Attacchi IoT, ransomware e malware crescono sempre di più e sono sempre più sofisticati. La criminalità informatica è cresciuta anche grazie al boom del mercato nero.

Criminalità-informatica

Roya Gordon, Security Research Evangelist di Nozomi Networks Labs analizza il panorama della criminalità informatica e afferma che, il ransomware-as-a-service e i malware venduti sul dark web sono i motori della crescita della criminalità informatica. Ma non solo. Vediamo insieme come si sta evolvendo il mercato cybercriminale

Secondo il World Economic Forum (WEF), la criminalità informatica è cresciuta fino a diventare la terza economia mondiale dopo Stati Uniti e Cina. In base ai dati di Cybersecurity Ventures, si prevede che costerà 8.000 miliardi di dollari nel 2023 e 10.500 miliardi di dollari entro il 2025 a livello globale.

L’accesso a reti e ransomware si può acquistare facilmente online, ed è proprio questo uno dei principali fattori di crescita della criminalità informatica. La crescente disponibilità e accessibilità di questi strumenti fa sì che ci possano essere molti player del cybercrime che non necessitano di competenze tecniche specifiche per lanciare attacchi IT o ransomware sofisticati.

I criminali informatici sono anche pronti a sfruttare le lacune di sicurezza derivanti dalla rapida adozione di sistemi di dispositivi connessi (IoT) nei settori della sanità, dell’istruzione e delle imprese.

Oltre ai criminali che hanno un movente economico e agli attori a livello di Stato-nazione che prendono di mira le infrastrutture critiche per ottenere un guadagno materiale, la guerra della Russia in Ucraina ha visto anche l’ascesa di hacktivisti con motivazioni politiche, contribuendo ulteriormente alla crescita dell’economia della criminalità informatica.

Boom di riscatti

Le richieste di riscatto sono in aumento e per cifre sempre più cospicue: dopo l’attacco di alto profilo portato contro Colonial Pipeline nel 2021, che è costato all’azienda 4,4 milioni di dollari, i criminali informatici hanno capito che possono essere molto più avidi ed esigenti.

Prendere di mira organizzazioni che pagano il riscatto in pochi giorni, senza nemmeno pensarci, incoraggia altri criminali ad alzare il tiro. La richiesta media di riscatto è salita a 800.000 dollari, secondo una ricerca Sophos dello scorso anno, mentre l’ultimo report di Nozomi Networks rivela che le assicurazioni informatiche potrebbero aver in parte contribuito a questo fenomeno: secondo il report, infatti, “i criminali informatici stanno esaminando le offerte di polizze di assicurazione per adattare le loro richieste di riscatto a questi importi”.

Piuttosto che affidarsi alle assicurazioni, che hanno comunque iniziato a rifiutarsi di pagare i riscatti, le aziende dovrebbero investire nella prevenzione, nella protezione e nella bonifica come prima linea di difesa. Sebbene alcune vittime ritengano che il pagamento sia ancora la via d’uscita più semplice da un attacco ransomware, altre stanno iniziando a comprendere che non si tratta della soluzione ideale. Di conseguenza, secondo un report di Chainalysis, le entrate derivanti dal ransomware sono diminuite del 40% nel 2022 sulla base di alcune metriche.

Attacchi mirati all’IoT

Secondo il report WEF State of the Connected World, circa il 73% degli esperti a livello globale non ha fiducia nella sicurezza dei dispositivi connessi. E hanno ragione ad essere preoccupati.

Questi dispositivi non sono davvero sicuri: possono contribuire all’efficienza, e rappresentano una soluzione utile a ridurre il lavoro manuale, aumentando contemporaneamente i profitti e le entrate. Ma non sempre le organizzazioni considerano in modo adeguato gli aspetti di sicurezza, per poi pentirsene.

Questo si riflette nelle statistiche, che mostrano come le organizzazioni private e governative, così come i singoli utenti, siano sempre più esposti ad attacchi informatici a causa della rapida adozione dell’IoT.

Sempre secondo il WEF, nella prima metà del 2021 sono stati registrati 1,5 miliardi di attacchi mirati all’IoT, con un aumento del 15,1% rispetto all’anno precedente. La criminalità informatica sta indirizzando gli attacchi verso questi dispositivi è perché riesce a sfruttarli con successo.

Gli “honeypot” di Nozomi Networks – configurati di proposito come dispositivi IoT – hanno dimostrato che le botnet dannose sono caricate con credenziali predefinite come nome utente e password che le organizzazioni non cambiano. Molti firmware, infatti, non vengono aggiornati. È come se, dopo aver effettuato l’acquisto e l’implementazione di questi device, le organizzazioni si dimenticassero della loro esistenza, fino a che non si verifica un attacco. Gli attori delle minacce lo sanno, quindi stanno precaricando le botnet con credenziali di base, come admin:1234, e ciò è un grande fattore di preoccupazione.

La Cina è il bersaglio preferito dalla criminalità informatica

La ricerca di Nozomi Networks ha anche mostrato che la Cina è il luogo principale da cui vengono sferrati gli attacchi, seguita da Stati Uniti e Corea del Sud. Ciò non significa che gli attori delle minacce provengano necessariamente da questi luoghi, ma solo che è qui che si trova la maggior parte dei dispositivi compromessi. Più nel dettaglio, potrebbe significare che l’attore delle minacce sta sfruttando un dispositivo compromesso che si trova in quel Paese, o anche che alcuni di questi luoghi non hanno politiche di sicurezza valide, e che quindi questi dispositivi potrebbero essere più vulnerabili alla compromissione rispetto ad altri luoghi.

Per quanto riguarda la sicurezza dell’IoT, le organizzazioni dovrebbero essere più attente, perché gli attacchi botnet sono sicuramente destinati a intensificarsi.

Ma niente panico: basta cambiare la password e assicurarsi di applicare le patch.

Attacchi alle infrastrutture critiche

Il tempo necessario per risolvere un problema o implementare un aggiornamento può essere più impegnativo in ambienti tecnologici operativi basati su dati in tempo reale. Questi si trovano più spesso nelle infrastrutture critiche sensibili alle interruzioni.

Quando si ha a che fare con un impianto petrolchimico, con la rete elettrica o con un oleodotto, ogni interruzione non è consentita. Allo stesso tempo, però, le organizzazioni coinvolte nelle infrastrutture critiche devono programmare degli aggiornamenti: fino a che non lo fanno possono essere vulnerabili.

È come un paradosso. Si dovrebbe aggiornare il più possibile, ma non si può perché questo porta interruzioni all’operatività. È necessario un programma che non si limiti a individuare le patch da aggiornare, ma indichi anche quelle più critiche e prioritarie per il sistema, che richiedono attenzione immediata.

La sanità e trasporti i settori più colpiti dalla criminalità informatica

Secondo Nozomi Networks, le strutture sanitarie sono diventate un obiettivo primario per i criminali informatici a causa della natura sensibile dei loro dati. Si tratta di un tipo di vulnerabilità unico nel suo genere: nel settore sanitario, un attacco può significare la perdita di vite umane.

Si è registrato anche un aumento degli attacchi contro il settore dei trasporti: le ferrovie sono diventate particolarmente allettanti per diversi gruppi di attori di minacce, tra cui criminali informatici, ma anche Stati nazione e hacktivisti.

Questo panorama vasto e complesso sta aumentando le preoccupazioni relative alla cybersecurity: ora ci sono molti gruppi di cui preoccuparsi, invece di uno solo che prende di mira le infrastrutture critiche.

La guerra della Russia in Ucraina ha visto l’aumento degli attacchi a sfondo politico alle infrastrutture critiche, compreso l’uso di malware wiper altamente distruttivi. Il suo unico obiettivo è distruggere i dati sensibili e causare danni.

L’unica cosa che può salvare le organizzazioni è un solido backup.

di Roya Gordon, Security Research Evangelist di Nozomi Networks Labs