585.496 malware bloccati in Italia a gennaio, di cui il 56 percento era di tipo
zero day. È questo il bilancio del Threat Lab di WatchGuard, che utilizza i dati del Firebox Feed, e le informazioni sulle minacce provenienti dai partner sia dalla sua rete di honeypot.
Spesso i dati sulle minacce informatiche sono globali o europei. In questo caso invece è il dettaglio riguarda solo il Belpaese, che nei primi 31 giorni del 2021 ha registrato
19.517 attacchi a giorno, uno ogni 14 minuti. Responsabile del maggior numero di attacchi è Win32/Heim.D (43,4%), un software malevolo che ha la capacità di replicarsi e infettare altri file e programmi.
In genere viene ricevuto come
allegato email o tramite messaggi istantanei. Può corrompere o eliminare dati, rubare informazioni personali, dirottare lo schermo e diffondersi ad altri utenti attingendo dai contatti della vittima.
Al secondo posto, con un'incidenza del 15,83%, troviamo un
trojan che viene distribuito in file compressi come allegati di posta elettronica. Spesso è impiegato dai cyber criminali come
downloader per altre minacce informatiche ben più gravi.
Un altro trojan, VB.Heur.EmoDldr.32.76E23587.Gen, è in terza piazza con il 9,77%. Può contattare un sito remoto ed eseguire script sul lato server o scaricare altro malware. La classifica prosegue con altri file malevoli, per lo più trojan.
A questi sono da aggiungere
37.441 attacchi di rete, ossia 52 ogni ora del mese di gennaio 2021, fra cui cross-site script, SQL Injection, brute force login, shell command execution e altro.
Che cosa ci insegna
Il dettaglio che fornisce Watchguard con questa
pagina, che peraltro è pubblicamente consultabile definendo Paese, periodo di analisi e tipi di attacco, è interessante sotto molti punti di vista. Il primo è che nessuno può sentirsi al sicuro: 865 attacchi ogni ora equivale a un assedio in piena regola, quindi è imperativo difendersi.
Il secondo dettaglio è che oltre la metà dei cyber attacchi è di tipo zero day. Significa che un software di difesa tradizionale, che usa le firme per identificare i tentativi di intrusione, è del tutto inutile.
Serve un EDR di ultima generazione, che sfrutti l'Intelligenza Artificiale e il machine learning.
Al terzo posto c'è il
phishing: l'analisi dei malware più diffusi fa capire chiaramente che la stragrande maggioranza delle minacce viene recapitata via email. Non è una novità, ma resta il fatto che senza un'attività di
formazione continua e mirata a tutti i dipendenti gli attacchi continueranno ad avere buone chance di andare a segno.
Ultima considerazione riguarda la criminalità online,
sempre più organizzata. Analizzando gli attacchi emerge chiaramente che molti malware sono usati come loader. È bene ricordare che non possiamo più vedere ogni attacco come fine a sé stesso:
ogni azione criminale ha uno scopo, e quasi sempre è parte di una catena ben più ampia. Il trojan recapitato via email è spesso il primo tassello di un'attività che porta a un
attacco ransomware, oppure a
un furto di credenziali che dà il via ad
attacchi BEC, e via discorrendo. Il malware iniziale quindi non dev'essere sottovalutato, perché anche se è una minaccia di per sé di basso livello, può dare il via a un'escalation pericolosa di eventi.