La pandemia di covid-19 è stata sfruttata molto bene da chi realizza attacchi informatici. C’è un dato numerico su tutti che spicca dall’ultimo Global Threat Report pubblicato da Crowdstrike: “Abbiamo rilevato come l’intensità degli attacchi si sia quadruplicata da quando viviamo gli effetti della pandemia”, conferma Stefano Lamonato, solution architecture manager Europe Channel & Mssp dello specialista di endpoint protection. “I cybercriminali hanno sfruttato la crescita del lavoro da remoto per rafforzare i propri obiettivi di monetizzazione, non solo con i classici ransomware, ma con altre tecniche di estorsione, in particolare portando sui propri sistemi i dati prima di cifrarli e quindi chiedendo un riscatto per non pubblicarli su appositi siti di data leakage”.
Il 56% delle organizzazioni analizzate ha avuto nel 2020 un’esperienza di ransomware e la metà ha deciso di pagare. Su scala mondiale, l’importo medio richiesto è stato di 1,1 milioni di dollari. CrowdStrike ha rilevato come la paura, la preoccupazione e la curiosità che hanno circondato il Covid-19 abbiano fornito la copertura perfetta per un aumento record degli attacchi di social engineering e di intrusioni mirate. Un gruppo denominato Twisted Spider, per esempio, è stato responsabile di 26 attacchi alle organizzazioni sanitarie, particolarmente prese di mira nell’ultimo anno.
Un altro elemento di preoccupazione è legato al fatto che i cybercriminali stanno più frequentemente attaccando le supply chain delle aziende, sfruttando gli anelli deboli e potendo colpire obiettivi multipli partendo da un singolo punto di intrusione. Il report ha calcolato in quattro ore e ventotto minuti il tempo medio necessario a un attaccante per ottenere accesso a un entry point di un’organizzazione.
Si tratta di un arco temporale dimezzato rispetto alla rilevazione del 2019. “Di fronte alla potenza di fuoco della criminalità informatica, appare sempre più opportuno concentrarsi non tanto sugli attacchi in sé quanto sulle compromissioni”, commenta Lamonato. “C'è un essere umano dietro ogni attacco e i malintenzionati stanno diventando più audaci e astuti, colpendo singoli individui per prendere il controllo delle loro postazioni e arrivare al cuore dell’infrastruttura. Per questo, occorre essere in grado di individuare l’evento che consente all’attaccante di farsi strada in azienda, il suo lateral movement, per intercettare i passaggi precedenti e chiudere le porte. Noi proponiamo una tecnologia totalmente cloud-native per offrire maggior visibilità e capacità di prevenzione, tramite tecniche di threat intelligence & hunting. In questo modo, siamo in grado di garantire tempi di un minuto per una rilevazione, dieci minuti per capire l’estensione dell’attacco e generare le prime azioni, sessanta minuti per il completo rimedio”.
Stefano Lamonato, solution architecture manager Europe Channel & Mssp di Crowdstrike
Il Global Threat Report 2021 include anche un eCrime Index (Ecx), che analizza la forza, il volume e la sofisticatezza del mercato del crimine informatico. Al 22 febbraio scorso, l'indice era a 328,36 in costante aumento dall'inizio della produzione di grafici nell'ottobre 2020. CrowdStrike Intelligence, inoltre, ha identificato almeno 1.377 infezioni da Big Game Hunting uniche nel corso del 2020, intendendo con questo famiglie di enterprise ransomware che puntano ad attacchi di elevato valore.
“Noi siamo in grado di capire come gli attaccanti bypassano le difese aziendali, partendo dalle statistiche di funzionamento delle macchine. Essere cloud-native è fondamentale per poter analizzare grandi volumi di dati. Il nostro strumento Threat Graph è in grado di lavorare su oltre quattro trilioni di dati alla settimana su scala mondiale. La nostra esperienza ci consente di suggerire al cliente la strategia migliore, fornendo alle realtà più strutturate gli strumenti per un rapido rimedio e a quelle meno mature un servizio gestito dove siamo noi a monitorare endpoint e dispositivi vari, intervenendo puntualmente dove necessario”, conclude Lamonato.