Un crescente numero di specialisti delle cyberminacce ha iniziato a sferrare i propri attacchi senza più nemmeno usare il grimaldello del ransomware, per puntare direttamente alla sottrazione dei dati e far leva sulla minaccia della loro divulgazione o rivendita.
La tendenza viene evidenziata nell’ultima edizione del Global Threat Report, che ogni anno CrowdStrike mette a punto per analizzare l’evoluzione della cybersecurity. Si nota così come ci sia stato un aumento del 20% nel numero di attacchi con l’obiettivo di rubare dati sensibili, ma di tipo fileless. Un esempio può essere Lapsus$, soprannominato anche Slippy Spider, ma il discorso vale per altri soggetti come Karakurt. In tutti questi casi, con particolare intensità nel corso del 2022, non viene utilizzata la pratica della cifratura dei dati, ma si passa direttamente al furto, con successiva minaccia di divulgazione o rivendita per ottenere un riscatto.
Lo studio rivela come le attività fraudolente senza malware abbiano rappresentato il 71% delle rilevazioni di minacce nel 2022, contro il 61% dell’anno precedente: “Tutto parte dall’abuso di credenziali valide per facilitare l’accesso e la persistenza negli ambienti delle vittime”, nota Luca Nilo Livrieri, senior manager sales engineering per il Sud Europa di CrowdStrike. “L’identità è il bersaglio più comune degli attacchi e c’è stato un incremento del 112% anno su anno dei furti con access broker”.
Luca Nilo Livrieri, senior manager sales engineering per il Sud Europa di CrowdStrike
SI tratta di un’evoluzione in linea con i tempi. La cifratura dei dati, infatti, implica una certa pubblicità del gesto, mentre la forma evoluta priva di ransomware si muove sottotraccia e non è visibile a parti esterne. Questo consente agli attaccanti di agire facendo leva solo sui danni d’immagine o sui vincoli normativi per poter ottenere il proprio scopo. Ciò non toglie, avverte CrowdStrike, che il RaaS (Ransomwarea-as-a-Service) sia scomparso, anzi il peso è ancora molto rilevante.
Un’altra tendenza di spicco rilevata dal report riguarda il mondo del cloud, con casi di sfruttamento cresciuti del 95% nel corso del 2022 e un numero di attacchi diretti addirittura triplicato: “Il dato indica la tendenza dei cybercriminali e degli attori degli Stati-nazione ad adottare maggiori conoscenze e competenze tecniche, per poter sfruttare le vulnerabilità tipiche soprattutto degli ambienti IaaS”, osserva Nilo Livrieri. “Si usano però anche servizi venduti su cloud per carpire le credenziali e quindi arrivare alle identità. Per le aziende la difficoltà sta nel riuscire a controllare una superficie di esposizione più estesa”.
Quello della visibilità su tutte le risorse di un’infrastruttura appare come il tema più caldo anche per le realtà italiane, dove l’incidenza del lavoro remoto e la diffusione della shadow It sono elementi di pressione costante per i responsabili dell’It e della sicurezza: “Riscontriamo nelle aziende la presenza di dispositivi non protetti e il 69% delle aziende subisce attacchi proprio in questo modo. Il lavoro di assessment infrastrutturale è fondamentale per poter poi esercitarsi a rispondere seguendo un percorso strutturato”, conclude Livrieri.