I nuovi Trend dello scenario cybercriminale
A cura di Sofia Scozzari
Negli ultimi 13 anni, l’analisi dei cyber attacchi che abbiamo svolto ci ha consentito di comprendere il variegato e movimentato panorama delle minacce digitali.
Analizzando e classificando le informazioni provenienti da attacchi di successo e di pubblico dominio, abbiamo potuto individuare le falle nelle misure difensive e le azioni di mitigazione necessarie, facilitando lo sviluppo di strategie di Cyber Security più efficaci in uno scenario cyber criminale in continua evoluzione.
Ogni anno, infatti, abbiamo visto crescere sia il numero di cyber attacchi che i relativi impatti per le vittime.
Anche il 2023 ha mantenuto le premesse, regalandoci però qualche sorpresa extra.
Lo scenario globale
In totale, a partire dal 2011, abbiamo classificato oltre 23.000 cyber attacchi.
Di questi, il 71% è avvenuto negli ultimi 6 anni indicando una chiara accelerazione nelle attività cyber criminali.
Nel 2023 per la prima volta abbiamo incluso nelle nostre analisi anche informazioni collezionate dal Dark Web evidenziando un’escalation notevole nella frequenza e nella complessità degli incidenti, con un incremento del 184% rispetto all’anno precedente e un totale di 7.068 cyber attacchi a livello globale, contro i 2.489 dell’anno precedente.
Anche le medie mensili hanno mostrato lo stesso andamento, passando da 207 attacchi in media al mese nel 2022 a 589 nel 2023. Di questi, 406 sono gli attacchi che abbiamo rilevato mediamente ogni mese nel Dark Web.
Storicamente l’andamento mensile delle attività cyber criminali mostra un calo all’inizio e alla fine dell’anno e un picco in primavera. Nel 2023 questo picco si è verificato ad aprile con 763 attacchi, mentre a gennaio e febbraio si è registrato il minor numero di incidenti.
Il peso del Dark Web
Con il termine “Dark Web” si intende la parte di Internet nascosta, non indicizzata dai motori di ricerca convenzionali ed accessibile solo tramite software specifici, come ad esempio Tor (The Onion Router), in grado di nascondere l’identità degli utenti.
Il Dark Web è comunemente noto per ospitare attività illecite, come il commercio di droghe e armi, ma anche di dati rubati e software malevoli.
Alcuni degli incidenti che abbiamo analizzato e classificato a partire dal monitoraggio delle fonti sul Dark Web, sono stati successivamente rilevati anche nel web tradizionale.
Abbiamo però constatato che nel 2023 questa porzione ammonta solo al 39%, mentre oltre due terzi degli attacchi è rimasto esclusivamente notificato nel Dark Web, evidenziando quindi che molte minacce significative non vengono rilevate nei canali convenzionali.
L’analisi delle fonti nel Dark Web ha quindi enfatizzato un fenomeno più vasto di quanto avevamo preventivato e la necessità di continuare a monitorare ed estendere i canali di ricerca, oltre a quelli tradizionali.
Ignorare le attività malevole che avvengono nel Dark Web potrebbe comportare notevoli rischi per le aziende, tra i quali l’esposizione a violazioni e compromissioni di dati venduti o messi a disposizione illegalmente a seguito di attacchi o data breach (anche di terze parti!), danni alla reputazione, perdite finanziarie, ecc.
Le motivazioni degli attacchi
Il predominio del cybercrime come motivazione principale degli attacchi è ormai una costante da anni.
Nel 2023 le attività cybercriminali ammontano al 93% del totale, addirittura in crescita rispetto all’anno precedente (82%).
Il continuo incremento di questo ambito mette in evidenza un trend allarmante delle attività cyber criminali organizzate e sofisticate, suggerendo che gli attaccanti stanno diventando sempre più audaci e innovativi.
Per quanto riguarda le altre categorie, le attività imputabili a Espionage / Sabotage e Information Warfare decrescono rispetto al 2022.
In leggera crescita, invece, il fenomeno dell’Hacktivism (dal 3% al 4%), ma, come abbiamo potuto constatare, i danni associati a questa tipologia di attaccanti sono di norma inferiori rispetto alle precedenti.
Tra i gruppi cyber criminali più attivi, LockBit 3.0 ha il primato assoluto con 1.041 cyber attacchi censiti nel 2023, seguito da ALPHV/BlackCat (417), Play (311), 8Base (279) e BlackBasta (187).
La distribuzione delle vittime
Nel 2023 i settori maggiormente impattati dai cyber attacchi sono Manufacturing (16% degli incidenti classificati), Professional / Scientific / Technical (11%), ICT (10%), Healthcare (9%) e Financial / Insurance (8%).
La principale differenza rispetto all’anno precedente riguarda la categoria “Multiple Targets”, ovvero gli obiettivi multipli, che nel 2022 rappresentava la vittima principale (22% degli attacchi) mentre nel 2023 viene impattata solo dall’8% degli incidenti, a riprova del fatto che le attività malevole cyber criminali stiano diventando più mirate verso bersagli precisi.
Ne è la prova anche la geografia delle vittime che mostra una crescente predilezione per le azioni cybercriminali mirate e meno dispersive. Nel 2023, infatti, diminuiscono considerevolmente gli attacchi verso bersagli situati in località multiple, passando dal 29% nel 2022 al 9%.
Tornano invece a crescere le vittime in America, che si attesa al 50% degli incidenti, dopo la flessione degli anni precedenti (era il 37% nel 2022), e in Europa, che, in costante aumento fin dal 2019, raggiunge la quota record del 27% degli attacchi (dal 24% dell’anno precedente), a riprova del fatto che il vecchio continente rappresenti ormai un obiettivo di sicuro interesse per i cyber criminali, impattato per quasi un terzo delle loro attività malevole.
In aumento anche gli attacchi verso Asia (dall’8% al 10%) e Africa (2% nel 2023), mentre restano sostanzialmente invariate le quote dell’Oceania (2%).
L’evoluzione delle minacce
Già dal 2018 il Malware è la tecnica di attacco più utilizzata dai cyber criminali.
Ma nel 2023 il ricorso a questa tecnica aumenta pericolosamente, arrivando quasi a raddoppiare e toccando il 70% del totale degli attacchi (rispetto al 37% del 2022), indice che i cyber criminali fanno sempre più affidamento sull’impiego di codice malevolo.
Seguono lo sfruttamento delle vulnerabilità (11%), in leggero calo rispetto all’anno precedente, e le tecniche sconosciute (9%), in netta diminuzione rispetto al 24% del 2022, un ulteriore segnale che gli attaccanti prediligono a questo punto tecniche più affidabili e consolidate.
Sebbene raddoppiati in termini numerici, gli attacchi che fanno affidamento su Phishing e Social Engineering mostrano una flessione in termini percentuali (dal 12% al 3%), pur restando un consolidato veicolo di infezione e di distribuzione di malware.
Si riduce, inoltre, il ricorso a DDoS (dal 4% al 3%), tecniche multiple (dal 7% al 2%) e Identity Theft / Account Cracking (dal 3% all’1%).
I Web attack, che già negli anni precedenti rappresentavano una minima parte degli attacchi totali, continuano la loro decrescita e raggiungono a questo punto quota zero.
L’evoluzione significativa nell’uso di malware, indica che gli attaccanti stanno perfezionando i loro strumenti e metodi per aggirare le difese esistenti, in particolare per quanto riguarda i ransomware che rappresentano la tipologia prediletta di codici malevoli (95% dei malware classificati).
Tra le famiglie di ransomware più utilizzate nel 2023, LockBit, ALPHV/BlackCat, Play, 8Base, BlackBasta e Malas coprono rispettivamente le prime sei posizioni, rappresentando quasi la metà (49%) dei malware totali.
Gli impatti crescenti
Da anni abbiamo introdotto nella nostra analisi anche la valutazione degli impatti dei cyber attacchi, per monitorare, oltre all’incremento nel numero degli incidenti, i danni subiti dalle vittime, sia in termini economici, che tecnologici, operativi o reputazionali.
Nel 2023 gli attacchi con impatti gravi o gravissimi toccano un’impressionante quota del 91%, la più alta registrata finora, contro l’80% del 2022, mentre quasi un quarto degli attacchi (24%) ha avuto impatti critici.
Il netto incremento nelle severity dei cyber attacchi sottolinea la crescente capacità degli attaccanti di infliggere danni significativi alle proprie vittime, con conseguenze sempre più serie e profonde implicazioni per la stabilità finanziaria, la sicurezza e la reputazione delle aziende.
Conclusioni
L’analisi dei trend evidenzia uno scenario cyber in continua evoluzione, caratterizzato da cybercriminali che si adattano e affinano le loro strategie per infliggere il maggior danno possibile alle vittime.
Riconoscere questa evoluzione ed implementare misure di sicurezza adeguate, sia preventive che reattive, è a questo punto un imperativo per le organizzazioni di ogni settore per consentire di mettere in atto una strategia difensiva in grado di fronteggiare questo panorama di minacce sempre più complesso.