Il blog e’ stato scritto dal nostro analista Stefano De Blasi in collaborazione con Andrea Aluigi di Cyber Partners.
Durante la crisi della pandemia Covid-19 in Italia, i criminali informatici hanno sfruttato il caos e l’incertezza del momento per effettuare una serie di attacchi contro individui ed aziende con serie implicazioni in materia di sicurezza e privacy. Negli ultimi mesi si è assistiti ad un aumento di campagne che hanno sfruttato l’ondata di emotività ed allarmismo generati dall’impatto del virus per causare ulteriori danni in un paese già afflito dal virus stesso.
Comprendere la portata di questi attacchi – e quindi come prevenirli al meglio – è fondamentale in vista di eventi futuri capaci di catturare l’opinione pubblica in maniera simile. Nonostante la pandemia Covid-19 abbia rappresentato un evento senza precedenti, i criminali informatici sono sempre molto attivi nello sfruttare i momenti in cui l’attenzione generale si concentra verso un particolare avvenimento (così come può accadere durante grandi competizioni sportive o elezioni politiche). Per questa ragione, è molto importante analizzare nel dettaglio come i criminali sfruttino questi momenti, quali vettori prediligano e, soprattutto, quali lezioni possiamo imparare da quanto avvenuto negli ultimi mesi.
Il Threat Landscape italiano durante il Covid-19
Uno dei cambiamenti più rilevanti per quanto riguarda il panorama delle minacce attive in Italia è dato senza dubbio dallo spostamento di grande parte della forza lavoro dall’ufficio alla comodità di casa. La pandemia Covid-19 ha costretto una larga fetta dell’ecosistema imprenditoriale italiano ad effettuare cambiamenti improvvisi per mantenere il proprio capitale umano al sicuro e garantire un sufficiente livello di produttività. In termini di sicurezza informatica, ciò ha significato spingere i dipartimenti IT ad affrontare una serie di richieste repentine volte ad assicurare la produttività aziendale durante il coronavirus. In particolare, l’intensivo uso di dispositivi non gestiti centralmente dall’azienda e l’uso di reti domestiche non securizzate a dovere ha aperto le porte a quegli avversari che si sono rapidamente predisposti per sfruttare questa nuova ed estesa superficie di attacco.
I criminali informatici hanno capitalizzato sull’emergenza sanitaria scatenata dal Covid-19 in diversi modi, con tattiche che possono essere principalmente divise in attacchi informatici, frodi online e campagne di disinformazione. Per quanto riguarda gli attacchi informatici, in Italia i settori più colpiti sono stati quelli più vulnerabili alle conseguenze della pandemia, e quindi la ricerca, la sanità, la logistica e la finanza. Questo fatto testimonia ancora una volta come i criminali sappiano adattare le proprie azioni per accomodare le circostanze esterne e ad aumentare l’efficacia dei propri attacchi.
Per sfruttare questa emergenza sanitaria, i criminali informatici hanno fatto uso di diversi vettori di attacco volti a far leva sull’urgenza del momento. La minaccia piu diffusa è senza dubbio quella delle campagne phishing a tema Covid-19 per compromettere o estorcere individui ed aziende. Le campagne osservate ruotano principalmente attorno ad e-mail che forniscono aggiornamenti sul Coronavirus e truffe legate alla fornitura di dispositivi di protezione personale e a sovvenzioni statali. Inoltre, gli obiettivi di queste offensive variano dalla raccolta dei dati sensibili degli utenti alla distribuzione di malware e spyware nei dispositivi compromessi.
Tre lezioni da tenere a mente
Sebbene la pandemia abbia senza dubbio stravolto la società ed il suo tradizionale modo di vivere, lo stesso non si può dire per i crimini informatici. Infatti, la presenza di campagne di social engineering a tema Covid-19 sono l’ennesima riprova di come i criminali non debbano stravolgere il loro modus operandi per adattarsi all’oggetto dell’attenzione del momento. Nonostante sia senza dubbio vero che il lavoro da remoto abbia aumentato la superficie di attacco di imprese ed organizzazioni e, conseguentemente, le opportunità per gli attori malintenzionati, è importante riconoscere come i principali vettori di attacco e obiettivi siano rimasti immutati. Ancora una volta le più diffuse tecniche offensive fanno leva su quelle debolezze dell’utente umano che permettono di identificare in esso il cosiddetto “anello debole” della catena di sicurezza informatica.
Nonostante le TTP (Tattiche, Tecniche e Procedure) utilizzate dai criminali informativi non abbiano subito grandi variazioni, c’è un dato cruciale da analizzare per comprendere la portata dell’impatto avuto dal Covid-19 sul threat landscape italiano. Diversi ricercatori hanno infatti registrato un aumento dei tentativi di attacco da parte dei criminali informatici ed un corrispettivo incremento della percentuale di successo degli stessi. Questo fenomeno può essere senza dubbio ricondotto alla diffusa assenza di un piano preventivo che facilitasse lo smart working, all’abbassamento delle difese da parte degli impiegati alle prese con un momento storico senza precedenti e alla mancanza di sufficiente personale specializzato in questo ambito delicato.
Per evitare che questi fenomeni si ripetano, abbiamo identificato tre importanti lezioni che tengano conto del mutato threat landscape e che costituiscano delle best practices da poter applicare in qualsiasi contesto di concentrazione dell’attenzione pubblica verso eventi di particolare rilevanza mediatica:
- Cyber resilienza: Il principio di cyber resilienza deve essere alla base di qualsiasi programma di cybersecurity visti i continui mutamenti nell’arena digitale. Il panorama delle minacce attive è in continuo sviluppo e si modifica di pari passo con l’emergenza di nuove tecnologie e mutamenti nello scacchiere internazionale. La velocità con cui questi cambiamenti avvengono rende impossibile definire un unico piano di difesa capace di difendere il proprio perimetro di esposizione dai prossimi avvenimenti. Per questa ragione, lo sviluppo di un programma flessibile e capace di adattarsi ai cambiamenti più repentini è fondamentale per assicurare un efficiente piano di continuità operativa;
- Servizi di threat intelligence: Per mitigare i danni causati dai gruppi di criminali informatici è fondamentale mettere in atto solide misure di prevenzione. I servizi di threat intelligence possono certamente contribuire in questo senso, fornendo un’accurata descrizione delle motivazioni, tattiche e tecniche utilizzate da potenziali avversari. Possedere queste informazioni può certamente aiutare le organizzazioni ad identificare velocemente le minacce informatiche, ad educare al meglio i propri dipendenti e a ridurre al minimo i danni causati dagli attacchi stessi;
- Igiene informatica: Con la diffusione del lavoro da remoto a causa degli sviluppi della pandemia, l’igiene informatica ha assunto una rilevanza se possibile ancora maggiore in ogni programma di cybersecurity. In pratica, ciò significa stabilire e rispettare procedure ben definite per la trasmissione di dati, mantenere software e sistemi operativi aggiornati in modo continuativo e sensibilizzare i propri dipendenti circa i rischi provenienti dalla sfera informatica. Alla fine dei conti, queste procedure di routine possono effettivamente garantire un alto livello di difesa per i propri dati sensibili e le risorse interne.
In ultima analisi, è importante ricordare che periodi di grande fermento dell’opinione pubblica generano enormi opportunità da sfruttare per gruppi di criminali informatici. Le lezioni che possiamo imparare da quanto accaduto durante l’emergenza Covid-19 ci ricordano che questi periodi di acuta attenzione dell’opinione pubblica verso un evento sono (generalmente) prevedibili e che mettere in atto solide misure di prevenzione può fare la differenza nel lungo periodo.