Nell'anno dell'esplosione del covid-19 gli attacchi informatici sono cresciuti moltissimo, ancor più di quanto non ci si potesse aspettare guardando alle tendenze degli anni precedenti. L'ennesimo allarme sul tema della sicurezza informatica arriva da Fortinet, che parla di “situazione drammatica” per un 2020 segnato dalla forte crescita dei ransomware, dal fenomeno degli attacchi di supply chain, da una nuova attenzione per le vulnerabilità delle reti e dei dispositivi domestici (sempre più usati per attività di lavoro). Questo ci racconta l'ultimo report semestrale “FortiGuard Labs Global Threat Landscape”, basato sui rilevamenti fatti dai prodotti Fortinet raccolgliendo miliardi di eventi e attacchi in tutto il mondo nella seconda metà del 2020.

"Il 2020 ha evidenziato un panorama di minacce informatiche davvero drammatico”, spiega commenta così Derek Manky, chief, security insights & global threat alliances dei FortiGuard Labs di Fortinet. “A causa del ruolo primario giocato dalla pandemia, i cybercriminali hanno lanciato attacchi sempre più devastanti. La superficie di attacco digitale si è estesa oltre il core network, per colpire il lavoro o la didattica a distanza e l’intera supply chain digitale. Il settore della cybersecurity si è trovato a fronteggiare un rischio mai così grande prima d’ora, dato che oggi tutto è interconnesso in un ambiente digitale più ampio”.

Un nuovo boom per i ransomware
I dati dei FortiGuard Labs rivelano per il periodo di luglio-dicembre 2020 un aumento dell'attività complessiva di ransomware sette volte maggiore rispetto a quello del primo semestre. Fra le cause di questa crescita, Fortinet cita l'evoluzione del Ransomware-as-a-Service (RaaS), il tentativo di ottenere riscatti da grandi realtà prese di mira e la minaccia di rendere noti i dati rubati in caso di mancato pagamento. I ceppi più attivi dei ransomware tracciati sono stati Egregor, Ryuk, Conti, Thanos, Ragnar, WastedLocker, Phobos/EKING e BazarLoader. Nel solo mese di dicembre, la rete dei sensori di Fortinet ha conteggiato una media di 17.200 dispositivi colpiti al giorno.

I settori più pesantemente colpiti dagli attacchi ransomware includono l'assistenza sanitaria, i fornitori di servizi professionali, le società di servizi ai consumatori, le aziende del settore pubblico e le società di servizi finanziari. Come affrontare queste minacce? Forinet consiglia alle aziende di assicurarsi di avere procedure di backup dei dati siano rapide, complete e sicure, quindi off-site. Anche le strategie di accesso e di segmentazione “zero trust” dovrebbero essere adottate per minimizzare il rischio.

L'andamento degli attacchi ransomware nella seconda metà del 2020 (Fonte: "FortiGuard Labs Global Threat Landscape")

 

Supply chain al centro della scena

Gli attacchi rivolti alla catena di fornitura di una tecnologia (sia essa hardware o software) non sono certo una novità, ma il caso di SolarWinds ha svelato un danno di proporzioni e pericolosità inedite. Fortinet ha studiato l'accaduto analizzando, attraverso i propri laboratori di ricerca FortiGuard Labs, le molte informazioni condivise dalle aziende colpite dall'attacco. Le comunicazioni con le infrastrutture Internet associate a Sunburst durante il mese di dicembre 2020 hanno dimostrato che la portata della campagna era globale.

 

Phishing, malware e documenti Office infetti

Un’analisi delle categorie di malware più diffuse nella seconda parte del 2020 ha evidenziato le strategie principalmente usate dai criminali per entrare nelle reti delle aziende, spiando attività e dati. Fra le tecniche più usate spiccano l'invio di documenti Office dannosi in allegato alla posta elettronica e i siti di phishing caricati di malware e script che iniettano codici o reindirizzano gli utenti verso altri siti dannosi. Questo tipo di attività cybercriminale, spiega Fortinet, aumenta inevitabilmente durante periodi di crisi globale o di elevato commercio online. Anche lo smart working ha giocato un ruolo poiché i dipendenti aziendali, solitamente protetti da servizi di web-filtering, si sono ritrovati privi di questa barriera.

 

La distribuzione geografica delle attività legate al malware di Solarwinds (Fonte: "FortiGuard Labs Global Threat Landscape")

 

Dispositivi IoT non sicuri
Come noto, il confine tra casa e ufficio si è assottigliato in modo significativo nel 2020, il che ha indotto gli hacker a prendere di mira gli ambienti home office per potersi avvicinare più facilmente alla rete aziendale. Nella seconda metà del 2020 sono cresciuti gli exploit che puntano ai dispositivi Internet of Things, categoria che include anche i router e modem domestici e le webcam di videosorveglianza.

 

Nuovi attori sulla scena del crimine informatico

I gruppi Advanced Persistent Threat (Apt) continuano a sfruttare la pandemia di covid-19 in svariati modi. I più comuni sono gli attacchi focalizzati sulla raccolta di informazioni personali in massa, il furto di proprietà intellettuale e l'acquisizione di dati allineati con le priorità nazionali del gruppo Apt. Alla fine del 2020, spiega Fortinet, c'è stato un aumento dell'attività Apt rivolta verso aziende coinvolte in attività strettamente legate alla gestione della pandemia: agenzie governative, società farmaceutiche, università ed enti di ricerca medica.

 

Le strategie di difesa per il 2021
“Approcci integrati e AI-driven, alimentati dalla threat intelligence sono vitali per difendere tutti gli edge e per identificare e rispondere efficacemente alle minacce che le aziende oggi affrontano in tempo reale", sottolinea Manky. A detta di Fortinet, oggi più che mai per combattere il cybercrimine sono necessarie una maggiore consapevolezza e una strategia integrata. La threat intelligence era ed è centrale per comprendere le minacce e  difendersi dai vettori in evoluzione. Anche la visibilità è fondamentale, soprattutto quando una quantità significativa di utenti si trova a operare al di fuori del tradizionale perimetro della rete aziendale. Ogni dispositivo crea un nuovo “edge” che deve essere monitorato e protetto. Da un lato, l'uso dell'intelligenza artificiale e il rilevamento automatico delle minacce possono aiutare a reagire più tempestivamente sia nel rilevamento sia nella risposta e mitigazione degli attacchi. Dall'altro, resta prioritaria la necessità di educare meglio gli utenti su quali siano i rischi e quali le buone pratiche di sicurezza informatica da seguire, sia in azienda sia in smart working.