Il furto d’identità minaccia gli utenti e le aziende italiane: siamo il terzo Paese al mondo per quantità di credenziali di login rubate o compromesse, stando all’ultimo report di Ibm, “X-Force Threat Intelligence Index”, frutto del monitoraggio di oltre 150 miliardi di eventi legati alla cybersecurity accaduti nel 2023 su scala globale. Da questi dati (raccolti da più fonti, tra cui le attività di threat intelligence, quelle di risposta agli incidenti, il red teaming e i servizi gestiti di Ibm, oltre a dati forniri da Red Hat Insights e Intezer) emerge anche la posizione critica dell’Italia rispetto agli attacchi informatici in generale: in un’Europa che concentra ben il 32% degli eventi di cybersicurezza osservati nel 2023, i Paesi più colpiti sono stati il Regno Unito (27% del totale europeo), la Germania (15%), la Danimarca (14%), il Portogallo (11%), l'Italia (8%) e la Francia (8%). Il costo medio di un attacco con furto o compromissione di credenziali si è assestato, per le aziende italiane, intorno a 3,4 milioni di euro.
In tutta
Europa è stato osservato un
aumento del 66% degli a
ttacchi eseguiti attraverso account verificati, dunque legittimi, a cui è stato possibile accedere con varie tecniche, tra cui il furto di credenziali (per esempio tramite phishing) o l’acquisto di dati rubati in precedenti operazioni. Il Vecchio Continente ha anche attratto il 26% degli attacchi ransomware del 2023, piazzandosi al primo posto tra le aree geografiche colpite.
Identità digitali e
posta elettronica sono i due principali punti deboli delle aziende europee: la violazione di account validi e il phishing sono stati sfruttati, ciascuno, nel 30% dei casi. Tra le conseguenze più frequenti, la raccolta di credenziali (28%), l’estorsione (24%) e la fuga di dati (16%).
Lo scenario mondiale, tra phishing ed exploit di vulnerabilità
Allargando lo sguardo, possiamo notare che su scala mondiale gli attacchi basati sulle identità sono in crescita. Ibm ha osservato, in particolare, un incremento del 266% di infostealer, cioè malware progettati appositamente per rubare informazioni personali o credenziali. Il furto i dati e il data leak, considerati insieme, sono la conseguenza post attacco più frequente: erano presenti nel 19% dei casi del 2022 ma l’anno scorso sono balzati al 32%. Quasi il 70% degli attacchi a cui X-Force ha risposto era rivolto ad organizzazioni di infrastrutture critiche, a cui molto spesso (85% dei casi) si ottiene accesso tramite sfruttamento di applicazioni pubbliche, utilizzo di account validi e credenziali ottenute tramite phishing.
A proposito di phishing, non bisogna fare l’errore di sottovalutare questa minaccia. Sebbene il fenomeno sia in calo volumetrico (-44% di casi nel 2023 rispetto all’anno precedente), i metodi di d’attacco e i contenuti delle email di phishing diventano sempre più sofisticati. Una tattica in ascesa, segnalata anche da Acronis, è per esempio l’uso di QR code e inoltre l’intelligenza artificiale generativa inizia a essere usata per creare messaggi di testo convincenti o tradotti in automatico in diverse lingue.
“Sebbene l’attenzione riservata agli attacchi ingegnerizzati dall’AI sia maggiore rispetto ai problemi di sicurezza più noti e basilari, sono questi ultimi ad essere ancora oggi i più diffusi", ha commentato Charles Henderson, global managing partner di Ibm Consulting e direttore di Ibm X-Force. "Le identità compromesse vengono utilizzate ripetutamente contro le aziende, un problema che è destinato ad acuirsi poiché gli aggressori utilizzeranno l'AI per ottimizzare le loro tattiche". In merito all’intelligenza artificiale, Ibm sottolinea anche il rischio di attacchi tesi a compromettere i modelli sottostanti o le applicazioni di AI: non servono tecniche di compromissione nuove, è sufficiente “bucare” l’infrastruttura sottostante, per esempio una risorsa in cloud o un account aziendale. Nel 2023 X-Force ha trovato nei forum del Dark Web oltre 800mila post riguardanti l’AI e il modelli GPT, segno del notevole interesse dei criminali informatici verso queste tecnologie considerate come bersaglio.
L’utilizzo degli account validi è un rischio particolarmente insidioso, perché tendenzialmente è più difficile per un’azienda accorgersi di una violazione che non ha comportato infezioni malware o hackeraggi. E infatti in media servono undici mesi per accorgersi di una violazione effettuata tramite credenziali legittime (come emerso dallo studio “Cost of Data Breach 2023” di Ibm) e inoltre le misure di risposta a questi attacchi sono molto più complesse e quindi richiedono più tempo.
Non va trascurato nemmeno il problema, annoso e mai risolto, delle vulnerabilità sfruttabili. Dalle scansioni di RedHat Insights risulta che il 92% dei clienti abbia almeno una Cve (Common Vulnerabilities and Exposures) già utilizzata in qualche exploit e non risolta, e anche Veracode ha di recente sottolineato l’entità del fenomeno. Aumentano, secondo Ibm, anche gli attacchi di tipo kerberoasting, nei quali gli autori cercano di impersonare utenti legittimi per ottenere privilegi, abusando dei ticket di Microsoft Active Directory: nel 2023 sono raddoppiati. Le attività di penetration testing di X-Force Red indicano, inoltre, che le configurazioni errate rappresentano il 30% delle esposizioni totali identificate e gli attaccanti hanno impiegato 140 diversi metodi per sfruttarle.
Gli strumenti d’attacco preferiti
Quanto allo strumento di infezione, i malware restano il più popolare, presente nel 44% degli episodi monitorati, e il ransomware è la sottocategoria più utilizzata nonostante questa minaccia sia leggermente in calo a livello mondiale, -12% di casi nel 2023: le aziende di grandi dimensioni iniziano a non voler più pagare il riscatto, preferendo affidarsi al disaster recovery. Una parte dei cybercriminali, quindi, si è rivolta ad altri metodi di attacco, come gli infostealer. Ai malware seguono, tra le modalità operative di attacco, l'abuso di strumenti legittimi (26%) e l'accesso ai server (15%).
Tra i settori più colpiti in Europa, il manifatturiero nel 2023 è salito al primo posto, concentrando su di sé il 28% degli incidenti osservati. Seguono i servizi professionali rivolti a imprese e consumatori (25%) i servizi finanziari e assicurativi (16%) e il settore energetico (14%).