate appieno le tendenze più pericolose individuate nel 2017, che avevamo descritto come “l’anno del trionfo del malware, degli attacchi industrializzati realizzati su scala planetaria contro bersagli multipli e della definitiva discesa in campo degli Stati come attori di minaccia”, e queste tendenze, consolidandosi, sono diventate il “new normal”, mentre scenari che solo 5 anni fa avremmo bollato come fantascienza di serie B sono ormai entrati a far parte della nostra realtà quotidiana.
Per fare un esempio eclatante della mutazione genetica delle minacce cyber avvenuta negli ultimi 2 anni, il Cybercrime, pur rappresentando senz’altro un problema enorme dal punto di vista quantitativo e facendo la parte del leone nel nostro campione (per le ragioni esposte nel capitolo precedente), ormai dal punto di vista qualitativo (ovvero della Severity, secondo la nostra analisi) è paradossalmente diventato un rischio secondario, nel senso che ormai ci troviamo a fronteggiare quotidianamente minacce ben peggiori, nei confronti delle quali le contromisure disponibili sono particolarmente inefficaci.
Di seguito proviamo a stilare un elenco, sia pure di alto livello, delle 4 principali “nuove” minacce, ricordando che si tratta di un primo tentativo di sistematizzare dinamiche recentissime.
- Information Warfare e Cyber Guerrilla
L’aspetto più problematico del “new normal” è la possibilità per gli Stati di far “scivolare” senza troppo clamore la gestione dei propri conflitti sempre più verso il piano “cyber”, innalzando continuamente il livello dello scontro senza dover fare ricorso a eserciti e armamenti tradizionali… - Cyber espionage e sabotage
Un secondo elemento di grave preoccupazione è legato alle attività di cyber spionaggio e sabotaggio, che sono in netta crescita e assumono ormai le forme più svariate, dalla ormai costante “guerra della percezione” realizzata tramite fake news amplificate via Social Media all’infiltrazione di infrastrutture critiche, aziende e istituzioni, al furto sistematico di ogni genere di informazioni per finalità geopolitiche, di predominio economico e tecnologico, di ricognizione e di “preparazione del terreno” in vista di ulteriori attacchi… - Machine Learning (AI)
Un’altra causa di grave preoccupazione è rappresentata dalla inevitabile “weaponisation” delle tecniche di Machine Learning, e dalla parallela crescita di tecniche di attacco sviluppate specificamente per colpire queste piattaforme. Si tratta in effetti di due problemi distinti, entrambi legati alla diffusione di sistemi basati su ML. Da un lato infatti stiamo assistendo alle prime fasi dell’utilizzo di tecniche di Machine Learning per la realizzazione di cyber attacchi con l’obiettivo di renderli sempre più efficaci e meno costosi, e dall’altro esiste ormai la concreta possibilità che sistemi basati su AI possano essere silenziosamente alterati e indotti in errore tramite tecniche di “adversarial machine learning” oltre che, più banalmente, attaccati e compromessi con tecniche tradizionali. - Surveillance Capitalism
Un quarto aspetto molto problematico e troppo poco discusso del “new normal” è legato all’affermazione di un modello economico globale radicalmente nuovo, sorto dalle ceneri dell’utopia tecno-libertaria degli anni ’90 e dei primi anni 2000, recentemente definito da Zuboff e altri come “Surveillance Capitalism”. Richiamarne il concetto all’interno di questo elenco potrebbe far storcere il naso ad alcuni, dal momento che, almeno in principio, non si tratta di una minaccia cibernetica puntuale, quanto piuttosto di un fenomeno socioeconomico che sta alterando modelli di business e relazioni umane, modificando equilibri di potere e perfino alterando il funzionamento delle democrazie liberali grazie a una determinata applicazione della tecnologia digitale (che non è certamente l’unica possibile), modellata in base agli interessi economici di poche multinazionali high-tech, peraltro in modi (quasi sempre) leciti. Per quanto nella nostra analisi vengano raccolti e classificati solo attacchi cyber “tradizionali” (realizzati cioè con tecniche di hacking contro / tramite sistemi digitali), di fronte a questa vera e propria rivoluzione in atto sarebbe opportuno iniziare a considerare anche una nuova classe di cyber attacchi, realizzati (per esempio) grazie allo sfruttamento di lacune normative, alla fumosità dei contratti di servizio oppure con la disinformazione del pubblico e forme sofisticate di lobbying per influenzare i legislatori, al fine di ottenere il controllo pressoché totale delle vite, delle scelte e degli orientamenti (anche politici) di ciascuno. In questo senso abbiamo voluto inserire nel campione di incidenti del 2018 anche la vicenda “Cambridge Analytica”, considerandola a tutti gli effetti pratici una forma (nuova) di attacco cibernetico di tipo “corporate”…
Analisi Fastweb della situazione italiana in materia di cyber-crime e incidenti informatici
Il 2018 è stato un anno particolarmente complesso e il panorama delle minacce cyber negli ultimi 12 mesi è evoluto in maniera importante.
Dopo il picco raggiunto nel 2017, gli attacchi di tipo “ransomware” iniziano ad avere una leggera flessione il numero di nuove infezioni si è stabilizzato.
Il motivo legato a questo rallentamento è dovuto in parte alla nascita di nuove contromisure a protezione delle macchine, in parte agli attaccanti che hanno spostato la loro attenzione sul crypto-jacking.
Questa nuova generazione di malware che avevamo già iniziato a vedere l’anno scorso, è in grado di utilizzare la capacità di calcolo delle macchine infettate per generare (in gergo mining “estrarre”) cryptovalute come Bitcoin, Monero o Ethereum. Tali infezioni possono avvenire o tramite software malevolo direttamente sulla macchina, oppure semplicemente visitando siti web compromessi (javascript mining).
Quest’anno abbiamo anche osservato un’evoluzione legata agli attacchi di tipo APT (Advanced Persistent Threat). Tali attacchi, mirati a soggetti specifici, diventano sempre più evoluti e sofisticati e utilizzano in maniera estensiva tecniche di spear phishing.
La differenza da altri tipi di phishing è che viene preso come obiettivo una persona in particolare o un impiegato di una azienda specifica. Tale modalità fa sì che lo spear phishing diventi ancora più efficace e quindi pericoloso: il cybercrime raccoglie informazioni relative alla vittima in modo tale che questa possa essere ingannata. È infatti molto complesso distinguere un’e-mail di spear phishing ben ideata da una normale, per questo è più facile che le vittime cadano nella trappola.
Ci sono però anche segnali positivi relativamente alla diffusione di nuove tecnologie, sempre più accessibili dal punto di vista economico e che rispondono alle sempre crescenti minacce riuscendo in qualche caso a prevenire i così detti attacchi “zero-days” sfruttando tecniche evolute di machine learning e artificial intelligence.
Quest’anno abbiamo raccolto oltre 40 milioni di eventi di sicurezza (una base dati del 14% superiore a quella utilizzata per il report 2017). Il dominio di analisi è costituito dai dati ottenuti dal nostro Security Operations Center e relativi agli indirizzi IP appartenenti all’Autonomous System (AS) Fastweb: oltre 6 milioni di indirizzi pubblici su ognuno dei quali possono comunicare decine o anche centinaia di dispositivi e server attivi presso le reti dei Clienti.
La composizione dei Malware e Botnet che interessano le macchine appartenenti all’AS di Fastweb si è evoluto rispetto alla precedente rilevazione dell’anno 2017.
Infatti quest’anno sono state individuate 212 famiglie di software malevoli (+10% rispetto all’anno precedente). Sono state rilevate diverse minacce già presenti lo scorso anno, ma la vera novità riguarda la diffusione massiva di nuovi malware, non ancora classificati e riconducibili a una famiglia nota.
Zeroacces, classificato come “rootkit” è un virus che una volta preso, dirotta il browser web verso pagine che promuovono programmi malware o altro. È anche in grado di veicolare altri tipi di malware specifici e di nascondersi alle scansioni dell’antivirus tradizionale. Infine blocca l’accesso ai siti in cui viene indicato come rimuoverlo in modo che la vittima abbia difficoltà a “chiedere aiuto”.
Nei primi posti, troviamo anche quest’anno il noto ransomware Wannacry seguito da Gozi e Ramnit.
Questi ultimi due che insieme coprono il 15% dei malware totali, sono malware specifici per il mercato finanziario e sono in grado intercettare credenziali legate all’home banking trasmettendo quindi agli attaccanti username e la password di accesso alla banca della vittima.
Infine rileviamo un 19% di software malevoli (in aumento dell’11% rispetto al 2017) che non sono ancora stati catalogati di cui non si conoscono tutti i dettagli.
Da: https://clusit.it/rapporto-clusit/