Dai ransomware di nuova generazione agli attacchi di ingegneria sociale basati su IA e Deep Fake, il quadro delle minacce alla sicurezza informatica si amplia di anno in anno. Ci viene in aiuto ENISA, con l’11esima edizione del report “Threat Landscape” volto ad informare, sensibilizzare e prevenire, attraverso mirate raccomandazioni.
Il report ENISA 2023
Come ogni anno, in autunno, l’Agenzia dell’Unione Europea per la sicurezza informatica ha pubblicato il report ETL, “ENISA Threat Landscape”, ormai giunto alla undicesima edizione. Il report costituisce un riferimento essenziale anche per i DPO, in quanto fornisce indicazioni preziose sulle ultime tendenze in termini di minacce alla cybersecurity, sulle loro peculiarità e sulle tecniche utilizzate. Obiettivo dell’ETL è, infatti, supportare le organizzazioni nel definire priorità e azioni da intraprendere per prevenire che tali minacce trovino terreno fertile.
Le risultanze emerse quest’anno, inoltre, forniscono una visione d’insieme particolarmente significativa: da un lato, la repentina diffusione di cyber threats basati sull’Intelligenza Artificiale ha generato un balzo in avanti da un punto di qualitativo delle minacce; dall’altro lato, da un punto di vista quantitativo, nell’ultima parte del 2022 e nella prima metà del 2023, il panorama della cybersecurity ha visto un incremento considerevole della quantità di attacchi informatici e delle loro conseguenze.
Una crescita esponenziale
I dati sono autoesplicativi: nel periodo che va da luglio 2022 a giugno 2023 ENISA ha rilevato circa 2580 incidenti, con altri 220 incidenti che hanno colpito specificamente due o più Stati membri dell’UE. I cyberattacchi continuano ad aumentare su scala globale, anche per via della crisi geopolitica ancora in corso.
Il grafico a sinistra compara il numero complessivo di incidenti rilevati nel 2022 a livello globale ed in UE (in rosso), con il numero di incidenti rilevati nel 2023 (in blu).
Il grafico a destra espone la timeline degli incidenti nel lasso di tempo oggetto del report ETL.
Pubblica Amministrazione nel mirino
Ancora una volta, il settore della Pubblica Amministrazione risulta il più colpito dagli attacchi (19% del totale), seguito dal settore della sanità (8% degli attacchi). Rispetto agli anni precedenti, tuttavia, notiamo una ripartizione più omogenea dei diversi settori colpiti.
Questo trend, secondo ENISA, è un segno della natura pervasiva dell’interconnettività digitale nel mondo di oggi. Un singolo attacco è in grado di coinvolgere, a catena, più settori rispetto al passato.
Le principali minacce cyber
Per quanto la panoramica delle minacce sia sempre eterogenea, a prevalere vi sono quattro threats:
1.Ransomware
Nel rapporto “Threat Landscape for Ransomware Attacks”, ENISA definisce il ransomware come “un tipo di attacco in cui gli attori delle minacce prendono il controllo delle risorse di un obiettivo e chiedono un riscatto in cambio della restituzione della disponibilità delle risorse”. Questa definizione, volutamente ampia, copre il mutevole panorama delle minacce ransomware, le molteplici tecniche di estorsione ed i vari obiettivi degli autori degli attacchi (non solo guadagni finanziari). Il ransomware è stato, ancora una volta, una delle minacce principali nel periodo di riferimento, rappresentando il 34,12% degli attacchi complessivamente registrati, con diversi incidenti di alto profilo e molto pubblicizzati;
2. Minacce contro la disponibilità: Denial of Service
Gli attacchi c.d. “Denial of Service (DdoS)” hanno come obiettivo minare la disponibilità dei sistemi e dei dati, attraverso tecniche informatiche volte a esaurire il servizio, saturare le sue risorse o sovraccaricare i componenti dell’infrastruttura di rete. Sebbene non rappresentino una minaccia nuova, svolgono un ruolo significativo nel panorama delle attuali minacce alla sicurezza informatica (costituiscono il 28,15% degli attacchi complessivamente registrati);
3. Minacce contro i dati
Rientrano in questa categoria il 17,19% degli attacchi complessivamente registrati. Si tratta, in particolare, di tutte le minacce che comportano:
- una violazione dei dati trattati (data breach), ovvero (secondo la definizione ENISA) un attacco deliberato e violento contro un sistema o un’organizzazione con l’intenzione di rubare i dati;
- una esfiltrazione o fuga di dati (data leak), ovvero un evento (ad esempio, configurazioni errate, vulnerabilità o errori umani) che può causare la perdita o l’esposizione non intenzionale di dati sensibili, confidenziali o protetti;
4. Ingegneria sociale
L’ingegneria sociale, 8,79% degli attacchi complessivamente registrati, comprende un’ampia gamma di tecniche che fanno leva sull’errore umano al fine di ottenere l’accesso a informazioni o servizi. Parliamo, in particolare, di phishing, spear-phishing, whaling, smishing, vishing, watering hole attack, baiting, pretexting, quid pro quo, honeytraps e scareware. Attraverso questi vettori, gli utenti possono essere indotti ad aprire documenti, file o e-mail, a visitare siti web o a concedere l’accesso a sistemi o servizi.
La vera minaccia del 2023: LockBit
Come anticipato, fra le minacce individuate nel report, si è assistito ad un aumento sostanziale degli incidenti legati al ransomware, soprattutto a partire dal mese di marzo 2023. In questo periodo, infatti, sono stati documentati 459 attacchi ransomware, con un incremento del 91% rispetto al mese precedente e del 62% rispetto a marzo 2022.
Un rapporto redatto da NCC Group ha fatto luce sulla ragione principale di questa impennata di incidenti. Il report indica lo sfruttamento di una vulnerabilità specifica, identificata come “CVE-2023-0669”, riscontrata nel software “GoAnywhere Managed File Transfer (MFT)” di Fortra. Questa vulnerabilità è diventata la chiave che ha consento, ai criminali informatici, di accedere ai sistemi colpiti e di orchestrare i loro attacchi.
LockBit, ALPHV (BlackCat) e Bian Lian sono stati alcuni dei principali ceppi di ransomware utilizzati come RaaS (Ransomware as a Service). Lockbit, singolarmente, ha rappresentato la causa di quasi la metà del numero di incidenti rilevati.
Uno sguardo al futuro: tecniche emergenti e tendenze in evoluzione
Oltre a esaminare le principali minacce attuali, ENISA anticipa quelle che saranno le minacce del futuro, con lo scopo di sensibilizzare le organizzazioni verso azioni preventive e mirate.
Fra le tecniche emergenti e le tendenze in evoluzione si segnalano, fra tutte, le seguenti:
- La generazione di nuove varianti di ransomware, non riconosciute dai comuni antivirus, utilizzando frammenti di codice rubato o trapelato da varie fonti (“Franken Ransomware”);
- Il ricorso a collegamenti URL per la diffusione dei ransomware, piuttosto che l’inserimento in mail di phishing di allegati malevoli;
- Il passaggio dalla semplice cifratura dei dati all’estorsione, per costringere gli utenti vittime di ransomware a pagare il riscatto;
- L’escalation di malware “distruttivi” ovvero i “wipers”, nel contesto della Cyber-War fra Russia e Ucraina;
- Il ricorso a strumenti come ChatGPT per la generazione di mail di phishing evolute, in quanto mirate e più convincenti, in grado di mimare autentici messaggi umani ed ingannare gli utenti.
L’IA e gli attacchi di ingegneria sociale
Queste tecniche di attacco meritano una menzione a parte. Strumenti come ChatGPT, infatti, grazie alla capacità di imitare l’interazione umana, rinnovano e ampliano le minacce basate sull’ingegneria sociale. I ricercatori di Darktrace hanno osservato un aumento del 135% dei nuovi attacchi di social engineering da gennaio a febbraio 2023, proprio in corrispondenza con l’adozione diffusa di ChatGPT. L’intelligenza artificiale generativa sta offrendo agli attori delle minacce la possibilità di realizzare attacchi sofisticati e mirati, in modo rapido e su larga scala.
ENISA individua tre aree fortemente influenzate dall’IA:
- la creazione di e-mail e messaggi di phishing più convincenti che imitano da vicino le fonti legittime. Grazie all’IA, gli attacchi ora usano tecniche linguistiche sofisticate, tra cui l’aumento del volume del testo, della punteggiatura e della lunghezza delle frasi;
- i deepfake che si concentrano principalmente sulla clonazione vocale. In questo caso, uno degli usi principali è rappresentato dagli attacchi di vishing che utilizzano la clonazione vocale basata sull’intelligenza artificiale. Gli aggressori possono creare dei cloni vocali catturando un campione della voce di una persona, che può essere ottenuto, ad esempio, estraendo un video da YouTube, TikTok o qualsiasi altro social network. La voce così generata può essere utilizzata per truffe ed estorsioni di denaro;
- il data mining guidato dall’IA. Gli aggressori utilizzano l’IA per identificare i potenziali bersagli e determinare l’approccio più efficace per un attacco di social engineering, aumentando così le probabilità di successo.
Quali impatti privacy?
L’impatto di tali minacce verte, principalmente, sui sistemi digitali e, quindi, sui dati personali. Le statistiche evidenziano, infatti, come un impatto sulle informazioni gestite attraverso i sistemi digitali sia sempre presente, anche quando a fondamento dell’attacco ci siano ragioni economiche. Gli attacchi ransomware, ad esempio, mirano a generare, attraverso la richiesta di un riscatto, un provento illecito. Tuttavia l’azione di tale minaccia determina anche una perdita della disponibilità delle informazioni archiviate sui sistemi digitali e, sempre più di frequente, l’esfiltrazione delle stesse.
Cinque raccomandazioni essenziali
ENISA fornisce quindi alcune raccomandazioni essenziali volte a proteggere i dati personali, a prevenire e gestire eventuali data breach e data leak. Ne citiamo cinque, che dovrebbero anche far parte del piano periodico delle attività di controllo svolte dal DPO.
È essenziale verificare che l’organizzazione, titolare del trattamento:
- abbia definito una corretta strategia di prevenzione dalle minacce, strategia che parte dalla conoscenza degli asset che possono essere bersaglio di un attacco e che implica una approfondita valutazione dei rischi;
- abbia previsto risorse adeguate ad affrontare le minacce, sia in termini di personale IT che di budget per lo svolgimento di periodiche attività di audit e assessment delle vulnerabilità (VA);
- abbia formato e sensibilizzato gli utenti. I dipendenti non tecnici possono mettere a rischio l'intero sistema e i suoi dati, per questo sia il personale di sicurezza IT che gli utenti finali dovrebbero essere formati professionalmente e conoscere le tendenze più recenti in materia di sicurezza informatica;
- sia dotata di una procedura per rispondere alle violazioni dei dati ed abbia individuato un team di specialisti per la gestione delle stesse;
- abbia implementato un sistema di backup adeguato, che consenta di ripristinare i dati in caso di perdita della disponibilità degli stessi e di garantire la continuità operativa. A riguardo ENISA ricorda l’importanza della “ridonzanza geografica” per evitare che i sistemi possano essere coinvolti nello stesso attacco.
All’interno dell’allegato B) al report ETL, cui si rinvia per approfondimenti, ENISA fornisce raccomandazioni di dettaglio per le minacce più diffuse.
- Consulta qui il report completo.
- Se desideri associarti e condividere la discussione sul report ETL con la community ASSO DPO, clicca qui.