Sentiamo ripetere spesso quanto raffinati siano diventati gli attacchi del cybercrime e quanto sia necessario mantenere alto il livello delle protezioni e delle capacità di rilevamento per non dover incorrere in spiacevoli situazioni. A riprova di ciò, basti pensare a quanto accaduto a un’azienda specialista del settore come FireEye, vittima nello scorso dicembre di un attacco che è riuscito a sottrarre gli strumenti di red teaming utilizzati per fare i test di sicurezza sui clienti. L’analisi effettuata per comprendere come sia stato possibile subire un incidente di simile portata ha condotto alla scoperta di quello che è diventato famoso come l’exploit SolarWinds, un sofisticata campagna di malware che ha portato gli hacker a infiltrarsi nei sistemi di diverse centinaia di aziende e istituzioni. L’evento sottolinea la pericolosità di attacchi portati probabilmente a livello nation-state (si sospetta del governo russo) in un periodo particolare come questo.
Il Mandiant M-Report, che FireEye realizza annualmente sulla base degli incidenti gestiti dall’azienda controllata, registra fenomeni di questa portata, così come la continua ascesa del ransomware o la solida diffusione delle backdoor. Tuttavia, ci sono anche dei segnali incoraggianti. Innanzitutto, il 59% degli eventi è stato rilevato dai team interni alle aziende, con un incremento del 12% rispetto all’anno scorso: “Quando abbiamo iniziato a realizzare lo studio, nel 2011, il rapporto era 94 a 6”, fa notare Gabriele Zanoni, country manager di Mandiant. “Le capacità di rilevamento sono notevolmente migliorate, a partire dal 2015, quando hanno cominciato a diffondersi i ransomware, più semplici da individuare e attivati da azioni prodotte dentro le aziende”.
Un altro elemento positivo è rappresentato dal cosiddetto dwell time, ovvero il tempo che intercorre fra un’intrusione e la sua rilevazione. La mediana globale nel 2019 era di 56 giorni, mentre lo scorso anno siamo scesi a 24. Dentro il dato globale, tuttavia, spicca la controtendenza dell’area Emea, dove siamo saliti da 54 a 66 giorni: “Le realtà europee sono state bersagliate più di altre da attacchi persistenti di tipo Apt, che hanno l’obiettivo di spiare nell’ombra e restare nascosti per quanto possibile”, spiega Zanoni. “Anche le vittime, oggi, sono diverse, con un calo di settori come finance o hi-tech e una maggior focalizzazione su sanità, retail e hospitality”.
Le minacce, in compenso, hanno assunto in diversi casi un tono più inquietante. La pandemia globale ha scatenato attacchi nation-state a strutture sanitarie, con effetti in qualche caso drammatici, per esempio quando lo scorso anno un paziente ha perso la vita dopo che un ransomware aveva bloccato un centro di emergenza in Germania: “Sono state superate linee di moralità preoccupanti”, commenta Marco Riboli, vicepresidente della regione Sud Europa di FireEye. “Ora l’attenzione si sta spostando verso il cloud”.
Marco Riboli, vicepresidente Sud Europa di FireEye e Gabriele Zanoni, country manager di Mandiant
D’altra parte, il già citato caso SolarWinds ha dimostrato come gli attaccanti siano stati in grado di impadronirsi di accessi privilegiati per far girare software già installato su varie piattaforme, siano state esse server on-premise o macchine virtuali in cloud. Mandiant ha potuto rilevare, per esempio, un caso di insider threat su Aws, che ha fatto leva su credenziali e privilegi d’accesso di un dipendente che aveva da poco lasciato l’azienda.
Se le backdoor continuano a rappresentare il malware più diffuso (41% dei rilevamenti) e continuano a evolversi per aggirare i sistemi di detection aziendali, preoccupano molto gli attacchi Apt (41 gruppi specializzati censiti nel mondo contro i 6 attivi nel 2020) e il solito ransomware, con un peso salito in un anno dal 14 al 25%, ma soprattutto sfruttato non solo per chiedere il riscatto dopo aver cifrato i dati, ma anche per estorsioni legate alla minaccia di pubblicare i dati stessi, generando potenziali danni reputazionali o cause per mancato rispetto delle normative vigenti: “Analisi sull’impatto del rischio e threat modeling sono le più efficaci misure preventive che andrebbero adottate”, conclude Zanoni.