Cyber crimine nello scenario della pandemia: cosa abbiamo imparato e quali sfide per il 2021 - Cyber Security 360

IL RAPPORTO

Cyber crimine nello scenario della pandemia: cosa abbiamo imparato e quali sfide per il 2021

La pandemia ha avuto un impatto devastante sul contesto sanitario, sociale ed economico, ma non ha purtroppo minimamente rallentato le attività dei criminali informatici. Analizziamo le principali tendenze del cyber crimine nel 2020 per comprendere le prospettive per il 2021

23 Apr 2021
L
Stefano Lamonato

Solution Architecture Manager, Europe Channel & MSSP, di CrowdStrike in Italia

Il 2020, segnato dalla diffusione mondiale della Covid-19, è stato un annus horribilis in molteplici ambiti. L’impatto sul contesto sanitario, sociale ed economico ha prodotto effetti devastanti. Le pesanti restrizioni imposte per limitare la propagazione della pandemia hanno generato cambiamenti radicali su scala mondiale, ma non hanno purtroppo minimamente rallentato l’attività dei criminali informatici. Il cyber crimine (o eCrime) e le intrusioni mirate hanno anzi registrato una crescita senza precedenti, poiché i cyber criminali hanno sfruttato la situazione a loro vantaggio, puntando sui timori delle persone per intensificare gli attacchi.

Il boom degli attacchi è stato implacabile e, per alcune aziende, rovinoso. Le misure di lockdown hanno svuotato palazzi e interi quartieri di uffici da un giorno all’altro, obbligando milioni di lavoratori a organizzarsi in fretta e furia per lavorare da casa e mandando in fibrillazione i predatori informatici ingolositi dalla proliferazione di dati e reti facilmente penetrabili.

Parallelamente, i criminali informatici e gli autori di incursioni mirate hanno approfittato della paura, della curiosità e dei timori suscitati dalla Covid-19 per sferrare una quantità di attacchi di social engineering senza precedenti.

Per chi si occupa di bloccare le compromissioni e proteggere le aziende dagli attacchi informatici, il 2020 è stato probabilmente l’anno più impegnativo di sempre.

In questo scenario, il Global Threat Report 2021 di CrowdStrike fornisce un’analisi esaustiva di dati su larga scala relativi alle minacce informatiche registrate a livello globale nel 2020, evidenzia le tattiche e le tecniche adottate dai cyber criminali e suggerisce alcune best practice alle aziende che intendono acquisire un maggiore livello di maturità nell’ambito della sicurezza informatica.

Lo studio analizza, tra i diversi argomenti:

  1. i modi in cui gli attaccanti Nation-State si sono infiltrati nelle reti per sottrarre informazioni preziose sulla ricerca vaccinale e le misure anti-Covid intraprese dai governi;
  2. i nuovi modelli di business introdotti dalla criminalità informatica per ampliare le campagne di ransomware di cosiddetta “caccia grossa” (Big Game Hunting) rese ancora più efficaci con richieste di ricatto e tecniche di estorsione;
  3. lo sviluppo, da parte degli attaccanti eCrime e degli autori di incursioni mirate, di una serie di modi ingegnosi per passare inosservati e confondere gli strumenti di difesa.

Durante gli ultimi dodici mesi, approfittando della crisi pandemica mondiale, i criminali informatici hanno aggiunto ai loro arsenali nuovi strumenti, tecniche e procedure, stringendo alleanze per diventare sempre più forti e ampliare il loro raggio d’azione.

Il 2021 pone quindi nuove sfide ai responsabili della sicurezza, che devono diventare più versatili, veloci ed efficaci per tenere testa alle nuove minacce.

Pandemia e attacchi mirati al settore sanitario

Nel corso del 2020, CrowdStrike ha rilevato attacchi specifici diretti alle strutture sanitarie attribuibili sia a gruppi eCrime sia ad autori di incursioni mirate.

Mentre il personale medico e le autorità governative erano impegnati a cercare di arginare il nuovo coronavirus che rapidamente si propagava dalla Cina al resto del mondo, i criminali informatici approfittavano dei timori legati alla diffusione della pandemia per usare la tematica Covid-19 come esca per le loro campagne di phishing e per sferrare attacchi alle organizzazioni sanitarie.

Nelle prime fasi della pandemia, le intrusioni mirate avevano probabilmente lo scopo di acquisire informazioni sui tassi di contagio o sulla risposta alle varie terapie farmacologiche registrate nei singoli paesi. Man mano che il virus si diffondeva e i governi si trovavano a gestire numeri di decessi sempre più elevati e ospedali al collasso, lo sviluppo di un vaccino diventava sempre più una priorità e i dati scientifici utili per la ricerca assumevano un valore economico sempre più elevato per molti autori di intrusioni mirate.

Le strutture sanitarie continuano a lottare contro la pandemia da Covid-19, responsabile di un vero e proprio boom di attività criminali informatiche. Gli autori di attacchi ransomware proliferati nel 2020 sono infatti più motivati che mai, come dimostrato dall’introduzione di tecniche e procedure sempre più dannose.

Ransomware Big Game Hunting

I gruppi criminali specializzati nel ransomware rappresentano una grave minaccia per il settore sanitario perché possono causare il blocco dei sistemi per terapie salvavita e reparti ad alta intensità. Se in situazioni operative normali vi è la possibilità che ciò accada, nell’attuale crisi pandemica la minaccia pone ulteriori rischi.

Oltre alla possibile interruzione di servizi critici, le vittime corrono infatti l’ulteriore rischio che i cybercriminali esportino i dati prima di eseguire il ransomware che blocca il sistema. Questo trend è stato osservato in tutti gli ambiti esaminati nel 2020.

Durante la pandemia, il settore sanitario è stato un bersaglio controverso tra gli autori di attacchi Big Game Hunting. Alcuni di essi avevano annunciato pubblicamente di voler risparmiare le strutture sanitarie che operano in prima linea, mentre altri avevano persino dichiarato che qualsiasi infezione accidentale ai danni di una struttura sanitaria sarebbe stata risolta tempestivamente comunicando gratuitamente le chiavi di crittografia.

Malgrado queste affermazioni, però, CrowdStrike ha verificato che, nel 2020, 18 famiglie di ransomware Big Game Hunting hanno infettato 104 strutture sanitarie. In alcuni casi, i gruppi criminali possono aver evitato di colpire gli ospedali, ma non si sono astenuti dall’attaccare aziende farmaceutiche e biomediche. Solo negli Stati Uniti, alcune famiglie di ransomware hanno infettato almeno 26 vittime del settore sanitario.

Le campagne di phishing attribuibili all’eCrime

I gruppi di criminali informatici ricorrono spesso all’uso delle tecniche di social engineering per creare campagne di phishing, di malspam (malware inviato tramite e-mail) e truffe. Queste tecniche fanno leva sull’emotività e su tratti quali l’avidità, la curiosità, il timore e il desiderio di aiutare.

La pandemia da Covid-19 ha rappresentato un’occasione unica per adescare vittime tramite contenuti interessanti e tecniche di social engineering. L’argomento Covid-19 riscuote interesse a livello mondiale, se ne parla non stop 24 ore al giorno e, per ora, la sua popolarità non accenna a diminuire.

Le metodologie di phishing associate al tema della pandemia utilizzate dall’eCrime comprendono:

  1. adescamento di persone che cercano informazioni su contagi, test e terapie;
  2. impersonificazione di organismi sanitari, come l’Organizzazione Mondiale per la Sanità (OMS) o i Centri per la prevenzione e il controllo delle malattie (CDC) degli Stati Uniti;
  3. pacchetti di incentivi governativi o di aiuto finanziario;
  4. attacchi su misura indirizzati ai lavoratori in smart working;
  5. truffe legate alla distribuzione di dispositivi di protezione individuale;
  6. accenno veloce alla Covid-19 in contenuti di phishing utilizzati in precedenza (ad es. consegne, fatture, ordini di acquisto).

Questi attacchi hanno il fine di stimolare un qualche tipo di reazione da parte del destinatario: cliccare un link, aprire un allegato o lanciare una ricerca che faccia approdare su siti specifici. Con l’arrivo dell’estate 2020, ad esempio, i cyber criminali hanno ripreso a utilizzare alcuni contenuti “esca” precedenti aggiungendo qualche riferimento alla Covid-19.

Si prevede che anche nel 2021 la criminalità informatica proseguirà con i suoi attacchi in ambito sanitario. Uno dei principali obiettivi sarà quello di ottenere l’accesso alle tecnologie sui vaccini, alle informazioni personali e all’intelligence governativa.

Respingere i nemici informatici per difendere la campagna vaccinale

L’interesse della popolazione sull’andamento della campagna vaccinale e la forte volontà di tornare alla normalità continueranno ad essere sfruttati dai criminali informatici.

Le istituzioni pubbliche e le organizzazioni coinvolte dovranno dunque essere più caute che mai nel fornire informazioni personali a qualsiasi fonte non verificata. Portare allo scoperto le attività dei criminali informatici e diffondere la conoscenza delle tattiche usate può aiutare dipendenti pubblici e privati e istituzioni ad agire con maggiore prudenza.

Durante la campagna vaccinale si prevede un possibile aumento delle attività di “Spider” (termine con cui si identificano gli attacchi dei cyber criminali in cerca di guadagno finanziario), con spamming di informazioni ufficiali sul vaccino, oltre ad una maggiore adozione di tattiche di clickbait in grado di indurre i cittadini a fornire dati personali.

È già emerso come i cyber criminali tentino di spacciarsi per organizzazioni sanitarie, come l’Organizzazione Mondiale della Sanità, offrendo false informazioni relative al sostegno finanziario da parte del governo, cercando di truffare le persone con offerte sui DPI (Dispositivi Protezione Individuale), falsificando fatture e ordini di acquisto affinché siano rilevanti nell’attuale situazione pandemica.

I criminali informatici possono prendere di mira le organizzazioni e tutti coloro che sono coinvolti nel piano di vaccinazione promettendo guadagni. Le organizzazioni sanitarie affrontano spesso minacce da gruppi criminali che distribuiscono ransomware chiedendo poi ingenti riscatti, ma nell’emergenza Covid-19 le probabilità che il cyber crimine faccia leva sulla pandemia per effettuare ulteriori attacchi aumentano in modo significativo.

Nonostante alcuni gruppi criminali all’inizio del 2020 abbiano annunciato pubblicamente che non avrebbero attaccato le organizzazioni sanitarie attive in prima linea nella lotta al Covid-19, altri criminali non si sono fatti scrupoli. Lo scorso anno, CrowdStrike ha confermato che 18 famiglie di ransomware Big Game Hunting, così chiamate per la loro tendenza ad effettuare attacchi di alto livello, hanno infettato 104 organizzazioni sanitarie. In particolare, i gruppi criminali “Twisted Spider” e “Wizard Spider’ hanno preso di mira aziende del settore farmaceutico e biomedico.

Nel 2020, CrowdStrike ha rilevato inoltre numerosi attacchi ai programmi di vaccinazione, come quelli messi a segno dal gruppo Labyrinth Chollima, che ha tentato di infiltrarsi nelle reti di aziende farmaceutiche statunitensi e britanniche attive nella produzione del vaccino contro la Covid-19.

Questi attacchi si basano sull’accesso alle informazioni sensibili, sia governative sia personali, e coinvolgono anche la supply chain. Gli esperti in sicurezza informatica conoscono l’importanza di far leva su tecnologie avanzate di cloud security, threat intelligence automatizzata, rilevamento degli endpoint e risposta per garantire una protezione efficace dalle minacce.

Tuttavia, mettere in atto anche una igiene informatica di base, come ad esempio la rimozione delle credenziali dei dipendenti che hanno lasciato l’azienda, il patching proattivo dei sistemi e i messaggi di avviso ai dipendenti in caso di pericoli derivanti dall’azione di gruppi quali “Spider”, “Panda” e “Kitten” rimane un valido strumento per la sicurezza.

Individuare e neutralizzare in modo proattivo le vulnerabilità

Nel 2021, i gruppi eCrime e gli autori di incursioni mirate continueranno a cercare metodi per massimizzare il loro impatto sulle vittime ed elaborare nuovi metodi per aggirare le tecniche di rilevamento.

Gli esperti di CrowdStrike forniscono alcuni suggerimenti per individuare e neutralizzare in modo proattivo potenziali vulnerabilità prima che possano essere sfruttate dagli incursori:

  1. Non si può proteggere quello che non si vede. Per gli addetti alla sicurezza che operano nel contesto attuale, visibilità e rapidità sono fondamentali per impedire agli incursori di sottrarre dati e interrompere i processi aziendali. Gli addetti alla sicurezza devono puntare a proteggere gli ambienti cloud con la stessa diligenza che riservano ai sistemi on-premise. Una visibilità completa su tutti gli ambienti è indispensabile per neutralizzare in modo proattivo le vulnerabilità prima che possano essere sfruttate dagli incursori.
  2. Proteggere identità e accessi. Le aziende devono abilitare l’autenticazione a più fattori su tutti i portali e i servizi rivolti al pubblico. Affiancando questa misura a un efficace processo di gestione dei privilegi di accesso, è possibile limitare i danni causati dagli hacker a seguito di un’intrusione e ostacolare le capacità di movimento laterale. Infine, è necessario implementare funzionalità Zero Trust per isolare i processi e limitare l’accesso ai dati nell’ottica di ridurre il rischio di esposizione delle informazioni sensibili.
  3. Investire in tecniche di threat hunting specializzate. Gli attacchi interattivi eludono le analisi di monitoraggio e rilevamento automatiche usando tecniche all’avanguardia che permettono di passare inosservati. Una costante attività di threat hunting è il modo migliore per individuare e prevenire gli attacchi sofisticati o persistenti.
  4. Stare un passo avanti ai criminali informatici con tecniche di threat intelligence. Dietro qualsiasi attacco c’è un essere umano. Le tecniche di threat intelligence permettono di capire la motivazione, le competenze e gli strumenti di chi attacca. Queste informazioni sono preziose per prevenire e prevedere attacchi futuri.
  5. Definire policy di sicurezza informatica aggiornate che prevedano lo smart working. Le policy aziendali devono includere la regolamentazione della gestione dell’accesso da remoto e dell’utilizzo dei dispositivi personali da parte dei dipendenti, oltre a garantire la privacy dei dati e delle informazioni.
  6. La cyber sicurezza deve entrare a far parte della cultura aziendale. Nonostante la tecnologia rivesta chiaramente un ruolo critico nella lotta alle intrusioni, l’utente finale rimane un anello cruciale della catena per bloccare gli attacchi. È importante avviare programmi di sensibilizzazione sui rischi associati alle campagne di phishing e alle tecniche di social engineering.

L’indice eCrime

L’eCrime è un vero e proprio ecosistema economico diffuso. Entità motivate dal guadagno svolgono innumerevoli attività criminose per generare profitti. Le dinamiche osservate da CrowdStrike nel corso degli ultimi anni evidenziano come per generare maggiori profitti vengano costantemente ideati nuovi schemi e meccanismi ed esplorati nuovi percorsi di monetizzazione. Le tattiche per massimizzare gli introiti evolvono insieme al contesto globale geopolitico ed economico. Da molti punti di vista, questa economia sotterranea corre parallelamente ai mercati globali.

Per capire gli alti e i bassi di questo ecosistema, CrowdStrike ha elaborato un indice calcolato che permette di valutare lo stato dell’eCrime. L’indice eCrime (ECX) si basa su una serie di parametri osservabili, e ponderati in base all’impatto, monitorati ininterrottamente dagli esperti di CrowdStrike. L’ECX permette di mettere a fuoco cambiamenti significativi degni di essere ulteriormente analizzati. I risultati delle analisi di questi eventi e il continuo lavoro di ricerca dei cambiamenti sono disponibili nel sito Crowdstrike Adversary Universe.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5