Nel 2016 i criminali informatici sono diventati più ambiziosi: è stato un anno di aggressioni fuori dal comune, con rapine milionarie a banche virtuali e palesi tentativi di ostacolare il processo elettorale statunitense da parte di gruppi sponsorizzati da stati sovrani. Questo è parte di quanto emerge dal 22° volume dell’Internet Security Threat Report (ISTR) di Symantec.
“Innovazione e livelli di raffinatezza sempre più elevati sono caratteristiche tipiche nel panorama delle minacce informatiche: in più quest’anno Symantec ha identificato dei cambiamenti radicali sia nelle motivazioni che negli intenti”, ha affermato Kevin Haley, Director, Symantec Security Response. “Abbiamo assistito al raddoppiamento delle attività di manipolazione politica e di sabotaggio diretto da parte di alcuni stati sovrani. Contemporaneamente i criminali informatici sono riusciti a causare disagi più gravi, concentrando i loro sforzi su strumenti IT e servizi cloud relativamente semplici”.
L’ISTR di Symantec offre una visione globale sul panorama delle minacce informatiche e rivela informazioni sui pericoli a livello globale, sulle tendenze della criminalità informatica e sulle motivazioni che muovono gli aggressori. Di seguito alcuni dei principali risultati del report:
Atti sovversivi e di sabotaggio in prima linea
I pirati informatici aggrediscono con l’intento di sconvolgere l’ordine politico e compromettere una nuova categoria di vittime. Gli attacchi informatici contro il partito democratico negli Stati Uniti, e la conseguente fuga di informazioni rubate, riflettono la tendenza da parte dei criminali informatici di fare uso di campagne a forte impatto mediatico, studiate per destabilizzare e sconvolgere i paesi e le organizzazioni prese di mira. Se gli attacchi di sabotaggio informatico storicamente sono rari, il successo percepito di alcune campagne – comprese quella delle elezioni negli Stati Uniti e il malware Shamoon – evidenzia una tendenza in crescita dei tentativi di influenzare la politica e contribuire a destabilizzare il panorama politico di altri paesi.
Gli stati sovrani in cerca del colpo grosso
Una nuova tipologia di criminali ha rivolto la propria attenzione al mondo finanziario, probabilmente con l’intento di accumulare fondi per finanziarie ulteriori attività segrete sovversive. Oggi le rapine più rilevanti avvengono nel mondo virtuale, dove la criminalità riesce a impossessarsi di miliardi di dollari. Se, come accade di solito, alcuni di questi attacchi continuano ad essere opera di bande criminali organizzate, oggi per la prima volta sembra siano coinvolti anche stati sovrani. Symantec ha trovato prove che legano la Corea del Nord ad attacchi condotti contro istituti bancari in Bangladesh, Vietnam, Ecuador e Polonia.
“Si è trattato di un furto incredibilmente audace. Per la prima volta abbiamo osservato chiari segni del coinvolgimento di uno stato sovrano in un atto di criminalità informatica in ambito finanziario”, ha affermato Kevin Haley, Director, Symantec Security Response. “Sebbene avessero come obiettivo cifre ancora superiori, i criminali informatici sono comunque riusciti a compiere furti per almeno 94 milioni di dollari USA”.
Software comuni si trasformano in vettori di malware. Lo strumento più usato? L’e-mail
Nel 2016, i file di Microsoft Office e il linguaggio PowerShell (un comune linguaggio di script installato su PC) si sono trasformati in armi nelle mani dei criminali informatici. Se da un lato gli amministratori di sistema utilizzano questi strumenti IT d’uso comune per le attività di gestione quotidiana, dall’altro sono sempre più i criminali informatici che sfruttano questa combinazione per le loro campagne poiché lascia meno tracce e offre la possibilità di nascondersi in piena vista. A causa della frequenza con cui i criminali utilizzano PowerShell, il 95% di file PowerShell analizzati da Symantec sono risultati malevoli.
Anche l’uso della mail come vettore di propagazione di virus è aumentato, la posta elettronica è, infatti, oggi l’arma d’elezione dei criminali informatici e rappresenta una pericolosa minaccia per gli utenti. Symantec ha rilevato in Italia la presenza di un allegato o di un link malevolo in 1 e-mail ogni 141, percentuale vicina alla media di 131 indicata da Symantec a livello mondiale. SI tratta della percentuale più alta registrata da cinque anni a questa parte. Inoltre, nel corso dell’ultimo triennio, le truffe di tipo BEC (Business Email Compromise) che si basano su e-mail di spear-phishing molto più che attentamente costruite, sono costate alle aziende oltre 3 miliardi di dollari, ed hanno coinvolto più di 400 aziende, quotidianamente sotto attacco.
Relativamente alla presenza di malware nelle email, in Italia risultano particolarmente colpite le aziende dei trasporti pubblici (1 ogni 31), seguite da quelle del settore edilizio (1 ogni 42). Meno colpite, ma comunque con una frequenza alta, le aziende del settore finanziario, assicurativo e immobiliare (1 ogni 114), tallonate da quelle del manifatturiero (1 su 115); meno attaccate sembrano invece le aziende di servizi (1 ogni 238).
I tentativi di phishing nel nostro Paese colpiscono maggiormente di nuovo il settore edilizio (1 ogni 360 email è un tentativo di phishing); seguito, a distanza, dal settore trasporti (1 ogni 3.348 email) e dal manifatturiero (1 ogni 4.224)
Estorsione digitale: gli Americani tendono a cedere al ricatto
Fonte di lucro per i criminali, il ransomware ha continuato a crescere a livello globale. Symantec ha identificato 100 nuove famiglie di malware – un numero più che triplicato rispetto al passato – e un aumento del 36% negli attacchi ransomware a livello globale. In termini di destinazioni degli attacchi, l’Italia si posiziona al terzo posto a livello mondiale con una percentuale del 7,1%. In Europa conquistiamo un indesiderato primo posto davanti a Paesi Bassi (3,4%) Russia e Germania a pari merito (3,0%) e Regno Unito (2,7%).
Il paese che resta ben saldo nel mirino della criminalità informatica sono gli Stati Uniti, seguiti dal Giappone e dal nostro paese. Symantec ha rilevato che negli USA il 64% delle vittime di ransomware sono disposte a pagare un riscatto, contro il 34% nel resto del mondo; un atteggiamento che purtroppo comporta delle conseguenze. Nel 2016, la richiesta di riscatto media è balzata al 266%, con i criminali che chiedevano una media di $1.077 per vittima.
La breccia nel cloud: la prossima frontiera della criminalità informatica incombe dall’alto
Le aziende si affidano sempre più ai servizi cloud, e questo le espone agli attacchi. Nel 2016 decine di migliaia di database su cloud sono stati “dirottati” e trattenuti in attesa di riscatto dopo che gli utenti avevano lasciato dei database obsoleti aperti su Internet senza attivare l’autenticazione.
La sicurezza su cloud continua a essere una sfida per i CIO. Secondo i dati di Symantec, i CIO non riescono a tener traccia del numero di app cloud utilizzate all’interno della loro azienda. La maggior parte presume che si aggirino sulle 40, ma la realtà è che la cifra si avvicina a 1.000. Questa enorme disparità può portare ad una carenza di regole e procedure sulle modalità di accesso ai servizi cloud da parte dei dipendenti che, a sua volta, rischia di amplificare i pericoli dell’utilizzo di app su cloud. Queste brecce nel cloud diventano ogni giorno più visibili. Symantec prevede che a meno che i CIO non riescano ad esercitare un controllo più severo sulle app in cloud utilizzate all’interno delle loro aziende, si assisterà presto a un cambiamento delle modalità con cui le minacce informatiche riescono a penetrare nell’ambiente aziendale.
