A causa della crescita di cyber attacchi, incidenti e violazioni della privacy in Italia, l’Osservatorio Cybersecurity di Exprivia ha definito il 2021 come annus horribilis nella sicurezza informatica.
Con un picco tra ottobre e novembre, il settore finanziario è risultato il più colpito.
“Il profitto monetario“, commenta Rosita Galiandro, Responsabile Osservatorio Exprivia sulla cyber security, “rappresenta un’attrazione incontrollabile per il cyber crime. L’attacco avviene attraverso tecniche miste che combinano phishing, social engineering e malware specializzati“.
Cyber attacchi e privacy in aumento in Italia
L’Osservatorio Cybersecurity di Exprivia ha evidenziato un balzo dei casi, che è coinciso con l’inizio della pandemia per poi intensificarsi nel 2021.
Infatti, i cyber attacchi sono raddoppiati, gli incidenti quadruplicati, ma anche le violazioni della privacy sono aumentate.
L’anno scorso, infatti, gli esperti di cyber security hanno registrato 1.356 episodi, in aumento rispetto ai 605 del 2020, di cui:
- 901 attacchi (contro i 450 del 2020);
- 407 incidenti (rispetto ai 112 dell’anno precedente);
- 48 violazioni della privacy (in lieve aumento rispetto alle 43 dell’anno precedente).
Terminato l’effetto pandemia, il settore finanziario è risultato il più colpito, con un picco tra ottobre e novembre.
I principali vettori d’attacco
I vettori per sferrare i cyber attacchi e violazioni privacy sono: “I principali malware sfruttati durante il 2021 sono stati AgentTesla, Dridex, Formbook, Guloader e Lockibot“, prosegue Rosita Galiandro: “In particolare, Dridex è un trojan bancario molto pericoloso che può sfruttare una campagna phishing nascondendosi nelle fatture al fine di rubare i dati bancari”.
L’analista spiega ancora che: “il trojan si diffonde attraverso le email che contengono un allegato in formato Excel con all’interno il malware Dridex. Infatti, una delle varie campagne di diffusione del trojan Dridex è avvenuta attraverso false fatture che contengono un allegato in formato Excel di un noto strumento di contabilità. Le email arrivano da un indirizzo che sfrutta il nome di una software house ed essa ha lo scopo di far apparire i messaggi e le fatture autentici”. Per eludere il rilevamento, continua Galiandro, “gli attaccanti ‘giocano’ con le righe dell’oggetto e i nomi dei mittenti. Le email hanno come oggetto “Fattura 349281”, “Notifica di pagamento – Fattura 001779” e così via. Gli attaccanti hanno anche adattato il contenuto delle e-mail nel tentativo di superare i meccanismi anti-phishing e anti-spam”.
I dettagli tecnici
“Il corpo dell’email”, mette in evidenza Galiandro, “presenta contenuti simil ai seguenti:
- ‘In allegato una copia della sua fattura. Ti preghiamo di effettuare il pagamento in tempi rapidi’.
- ‘Trovi in allegato la tua fattura. Si prega di effettuare il pagamento il più presto possibile’.
- ‘L’ordine sarà consegnato al ricevimento del pagamento’.
“Le email contengono un allegato in formato Microsoft Excel apparentemente innocuo che in realtà contiene una minaccia nascosta. Una macro-dannosa all’interno del file .xls lancia un dropper Trojan che infetta il dispositivo della vittima con Dridex. Questo, una volta aperto l’allegato xls, contatta un url a caso da una lista interna e scarica la .dll, che avvia l’infezione del malware”.
Cyber attacchi e violazioni privacy: la catena degli eventi
“Vediamo di seguito la catena degli eventi”, sottolinea Galiandro, per osservare come Dridex viene distribuito sfruttando degli allegati malevoli: Di seguito i C2 del trojan bancario Dridex:
- “209.59.132.241:6601”;
- “77.72.145.112:2303”;
- “104.238.138.234:4125”.
- Esempio .dll Dridex: 050540091140093cb1a63c3b4dcc0cd25caf29f7e5922e9fc04a15158fb26c92
- Esempio .xls Dridex: e4a3f566876c44effae56073565ef60b62bdee334be914d030e57d1ceedfea33
“Il malware Dridex ruba le informazioni personali della vittima, tra cui anche quelle relative ai dati dei conti bancari. L’obiettivo di questo pericoloso malware è rubare informazioni riservate alle vittime, comprese le credenziali bancarie che gli attaccanti possono utilizzare per effettuare transazioni fraudolente ed eventualmente distribuire ransomware. Infine, l’utente finale può trovarsi degli addebiti illeciti, trasferimenti e violazioni sulle loro carte di credito, così come compromissioni dell’infrastruttura aziendale”, conclude Rosita Galiandro.
Aumenta la capacità di difesa
Nel corso dell’anno, la forbice tra cyber attacchi, violazioni privacy e incidenti (ovvero attacchi andati a buon fine) si assottiglia progressivamente. Nell’arco degli ultimi tre mesi, si contano 245 attacchi e 202 incidenti. Infatti, le vittime stanno incrementando la propria capacità di cyber difesa.
Le vittime stanno intercettando più cyber attacchi, mentre i cybercriminali mettono a punto nuove e ulteriori competenze, al fine di provocare un numero sempre più alto di incidenti informatici.
Nel dettaglio, il phishing–social engineering sono le tecniche di attacco più diffuse. In particolare colpiscono utenti distratti o con scarsa conoscenza delle modalità di adescamento tramite mail o social network.
I settori più colpiti
Dall’Osservatorio di Exprivia, che ha esaminato 111 fonti pubbliche, emergono i settori più attaccati e vulnerabili dai cybercriminali nel 2021:
- finance, passando da 81 a ben 428 casi;
- software/hardware (comprese le piattaforme cloud, per videoconferenze, per la DAD eccetera) passati da soli 26 casi a 388;
- pubblica amministrazione, con l’aumento più limitato, passando da 91 a 120 casi nell’intero anno (ma la PA è stato uno dei più colpiti all’apice della pandemia).
