“e solo la punta dell’iceberg è visibile”
Il mondo della criminalità informatica sta guadagnando una presa più forte sul business. I criminali informatici stanno diventando più intelligenti, utilizzano tecniche più avanzate e attaccano più frequentemente. Molti esperti di sicurezza non si chiedono più se un’azienda verrà violata, ma quando un’azienda verrà violata.
È chiaro che i criminali informatici stanno diventando sempre più sofisticati e di successo. In passato, lavoravano in modo molto opportunistico, ad esempio attaccando i normali consumatori tramite e-mail. Spesso venivano inviate migliaia di e-mail per una campagna ransomware, con il file dannoso nascosto in un collegamento o in un allegato. Se una vittima cadeva nella trappola, i criminali informatici chiedevano diverse centinaia di euro come riscatto. Bastavano poche decine di vittime per guadagnare molto denaro.
Mentre tali campagne continuano a verificarsi, il mondo della criminalità informatica si sta evolvendo.
Oggi, una campagna di successo può generare milioni di dollari per l’attaccante. Intere comunità sono colpite dagli attacchi. I recenti hack su SolarWinds, Microsoft Exchange Server, JBS, Kaseya e Colonial Pipeline ne sono la conferma. Per evidenziare un esempio: l’hacking del Colonial Pipeline ha distrutto l’intera rete di oleodotti del più grande trasportatore di petrolio sulla costa orientale degli Stati Uniti. La vittima ha pagato milioni, i cittadini hanno accumulato carburante e i prezzi del carburante sono aumentati.
Criminalità informatica organizzata
La criminalità informatica nel suo insieme è professionalizzante. Ciò si riflette nelle relazioni dei gruppi di hacker. Effettuare un attacco e mettere insieme i pezzi del puzzle procede sempre più agevolmente, per cui la cooperazione tra gruppi di hacker e criminali informatici può essere fondamentale. In pratica, ciò include la scansione delle reti aziendali per i servizi Internet aperti al fine di accedere e rivendere l’accesso a gruppi di ransomware più grandi. Questi gruppi quindi effettuano attacchi sofisticati in base alla loro specializzazione.
Tale collaborazione è stata evidente nell’hacking della Colonial Pipeline. Facendo affidamento su un programma di affiliazione, DarkSide (il gruppo dietro la campagna) ha fornito strumenti di hacker ai criminali informatici. Questi strumenti includevano l’infrastruttura per il pagamento e il codice. Gli “affiliati”, o hacker, hanno svolto il lavoro per DarkSide come terze parti.
Attività dello stato-nazione
Oltre alla criminalità informatica organizzata, ci sono le cosiddette attività di hacking degli stati-nazione. Questi gruppi, spesso sponsorizzati e assistiti da un paese, si concentrano spesso sull’accesso ai sistemi e alle informazioni di uno stato-nazione. Ad esempio, prendono di mira un’organizzazione governativa specifica o un’infrastruttura critica per motivi geopolitici.
Gli hacker degli stati-nazione sono sempre stati molto abili nell’ottenere l’accesso iniziale e, infine, infliggere danni.
Inoltre, alcuni governi utilizzano attivamente gli hacker di uno stato nazionale quando ottengono l’accesso a un’azienda o organizzazione da un paese ostile. Chiedono agli hacker di ottenere documenti altamente riservati; queste informazioni riservate possono essere utilizzate da un paese per mettere a punto le politiche di attacco. Grazie alle loro risorse e competenze, gli hacker sono in grado di trovare questo tipo di informazioni. Gli stessi stati-nazione vanno molto oltre i normali criminali informatici. Ad esempio, inserendo una persona in una grande azienda. È allora che diventa davvero pericoloso, poiché nel frattempo hanno avuto accesso a informazioni e connessioni altamente riservate dal paese di origine.
Non ci sono aziende troppo piccole. Non pensare di non avere nulla di interessante per un criminale informatico.
Alcuni stati-nazione ovvi che praticano quest’ultimo sono Russia, Cina, Iran e Corea del Nord. Sebbene questi paesi siano dominanti, i criminali informatici possono arrivare e operare da qualsiasi paese.
Attenzione
La chiave per le aziende e le persone è essere consapevoli dei rischi e del cambiamento delle tattiche. Non chiede paura, ma cautela e prevenzione. Spesso aziende piccole credono di essere fuori dal radar di questi criminali ma la triste verità à che Non esistono aziende troppo piccole. E’ fortemente sbagliato pensare di non avere nulla di interessante per un criminale informatico. Stanno cercando informazioni. Se entrano in un’azienda che non è in grado di pagare milioni di riscatto, potrebbero trovare informazioni interessanti da rivendere. O forse, nel caso di una piccola azienda, connessioni e partner interessanti. Tali attacchi alla supply chain si verificano sempre di più.
Sebbene la distinzione tra criminalità informatica organizzata e attività degli stati-nazione sia importante, una mentalità in cui ci si ritiene un bersaglio di entrambi i campi non fa male. In questo modo si preparano entrambi gli scenari. Gli hacker degli stati-nazione sanno esattamente su cosa vogliono mettere le mani e adattano le loro attività di conseguenza. A loro volta, i criminali informatici regolari lavorano in modo più opportunistico, inciampando volentieri in risorse preziose per qualcuno.
E’ importante che le aziende si rendano conto che farsi idee sbagliate o seguire falsi miti dovrebbe essere fortemente evitato. Ad esempio, in base alle cifre, sembra che i criminali informatici prendano di mira principalmente gli americani. In realtà, molti attacchi avvengono anche in Europa. Se un’azienda viene violata nella nostra regione, le parti malintenzionate hanno potenzialmente accesso a 27 Stati membri dell’UE. Dal punto di vista di un hacker di uno stato-nazione, questo è un obiettivo estremamente interessante.
Suggerimento
Alla fine della fiera, la maggior parte dell’attenzione per la CyberSecurity non è focalizzata sui rischi universali, ma sugli attacchi informatici con il maggiore impatto. Non tutti gli attacchi raggiungono il pubblico attraverso i media perché non è sempre interessante leggere di un piccolo negozio di mobili che ne è stato vittima.
In generale, per i professionisti IT e il pubblico in generale è visibile solo la punta dell’iceberg.
La consapevolezza del ransomware è aumentata in modo significativo a causa della segnalazione di incidenti importanti nei media. Tuttavia, quando si guarda alla criminalità informatica che non è correlata al ransomware, diventa una storia diversa. C’è ancora molta consapevolezza da acquisire in aree come i dati di accesso e il furto di informazioni.
Suggerimenti
Partire da fare continui patching, backup e da avere un piano di emergenza . È altrettanto importante sensibilizzare l’intera organizzazione sulla sicurezza in modo che ogni dipendente agisca sempre in sicurezza, anche al di fuori dell’orario di ufficio.
Oltre a mettere in ordine le basi, è importante portare la strategia di sicurezza allo standard con gli strumenti giusti. La sicurezza degli endpoint tradizionale come l’antivirus non basta più ( e non smetteremo mai di ripeterlo). Se un utente malintenzionato riesce a entrare nella tua organizzazione, l’azione deve essere intrapresa rapidamente, ancora meglio cercare di evitarla, lavorando di anticipo grazie alla tecnologia della Deception di Deceptive Bytes.
Applicare la metodologia dello zero-trust, l’oramai stra-noto approccio basato sulla sfiducia nei confronti di ogni utente..
In conclusione, possiamo dire che la criminalità informatica sta diventando una parte sempre più dominante della nostra vita quotidiana. Tuttavia, con i giusti passi, le giuste tecnologie innovative la società e le imprese possono diventare più sicure cercare di vincere le battaglie che ci aspetteranno nel prossimo periodo.