Nel 2022, in Italia i malware più usati per gli attacchi cyber sono stati gli infostealer, mentre i documenti Office e gli archivi ZIP sono stati i mezzi più usati per veicolare malware. Sono alcuni dei dati diffusi dal CERT-AGID a inizio 2023, elaborati mediante l’analisi dei dati definitivi degli attacchi in Italia relativi all’anno 2022. I dati dimostrano che quello appena trascorso è stato un anno impegnativo: 1.763 campagne malevole rilevate e contrastate, 31978 Indicatori di Compromissione (IoC) condivisi con le organizzazioni accreditate.

Proprio a proposito di IoC, il 93% di quelli diramati ha riguardato le campagne condotte mediante 56 famiglie di malware, fra cui Emotet, AgentTesla, Formbook, Ursnif, Qakbot, Brata, Lokibot, AveMaria, IcedId, Snake e sLoad. I meccanismi degli attacchi sono ben noti: gli attaccanti mirano a eludere le difese, acquisire privilegi elevati e garantirsi la persistenza e la costante comunicazione con i server di comando e controllo a cui inviano i dati esfiltrati. Questi ultimi vengono quasi sempre rivenduti agli operatori ransomware. L’attivazione diretta del ransomware direttamente nel primo attacco è rara.

Per contagiare i sistemi vengono impiegate email (phishing) e in una percentuale abbastanza interessante gli SMS (smishing). Nel caso del phishing le esce più usate sono Ordini e Pagamenti riferiti a presunte comunicazioni passate e il classico spauracchio delle comunicazioni provenienti da noti Istituti bancari o dalla Pubblica Amministrazione italiana. Gli errori di ortografia sono sempre più rari e i loghi finti sono sempre più somiglianti a quelli reali. Ma restano il carattere di urgenza che instillano nella vittima e l’invito pressante a cliccare su link o su un allegato per evitare guai.

Considerato l’andamento in crescita dell’ecommerce, è andato a gonfie vele il pretesto delle “Spedizioni” che imita le comunicazioni dei corrieri per tracciare la spedizione di un presunto pacco o per consultarne la ricevuta.

In caso l’attacco preveda l’apertura di un allegato, si tratta quasi sempre di file Office o ZIP. Considerata la mossa di Microsoft di disabilitare le macro di Office, oggi è più probabile che i file Office contaminati vengano racchiusi in un file ZIP per bypassare i controlli di sicurezza.

Per evitare di cadere nel tranello degli attaccanti bisogna genericamente diffidare di qualsiasi comunicazione inaspettata, che crei apprensione, che esiga un’azione immediata. Ed evitare di aprire gli allegati, a meno che non provengano da mittenti comprovatamente affidabili. Gli italiani possono stare relativamente tranquilli quando ricevono delle PEC: il numero di campagne veicolate mediante la Posta Elettronica Certificata è decisamente basso.

Passiamo allo smishing, ossia il phishing via messaggi SMS: sta crescendo e secondo CERT-AGID è particolarmente sfruttato da attori italiani. Le truffe si appoggiano spesso agli stessi temi del phishing: avvisi di sicurezza di banche o comunicazioni INPS. Gli attacchi veri e propri invece veicolano malware specifici volti a compromettere dispositivi mobili e carpirne informazioni.