Riscatti in cambio di dati e guerre: i cyber attacchi sono sempre più gravi e in costante crescita

“I dati del Rapporto Clusit ci mostrano un trend di crescita inarrestabile del cyber crimine”. Con queste parole Gabriele Faggioli, presidente dell’Associazione Italiana per la Sicurezza Informatica Clusit, presenta il rapporto sulla sicurezza ICT (Information and Communications Technology). La premessa però è che secondo i ricercatori l’aumento dei crimini informatici potrebbe essere ancora sottostimato, poiché il campione è formato a partire da casi di dominio pubblico, portando a pensare che venga descritto uno scenario meno critico di quello che è in realtà.

Il rapporto presentato durante il Security Summit Streaming Edition ha individuato 1.053 attacchi gravi nel primo semestre 2021, un aumento del 30% rispetto al primo semestre 2018, quando erano stati 745.

In media si è passati da 124 a 170 attacchi mensili di media in 8 semestri.

Dall'attacco alla Cgil al SolarWinds

Negli ultimi mesi sono diversi gli attacchi informatici che hanno raggiunto le prime pagine dei giornali, sia italiani che esteri.

Diversi collettivi infatti, hanno colpito strutture molto diverse tra loro, come l’attacco del collettivo REvil ad Acer, quello subito dalla Cgil, quelli ai comuni lombardi di Brescia e Rho, oppure ‘SolarWinds’, l’attacco contro gli Stati Uniti scoperto a fine 2020 e chiamato così per l’azienda texana che è stata il principale punto d’ingresso degli hacker.

Uno degli ultimi esempi riportati dalla cronaca italiana è stato quello inflitto alla Società Italiana Autori ed Editori (SIAE). L’attacco è stato di tipo “ransomware”, un attacco volto al blocco del computer fino al pagamento di un riscatto. Condotto dall’“Everest ransom team”, il “data breach” ha portato alla sottrazione di file per 60 gigabyte, sotto forma di circa 28mila file.

Tra i dati sottratti ci sono state carte di identità, patenti, tessere sanitarie e indirizzi di tanti autori. La tecnica impiegata è quella molto utilizzata negli attacchi “ransomware”, la “doppia estorsione”: una volta sottratti i file, induce la vittima a pagare un riscatto per decifrare i dati, ma anche per non pubblicarli.

Nella primavera del 2021 un attacco ancora più grave ha messo in allarme il presidente degli Stati Uniti, Joe Biden. Il 7 maggio, il gruppo DarkSide attacca la Colonial Pipeline, una delle più importanti compagnie di oleodotti degli Stati Uniti, causando carenza di carburante in diverse località e facendo salire temporaneamente il prezzo di petrolio e carburanti. Il governo statunitense ha dovuto adottare una dichiarazione di emergenza in 18 stati.

Successivamente Joseph Blount, Ceo della Colonial Pipeline ha ammesso di aver autorizzato il pagamento di un riscatto di 4,4 milioni di dollari in bitcoin per poter riprendere le attività, ripartite poi il 16 maggio. Nel giugno del 2021 poi, l’FBI aveva dichiarato di aver rintracciato e recuperato 2,3 milioni di dollari in criptovalute, parte del riscatto pagato da Colonial Pipeline, portando Darkside a cessare le operazioni poiché come da loro dichiarato, la loro struttura pubblica era stata manomessa da un’agenzia governativa non specificata. A novembre il Dipartimento di Stato americano ha messo una taglia di 10 milioni di dollari a disposizione di chi fornisca informazioni che possano aiutare all’identificazione dei leader di DarkSide, che dopo essere spariti dalla circolazione potrebbero essere tornati sotto il nome di BlackMatter.

Come possiamo difenderci dagli attacchi cyber?

“Auspichiamo che il PNRR (Piano nazionale di ripresa e resilienza), che complessivamente alloca circa 45 miliardi di euro per la ‘transizione digitale’, possa rappresentare per l’Italia l’occasione di mettersi al passo e colmare le proprie lacune (anche) in ambito cyber, e non abbia come esito un ampliamento della superficie di attacco esposta dal Paese, ma una sua complessiva, significativa riduzione”, affermano gli esperti di Clusit nel report. Viene inoltre affermato che “questo obiettivo (assolutamente prioritario e strategico) richiederà una governance stringente in ottica cyber security di tutti i progetti di digitalizzazione previsti dal piano, una vision politica che non accetti compromessi e pressioni esterne, e (finalmente) la valorizzazione delle risorse umane con competenze cyber (in termini di talenti e di esperienze) del Paese, e il loro sviluppo in termini quantitativi e qualitativi”.

Tipi di attacchi e “Severity”

Gli attacchi gravi registrati dal Clusit sono stati divisi in quattro tipologie: Cybercrime, Information Warfare, Espionage-Sabotage e Hacktivism.

Nel primo semestre 2021, rispetto al secondo semestre 2020, sono aumentati del 21% gli attacchi di Cybercrime, che oggi rappresentano l’88% del totale. Come abbiamo visto per i casi degli attacchi alla Siae e alla Colonial Pipeline, i responsabili delle azioni hanno l’obiettivo di monetizzare gli attacchi, spesso tramite ransomware.
Gli attacchi della categoria Information Warfare hanno fatto registrare un’importante crescita del 18%, anche se rappresentano solo il 2% del totale. Il loro obiettivo è principalmente di raccolta, elaborazione e gestioni di informazioni per vantaggi spesso politici. Questo è il caso dello spyware Pegasus, un potente malware che registra informazioni di giornalisti, attivisti, avvocati, politici e dei loro familiari per poi trasmetterle a chi ne aveva richiesto i servizi. Prodotto dall’azienda israeliana NSO Group, lo spyware era usato per raccogliere informazioni su tre presidenti, tra cui Macron, tre primi ministri, sette ex primi ministri, su quasi 200 giornalisti, sui familiari di Jamal Khashoggi (il giornalista del Washington Post ucciso in Turchia da assassini inviati dall’Arabia Saudita), e nel caso di Omar Radi, giornalista che in numerose inchieste aveva denunciato la corruzione del governo del Marocco. “Quello che abbiamo letto, se confermato dopo le verifiche, è qualcosa di completamente inaccettabile. Contro ogni tipo di regole che abbiamo nell’Unione europea”, ha dichiarato in merito questa estate la Presidente della Commissione europea Ursula von der Leyen durante una visita a Praga.
In diminuzione del 36,7% quelli classificati come attività di Espionage-Sabotage, che dopo il vertiginoso aumento del 2020, (anno in cui erano stati più del doppio rispetto a quelli registrati nel 2019) dovuto principalmente allo spionaggio relativo allo sviluppo di vaccini e cure per il Covid-19, ora sono il 9% degli attacchi analizzati. In questa categoria rientrano anche gli attacchi hacker ai siti di Cgil e Collettiva tra il 9 e il 16 ottobre. Gli attaccanti sono riusciti a rendere inaccessibili i siti utilizzando dei DDoS (Distributed Denial of Service), in pratica facendo collassare i server con numeri enormi di tentativi automatizzati di connessioni, nei giorni dell’assalto alla sede di Roma e della conseguente manifestazione indetta dai sindacati per la settimana dopo. “Dal momento che noi per raccogliere tutti questi dati, a seconda degli anni, utilizziamo circa 450-500 fonti che sono di dominio pubblico, gli attacchi di Information Warfare e Cyber Espionage sono certamente molto sottorappresentati”, commenta in un'intervista rilasciata a BlastingInvestigations Andrea Zapparoli Manzoni, membro del Consiglio Direttivo di Clusit presentando i dati del report.
“L’hacktivism - aggiunge Zapparoli Manzoni - è un fenomeno sostanzialmente residuale che ormai rappresenta l’1% degli attacchi che noi analizziamo”. Tra i pochi attacchi considerabili in questa categoria troviamo quelli effettuati tra settembre e ottobre 2021 dall’organizzazione Anonymous, all’interno di un’azione chiamata “Operation Jane”, in risposta alla legge anti-aborto “Texas Heartbeat Act”. Dopo aver rimpiazzato l’11 settembre il sito del Partito Repubblicano del Texas, che aveva portato avanti la legge, con un loro comunicato, due giorni dopo gli hacktivisti hanno portato a segno un attacco alla società di web hosting Epik, sottraendo 180 gigabyte di dati, poi attaccandola ancora il 29 settembre. Epik, società con base a Seattle, è conosciuta per fornire, o aver fornito in passato, servizi a siti e clienti molto vicini all’estrema destra americana e non. Tra i suoi clienti 8chan, Gab, Parler, Oath Keepers e Proud Boys. Inizialmente il Ceo di Epik Robert Monster ha affermato di non avere notizie di data breach, ammettendo poi in videoconferenza il danno subito, e aprendo in seguito una pratica di notifica per la perdita dei dati nel Maine, nel quale la Epik dichiara che le persone coinvolte siano 110 mila, e che siano stati rivelati dati dei conti e di carte di credito.

Il rapporto 2021 di Clusit introduce il concetto di “Severity” per valutare gli attacchi, tutti comunque ritenuti gravi, definendo in 4 categorie il loro impatto: Basso, Medio, Alto e Critico.

Nel primo semestre 2021 gli attacchi gravi di livello “Alto” e “Critico” sono il 74% del totale, mentre nel 2020 questa percentuale arrivava al 49%. Proprio a causa della crescita di queste due categorie, rispettivamente del 13% e del 12%, i danni provocati sono andati a moltiplicarsi, e sono stati calcolati in 6000 miliardi di dollari per il 2021, ovvero tre volte il PIL italiano, mentre erano 1.000 miliardi nel 2020.

Chi è stato colpito e dove

Per classificare le vittime degli attacchi informatici è stato utilizzato un sistema di tassonomia basata su standard internazionali dei settori merceologici derivato dall’Isic (International Standard Industrial Classification of All Economic Activities) delle Nazioni Unite e dalla Nace della Commissione Europea (Nomenclature statistique des activités économiques dans la Communauté Européenne).

I ricercatori di Clusit hanno individuato venti settori vittime di attacchi gravi.

Prendendo come termine di paragone l’ultimo semestre 2020, gli incrementi più alti degli attacchi sono stati rilevati nelle categorie “Government-Military-Law Enforcement” (+39,2%), quindi obiettivi relativi a pubbliche amministrazioni e forze dell’ordine; "Healthcare" (+18,8%), di cui un esempio è l’attacco ai danni della Regione Lazio che creò problemi alla campagna vaccinale a inizio agosto; Transportation-Storage (+108,7%), settore sempre più centrale nella vita economica mondiale, il cui numero di attacchi ha già superato il totale di quelli registrati nel 2020, e “News-Multimedia” (+65,2%).

In diminuzione del 23,4% rispetto all’ultimo semestre 2020 gli attacchi segnalati nella categoria “Multiple Targets”, ovvero attacchi gravi effettuati dallo stesso o dagli stessi attori verso più bersagli e organizzazioni. Nonostante possa sembrare un dato positivo, secondo gli esperti di Clusit questo cambio di strategia volto a colpire principalmente singoli obiettivi, insieme all’aumento della gravità degli attacchi, rappresentano un campanello d’allarme.

Il 25% degli attacchi rilevati nel primo semestre 2021 hanno riguardato obiettivi con sede in Europa, un dato in crescita rispetto all’11% registrato nel 2019 e al 17% del 2020. Secondo Gabriele Faggioli, presidente di Clusit, questi dati derivano principalmente “dalla spinta delle normative che hanno costretto chi subisce attacchi che comportano violazioni dei dati a segnalarlo, quando dovuto per legge, non solo alle Autorità ma anche agli interessati oggetto della violazione”.

Le percentuali di vittime di attacchi con basi americane e asiatiche rimangono sostanzialmente invariate. In diminuzione invece gli attacchi verso obiettivi con sedi in diversi continenti, che sono il 16% del totale.

Le tecniche utilizzate

Anche per classificare le tecniche usate per effettuare gli attacchi informatici il Clusit si è basato su una tassonomia derivata da framework internazionali, articolata su otto macrocategorie.

La categoria con i numeri maggiori è quella dei Malware, che da sola conta per il 43% del totale, in crescita rispetto al secondo semestre 2020 del 10,5%, e che comprende anche i Ransomware, il tipo di attacco lanciato contro la SIAE e la Colonial Pipeline. “Lo scorso anno l’83% delle aziende che sono state colpite da un attacco Ransomware ha pagato il riscatto”, dice a Blasting Investigations Carlo Mauceri, National Digital Officer di Microsoft. Importante e preoccupante anche la crescita del 41,4% della categoria “Vulnerabilities” (Vulnerabilità note) perché secondo Mauceri “il 75% degli attacchi che sono avvenuti a livello mondiale hanno sfruttato vulnerabilità vecchie di almeno 3 anni”, segno di carenze investimenti infrastrutturali.

Crescono del 13,9% e ora rappresentano il 22% degli attacchi analizzati, quelli di tipo “Unknown”, ovvero in cui la tecnica risulta sconosciuta. Questa descrizione è dovuta al fatto che le normative impongono sì una notifica agli interessati dell’attacco avvenuto, ma non obbligano a fornire un resoconto preciso delle modalità e del tipo dell’attacco. “Questo è un enorme problema perché chiunque si debba occupare di fare valutazioni strategiche e di fare risk management su questo punto ha un cono d’ombra gigantesco - ha commentato Andrea Zapparoli Manzoni - perché per un quinto degli attacchi più gravi di cui c’è notizia pubblica nessuno sa cosa sia successo”.