Attacchi informatici, le aziende del Nord sono le più colpite

Secondo l'ultimo rapporto dell'Agenzia Nazionale per la Cybersicurezza (Acn) è l'industria manifatturiera del nostro Paese a essere il principale bersaglio delle cybergang. Non va meglio per le pubbliche amministrazioni locali: dopo Francia, Germania e Gran Bretagna, l'Italia è il più colpito in Europa. Il Computer Security Incident Response Team (Csirt) dell’Agenzia per la Cybersicurezza Nazionale ha pubblicato un nuovo rapporto mensile sui rischi e le minacce digitali del nostro Paese. Il rapporto di novembre fornisce un quadro della situazione nazionale. Segnala un aumento di incidenti rispetto a ottobre con un conseguente incremento delle vittime, ma soprattutto spiega come da un punto di vista geografico, le zone più interessate dal fenomeno risultano essere i grandi distretti industriali del Nord Italia. E questo è dovuto soprattutto a fatto che in questa zona c’è una maggiore presenza di imprese operanti nel settore manifatturiero. Ma il problema non sono solo i privati. I settori più colpiti sono le pubbliche amministrazioni locali, ma anche università e centri di ricerca. L’aumento nel settore Pubblica Amministrazione locale è stato determinato principalmente dagli attacchi condotti ai danni dei siti web di diversi piccoli comuni, rivendicati dal collettivo hacker Nofawkx-al. Il gruppo è noto per aver portato avanti, in passato, una serie di attacchi per veicolare messaggi a sostegno di cause politiche come quella legata all’indipendenza del Kosovo. Per di più mese di novembre sono ripresi gli attacchi DDoS nei confronti dei soggetti italiani condotti da gruppi hacktivisti filorussi, dopo un’interruzione di circa cinque mesi. Questi attacchi hanno colpito diverse società del settore dei trasporti con impatti limitati. Nello stesso periodo anche la Svezia ha subito un’intensificazione dei DDoS, ad opera dei medesimi gruppi, avviati a seguito della sua adesione alla Nato avvenuta a marzo. Di rilievo anche quanto accaduto nella Corea del Sud, oggetto di una serie di attacchi DDoS da parte di NoName057(16) innescati dalle dichiarazioni del Ministro degli Esteri e del Presidente della Repubblica di Corea riguardanti la possibilità di fornire armamenti all’Ucraina. Le offensive hanno colpito siti governativi, enti finanziari e istituzioni pubbliche, determinando impatti sull’operatività dei servizi. I gruppi più attivi a livello globale per numero di rivendicazioni sono stati NoName057(16) e CyberArmyofRussia_Reborn. I gruppi più attivi per numero di rivendicazioni Ransomware sono stati DragonForce e HuntersInternational. «La piaga del ransomware continua ad affliggere tutte le economie avanzate e anche il nostro paese, quarto in Europa, dopo Gran Bretagna, Francia e Germania, per numero di attacchi» spiega in una nota l'Acn. Spesso le realtà colpite non denunciano e stimare la percentuale di vittime che concordano il pagamento del riscatto è difficile. Ciononostante, secondo l’analisi condotta da Enisa ( Agenzia dell'Unione europea per la cibersicurezza) e contenuta nel report “Threat Landscape for Ransomware Attacks” pubblicato nel 2022, circa il 62% delle vittime avrebbe negoziato con gli attaccanti per la corresponsione del riscatto. Non bisogna poi dimenticare come ci sia stata anche un evoluzione delle strategie offensive e delle tecniche di attacco che hanno portato ad una riorganizzazione dell’ecosistema criminale, sostenuto dalla progressiva specializzazione degli attaccanti e da una loro ristrutturazione in ransomware gang. Va ricordato come il ransomware sia una tipologia di minaccia che ha lo scopo di cifrare i dati del soggetto colpito in modo da comprometterne la disponibilità, integrità e riservatezza. I criminal hacker hanno perfezionato le metodologie di raccolta informativa e profilazione dei bersagli. Queste attività, denominate “Big Game Hunting” (Bgh),consentono alle ‘ransomware gang’ di selezionare gli obiettivi in base al loro potenziale economico e alla loro presumibile capacità di corrispondere riscatti significativi , calibrando così le richieste estorsive in funzione della solidità finanziaria dell'obiettivo. Secondo il “Incident Response Report 2024”8 di Palo Alto Networks, nel 2023 il valore stimato dei riscatti richiesti è aumentato di circa il 7% rispetto al 2022 mentre nel 2023 il valore del riscatto effettivamente pagato equivale in termini di valore mediano a circa il 34% del valore originariamente richiesto nello stesso anno da parte degli attori criminali.Il rapporto contiene anche un’analisi della minaccia in Italia, e offre una sintetica evidenza della sua distribuzione temporale e geografica, oltre che dei settori colpiti più frequentemente. Lo scopo del ransomware è quello di richiedere alla vittima un riscatto in cryptovalute per riottenere l’accesso ai propri dati comunicandolo attraverso una ransom note. In alcuni casi i dati, prima di essere cifrati, vengono esfiltrati in modo da offrire all’attaccante uno strumento in più di ricatto nei confronti della vittima. Un primo esempio di attacco ransomware viene fatto risalire al 1989, quando 20.000 floppy disks contenenti il malware “PC Cyborg” vennero distribuiti ai partecipanti della conferenza organizzata dall’Organizzazione Mondiale della Sanità sull’Aids, cifrando le informazioni presenti sui sistemi vittima e richiedendo il pagamento di un riscatto. Per questo motivo, l’attacco è noto come “AIDS Trojan”.La nascita di criptovalute, come Bitcoin nel 2008 e Monero nel 2014, ha introdotto un’infrastruttura finanziaria che garantiva agli attaccanti maggiore segretezza e costi di transizione significativamente più bassi. Purtroppo lo sviluppo delle criptovalute ha permesso la crescita del fenomeno e lo sviluppo di campagne ransomware di massa quali Wannacry, responsabile nel 2017 dell’infezione di oltre 200.000 computer in 150 paesi, e NotPetya, responsabile nello stesso anno dell’attacco contro oltre 2.000 organizzazioni, di cui la maggior parte in Ucraina.