Gli attacchi che prendono di mira le supply chain dell’informatica sono più vivi che mai. Questa tendenza in ascesa negli ultimi anni (se ne parlava già nel 2021) è ben rappresentata da casi eclatanti di vulnerabilità sfruttate come quello di Solarwinds. Come spiegato dalla European Union Agency for Cybersecurity (Enisa), in un attacco alla “catena di fornitura” viene colpito in prima istanza il fornitore diretto o indiretto di una tecnologia hardware, di un software o di un servizio IT; attraverso questa compromissione (che può essere una modifica del codice, un ransomware, un furto di dati o altro ancora) si arriva a colpire, a cascata, gli utenti o le aziende fruitori di quel prodotto o servizio o anche, a seconda dei casi, specifici obiettivi.
A far luce sul fenomeno c’è un nuovo report di SecurityScorecard, azienda specializzata in rating di sicurezza, cyber intelligence e protezione delle supply chain. Dalle statistiche emerge che almeno il 29% delle violazioni del 2023 è stato un third-party breach, cioè ha colpito inizialmente una “terza parte”, diversa dalla vittima finale. La percentuale effettiva è probabilmente più alta, perché molti report sulle violazioni non specificano quale sia stato il vettore di attacco. SecurityScorecard ha rilevato, inoltre, che il 98% delle organizzazioni ha un rapporto con una terza parte che è stata violata.
“Nell’era digitale, la fiducia è sinonimo di sicurezza informatica”, ha commentato Aleksandr Yampolskiy, Ceo e cofondatore di SecurityScorecard. “Le aziende devono migliorare la resilienza implementando una gestione del rischio informatico continua, basata su parametri e allineata al business nei loro ecosistemi digitali e di terze parti”.
Considerando le sole violazioni con vettore d’attacco “terzo”, si nota che il 75% ha preso di mira la catena di fornitura di software e tecnologia. Nel 2023 ha dominato la scena degli attacchi di supply chain C10p, collettivo di criminali informatici specializzati in ransomware: è stato responsabile del 64% delle violazioni attribuibili a terzi osservate nel 2023. Arriva solo a distanza, con una quota del 7%, il secondo “classificato” Lockbit, altro collettivo ransomware molto noto alle cronache e recentemente smantellato con un’operazione di polizia internazionale.
Un ristretto numero di software vulnerabili è stato ampiamente sfruttato per generare effetti a cascata: le Cve di Moveit, CitrixBleed e Proself sono state il punto d’ingresso del 77% delle violazioni di terze parti basate su una vulnerabilità specifica. Quello a Moveit, un programma per il trasferimento di file, è stato in particolare un attacco zero-day su larga scala, che ha coinvolto numerosi livelli della catena di fornitura (da tre a cinque).
Per quanto riguarda i settori colpiti negli attacchi di supply chain, nel 35% dei casi si è trattato di organizzazioni sanitarie. Seguono i servizi finanziari, con una quota del 16%. Meno affidabile è la mappatura geografica delle vittime: nelle statistiche di SecurityScorecard, il 64% delle violazioni da parte di terzi si è verificato in Nord America, ma il dato è forse viziato dal fatto che i rilevamenti di sicurezza e l’attenzione mediatica siano concentrati qui, più che non altrove. L’Europa è coinvolta solo nel 9% delle violazioni informatiche di supply chain.