L'industrializzazione del cybercrime ha portato a un incremento degli attacchi cyber, che sono sempre mirati e distruttivi. Quali sono le tendenze che evidenziate per l'Italia?

Oggi gli attacchi ransomware mirati continuano ad essere una delle problematiche principali in tutti i Paesi occidentali e l’Italia risulta essere un campo di particolare interesse per vari gruppi criminali, come ad esempio Lockbit e BlackCat. Questi gruppi rappresentano una minaccia per tutte le tipologie di aziende e nel corso degli anni hanno continuato a evolversi, industrializzando sempre più la propria attività e cercando di migliorare costantemente l’efficienza operativa. A queste realtà si affiancano gruppi più giovani e meno strutturati in grado di causare comunque conseguenze rilevanti, come ad esempio il gruppo Monti che conta un numero di vittime inferiore rispetto ad altri gruppi come Lockbit ma ha attirato l’attenzione in Italia per l’attacco a un’ASL in Abruzzo.

Casi particolari sono gruppi come “malas”, identificato la prima volta a marzo, che attualmente attacca solo server Zimbra vulnerabili e chiede donazioni a favore di altre organizzazioni no-profit al posto del riscatto. Nonostante l’impatto dei singoli attacchi sia limitato ai server Zimbra, il gruppo è riuscito a generare impatti a svariate aziende e secondo i post pubblicati sul loro sito, l’Italia è il secondo Paese più colpito dopo gli Stati Uniti.

Le campagne di spear-phishing che spesso si mascherano da comunicazioni di aziende, banche o enti governativi sono una minaccia ampiamente diffusa in Italia. Il loro obiettivo è la distribuzione di malware, che vengono sfruttati per rubare dati sensibili, meglio noti come info-stealer, e per distribuire altri malware specializzati, come ad esempio ransomware o banking trojan. Ad esempio, qualche mese fa abbiamo rilevato un forte aumento di attacchi con lo scopo di distribuire QBot, un malware che può essere sfruttato per diverse attività dal furto di informazioni sensibili, password o cookie dei browser all’accesso alle email fino a intercettare il traffico, operare come proxy o consentire accesso remoto all’attaccante. In alcuni casi, soprattutto quando l’obiettivo è interessante, QBot viene sfruttato per veicolare minacce più importanti, come CobaltStrike che a sua volta viene utilizzato dagli operatori per attacchi ransomware mirati. Questa minaccia viene distribuita attraverso email scritte nella lingua delle vittime (soprattutto italiano, tedesco, francese ed inglese), che vengono inserite nei flussi di comunicazioni reali, a cui i cybercriminali riescono ad accedere prima dell’attacco. Questa tecnica permette di aggirare alcune soluzioni di sicurezza aumentando le possibilità di successo, dal momento che la vittima le considera comunicazioni lecite.

Infine, ci sono numerose minacce legate a diverse truffe online, che vanno dalle finte aziende di trading alle attività di sex-extorsion. In questi casi contrastarle diventa più complesso perché non contengono codici malevoli che possono essere rilevati, ma possono essere limitate grazie agli strumenti di sicurezza. Inoltre, la componente umana diventa un fattore fondamentale visto che i ricercatori lavorano in modo costante per riconoscere i messaggi e i server con cui vengono veicolate.

Come rispondete a questo scenario nel supporto quotidiano ai vostri clienti/partner?

Dalle PMI alle enterprise, le aziende possono scegliere tra il nostro ampio portfolio le soluzioni e i servizi per combattere le minacce digitali sofisticate in continua evoluzione. Ripristinare l’accesso ai dati nel minor tempo possibile dopo un attacco ransomware così come gestire e mitigare le violazioni agli endpoint, punto critico nella sicurezza aziendale dato che la maggior parte delle attività lavorative si concentrano su questi dispositivi, è cruciale. Alla luce di questo nuovo panorama, definire e impostare una difesa efficace dipende da molti fattori, come ad esempio le dimensioni dell’azienda, il settore in cui opera, l’infrastruttura utilizzata e le risorse a disposizione.

Ovviamente non esiste un solo modo per rispondere a questa domanda, ma possiamo affermare che una delle nostre soluzioni più versatili è Kaspersky Optimum Security Framework, basata su tecnologia EDR, che permette di proteggere in modo estremamente efficace reti e dati aziendali, massimizzando l’efficienza degli investimenti in cybersecurity e riducendo al minimo il rischio di attacchi e violazioni. Scegliere una soluzione di sicurezza robusta, affidarsi a fornitori esterni specializzati e organizzare regolari sessioni di formazione per i dipendenti sono sicuramente alla base di un’efficace strategia di cybersecurity, ma prima è necessario effettuare un’accurata analisi della superficie esposta per identificare le aree più vulnerabili della propria infrastruttura. A tal proposito offriamo il servizio Kaspersky Digital Footprint Intelligence che permette di monitorare l’impronta digitale dell’azienda in termini di asset, vulnerabilità, pericoli e informazioni nei canali del dark web, integrando questo servizio con i propri processi di analisi dei rischi è possibile ottenere una migliore postura così da anticipare potenziali attacchi.