ISSN 2784-9635

Scenari del cybercrime nel 2023

Arianna Marchi e Francesco Maria Capriglia - 03/10/2023

A proposito del Report Swanscan relativo al secondo trimestre del 2023

Il secondo trimestre del 2023 ha visto un aumento significativo di attacchi informatici mirati al furto di dati ed alla richiesta di riscatto in cambio del ripristino dei sistemi colpiti. Il SOC (Security Operations Center) e il Threat Intelligence Team di Swascan ha condotto un’analisi approfondita sugli scenari ransomware, malware e phishing, fornendo un quadro dettagliato delle minacce emergenti e delle tendenze in evoluzione.

Durante il Q2 sono state osservate numerose campagne ransomware, caratterizzate dalla diffusione di software malevoli che criptano i dati delle vittime e richiedono un riscatto per ripristinarli. Parallelamente agli attacchi di ransomware, il phishing ha continuato a rappresentare una minaccia significativa per la sicurezza informatica nel Q2. Gli hackers utilizzano metodi sempre più sofisticati per ingannare gli utenti, creando e-mail, siti web e messaggi di testo ingannevoli che sembrano provenire da fonti legittime. Attraverso queste tecniche, gli attaccanti cercano di ottenere informazioni sensibili come password, dati finanziari e credenziali di accesso, al fine di compiere frodi e di danneggiare le vittime.

La Cyber Kill Chain: un approccio strategico per difendersi dagli attacchi informatici

La Cyber Kill Chain è un modello utilizzato in ambito informatico per descrivere le fasi tipiche di un attacco informatico, in modo da comprendere meglio come gli hackers possano penetrare nei sistemi e danneggiarli.

Nel panorama sempre più complesso e frequente degli attacchi informatici, la Cyber Kill Chain si presenta come uno strumento fondamentale per identificare e per contrastare le minacce provenienti dai criminal hackers. Essa si compone di sette fasi ben definite che rappresentano i passaggi che un potenziale criminal hacker dovrebbe compiere per portare a termine un attacco: queste fasi consentono di comprendere il modus operandi degli aggressori, individuando i segnali di attacco e mettendo in atto le necessarie contromisure.

Le sette fasi della Cyber Kill Chain sono le seguenti:

  1. reconnaissance: il criminal hacker individua il bersaglio e conduce una ricerca approfondita per identificare le vulnerabilità presenti nel sistema di sicurezza del target;
  2. weaponization: l’attaccante utilizza le informazioni raccolte nella fase precedente per selezionare gli strumenti più adatti a creare un accesso remoto al sistema bersaglio;
  3. delivery: il malware creato viene consegnato al bersaglio attraverso diversi vettori, come, ad esempio, mail di phishing o link presenti su siti web compromessi;
  4. exploitation: una volta consegnato al bersaglio, il malware viene attivato e sfrutta le vulnerabilità del sistema per ottenere un accesso non autorizzato o eseguire altre azioni malevole;
  5. installation: l’attaccante si assicura di installare e di eseguire il malware nel sistema bersaglio; questo gli consente di aggirare i controlli di sicurezza e di mantenere l’accesso al sistema. L’installazione del malware avviene grazie all’exploit selezionato durante la fase di weaponization e viene eseguita durante la fase di exploitation;
  6. command & control: gli hackers stabiliscono una connessione tra il sistema vittima e la macchina remota da cui operano, che permette loro di ottenere un controllo persistente e un accesso continuo all’ambiente della vittima;
  7. actions on objectives: i criminali portano a termine l’attacco colpendo l’obiettivo prefissato e questo può portare alla manipolazione dei dati, all’esfiltrazione di informazioni sensibili, alla distruzione dei dati o all’accesso non autorizzato a risorse riservate.

 

Compromised devices, credential leaks & social engineering

Da un’analisi approfondita del primo portale sono stati rilevati un totale di 7.285.599 dispositivi compromessi dai quali sono state esfiltrate credenziali di accesso. Facendo un focus sull’Europa, il totale è di 1.060.114 dispositivi compromessi di cui 131.134 italiani. In riferimento al totale dei dispositivi compromessi, il 14,55% del totale è presente in Europa mentre l’1,8% è presente in Italia. Il secondo portale in analisi, invece, presenta un totale di 470.867 dispositivi compromessi di cui 310.836 (66%) in Europa.

Facendo un focus sull’Italia sono stati rilevati un totale di 57908 (12,3%) dispositivi compromessi dal quale sono state esfiltrate credenziali; tuttavia, in confronto ai dati europei, in Italia è presente una percentuale pari al 18,63%.

 

Social engineering

Le campagne di social engineering e l’identificazione di nuove vulnerabilità, note come CVE (Common Vulnerabilities and Exposures), costituiscono componenti critiche nella fase di Reconnaissance. Gli aggressori monitorano costantemente le nuove vulnerabilità che vengono scoperte nei software, nei sistemi operativi o nelle applicazioni.

La fase di weaponization è un’importante tappa all’interno della Cyber Kill Chain, in cui gli aggressori trasformano un payload malevolo in un’arma pronta per essere utilizzata contro il sistema target. Durante questa fase, vengono spesso veicolati diversi tipi di malware, tra cui botnet, infostealer e RAT.

Le botnet sono reti di computer compromessi e controllati da remoto dagli attaccanti. Gli infostealer sono tipi di malware progettati per sottrarre informazioni sensibili dai sistemi infettati. I RAT, ovvero i Trojan di accesso remoto, consentono agli aggressori di assumere il controllo completo del sistema compromesso da remoto. Gli hackers possono accedere al sistema, eseguire comandi, scaricare e installare ulteriori malware, esfiltrare dati o compiere altre azioni dannose.

 

Malware

Il SOC & Threat Intelligence Team di Swascan ha identificato i malware più diffusi durante questo periodo: al primo posto si trova Mirai, che ha rappresentato il 53,4% dei malware veicolati mentre al secondo e al terzo posto ci sono Hajime e Qakbot con rispettivamente 21,1% e 10,8%.

 

Phishing

Nel mese di maggio 2023 sono state rilevate 55.852 campagne e, di queste, 15.778 sono state identificate come Spear Phishing mentre 28.170 sono relative ai top 20 brand imitati.

Sono, inoltre, stati rilevati 22 Phishing Kit nel trimestre in analisi dove è possibile notare come i temi principali risultino spesso legati a servizi Microsoft (OneDrive, Outlook, Office365), bancari e Social.

Le vittime del ransomware nel secondo trimestre provengono da un’ampia gamma di Paesi e isole, raggiungendo un totale di 89 Paesi coinvolti. È problema globale che non conosce confini geografici: le organizzazioni e gli individui di tutto il mondo sono stati bersaglio di attacchi, mettendo a rischio la sicurezza dei dati e la continuità operativa.

In questo contesto, Il SOC & Threat Intelligence Team di Swascan ha intrapreso un’analisi del profilo delle vittime finite nel mirino delle gang di Criminal Hackers nel Q2 2023.

L’approccio metodologico utilizzato è stato il seguente:

  1. 1. identificazione dei siti Darkweb delle relative gang Ransomware;
  2. 2. individuazione delle aziende vittime che sono state pubblicate sui portali Darkweb;
  3. 3. clusterizzazione delle informazioni relativamente alle vittime in termini di: a) area geografica; b) settore merceologico; c) fatturato e dipendenti

 

Le gang ransomware più prolifiche

LockBit si conferma la gang più prolifica nel panorama degli attacchi ransomware, con ben 245 attacchi registrati nel Q2 2023. Un’altra gang che ha attirato l’attenzione è Alphv/BlackCat, responsabile di 144 attacchi ransomware nel trimestre analizzato.

 

Distribuzione geografica globale delle vittime

L’aumento degli attacchi ransomware nel secondo trimestre del 2023 ha avuto un impatto significativo su numerose aziende in tutto il mondo: gli Stati Uniti sono risultati essere il Paese più colpito, con ben 636 aziende vittime di ransomware nel periodo considerato. Nel panorama attuale della cybersecurity in Italia, infatti, le piccole e medie imprese (PMI) continuano quotidianamente a subire attacchi ransomware. Le statistiche mostrano chiaramente come le aziende con un fatturato fino a 250 milioni di dollari siano le più colpite, rappresentando una percentuale significativa rispetto ad altre fasce di fatturato.

Il settore dei servizi si è dimostrato particolarmente vulnerabile durante il secondo trimestre del 2023, con il 54% degli attacchi in Italia nel periodo considerato: la vasta gamma di aziende e organizzazioni presenti in questo settore offre agli aggressori un ampio campo di azione per cercare di ottenere vantaggi finanziari attraverso estorsioni.

Conclusioni

Il quadro generale del Q2 2023 indica un preoccupante aumento del numero di vittime del ransomware rispetto ai trimestri precedenti, con un aumento del 62% rispetto al trimestre precedente. Le PMI continuano ad essere particolarmente vulnerabili a tali attacchi, sia in termini di numero di dipendenti che di fatturato. In Europa, tra le gang ransomware più attive nel Q2 2023, LockBit3 si è confermata come la più aggressiva, con 57 attacchi registrati. La minaccia del malware continua a rappresentare una preoccupazione per le aziende e i consumatori in tutto il mondo. Come riportato dai dati più recenti, la facilità di accesso a questi strumenti ha spinto molti Threat Actors, di ogni livello di abilità, a cercare mercati illeciti dove vendere il crimeware. Le partnership con il settore privato e le istituzioni accademiche sono fondamentali in questo contesto, ma la vera rivoluzione deve avvenire a livello istituzionale. In conclusione, nell’era digitale, una strategia di difesa preventiva (analisi del rischio) e di Incident Management non è più sostenibile. Ciò che è necessario ora è un approccio predittivo e proattivo, un impegno profondo verso l’innovazione e la capacità di rivedere e adattare le strategie di difesa alla luce delle continue minacce emergenti. Presidiare e monitorare la rete, proteggendo così il patrimonio, l’economia e i cittadini, è diventato un pilastro fondamentale di questa nuova era della difesa nazionale.