Post di Marco Lucchina, Country Manager Italy, Spain & Portugal di Cynet –

L’immagine di un hacker come quella di un ragazzo incappucciato che nella solitudine della sua stanza attacca le infrastrutture cybernetiche di aziende e privati in tutto il mondo per chiedere riscatti è ormai anacronistica, figlia di un tempo in cui le conoscenze sulla cybersicurezza erano ancora piuttosto vaghe. Così per anni si è portata avanti una narrazione “piratesca” su queste figure, che invece oggi è necessario delineare meglio.

Con hacker si intende una persona che utilizza le proprie competenze informatiche per esplorare i dettagli dei sistemi programmabili e sperimenta come poter estenderne l’utilizzo. Parliamo quindi di uno “studioso”, un curioso esperto della rete, non necessariamente pericoloso. Il tempo ha portato con sè rivelazioni, come questa, e cambiamenti.

Ad essere veramente pericolose e ad incarnare veramente quelle figure temibili, incappucciate e pronte a tutto per attaccare i sistemi informatici di tutto il mondo sono le cybergang, ed è da queste che è importante sapersi difendere.

In questo contesto in continua evoluzione, è cruciale esaminare da vicino la situazione attuale del cybercrime in Italia, comprendendo le sue forme, le sue tendenze e le contromisure necessarie per proteggere la nostra società digitale.

Un mercato più strutturato, i tool per gli attacchi in abbonamento

Di fatto, le cybergang, ad oggi, non risultano essere un numero particolarmente elevato, 135-138 al massimo, ma sono in grado di mettere a disposizione una serie di tattiche, tecniche e procedure d’attacco per chiunque ne abbia necessità. Anche la dinamica dell’“acquisto” dei tool che permettono gli attacchi è cambiata: ora è possibile sottoscrivere veri e propri abbonamenti che forniscono il necessario per l’attacco.

Stupisce il fatto che questa facilità di acquisto sia aperta a tutti, anche a giovani, e che non sia necessario avere delle vere e proprie competenze per poter accedere ai tool, ma solo un potere di acquisto. Questa eccessiva disponibilità aumenta il potenziale distruttivo degli attacchi: la facile affiliazione di più persone rende più facile la diffusione dei ransomware.

Cybergang, un contesto in cambiamento

Una volta compreso che il cybercrime è mosso da svariati gruppi di cybergang, le aziende di tutto il mondo hanno iniziato a combattere e proteggersi sempre allo stesso modo, muovendosi sempre nello stesso contesto. Gli attacchi ransomware sono sempre stati la modalità di attacco più comune. Gli attaccanti stanno facendo sì che il pagamento del riscatto sia la soluzione più facile e abbordabile, abbassando le somme dei riscatti in modo da competere con il costo delle attività di rimessa in sicurezza, diventando molto competitivi. Ulteriore dimostrazione della logica di mercato che sta dietro al cybercrime.

In realtà studi internazionali dimostrano che il cybercrime sta entrando in una fase di mercato diversa, più matura. Le aziende non sono state ferme e stanno investendo in strumenti di difesa. Si sta assistendo in particolare a due trend: l’abbassamento del valore medio di riscatto (è più facile farsi pagare un importo basso piuttosto che uno più elevato) e la ricerca di vettori di attacco differenti, ovvero i PC di casa e i dispositivi mobili.

Ciò che rende i device personali o domestici così attrattivi per gli attaccanti è la presenza delle credenziali, il vero oggetto del desiderio. La rivendita di credenziali valide è diventata un’attività di grande pregio. In particolare si parla di credenziali attuali, non già usate in passato poiché di minor valore.

Nel fitto sottobosco del cybercrime si sta definendo sempre più una filiera organizzata, suddivisa tra chi si specializza nella produzione chi nel recupero delle credenziali che poi mette a disposizione di altri gruppi attivi.

Le cybergang nel mondo

Nel mondo del cybercrime Russia, Cina, Corea del Nord e Iran si confermano come le nazioni più “prolifiche” in termini di presenza di cybergang nel loro territorio. Mentre gli obiettivi che interessano i gruppi sono sempre gli Stati Uniti e la Gran Bretagna, per chiare ragioni geopolitiche Il gruppo LockBit, dato per sconfitto dall’FBI si è rigenerato in pochi giorni e continua ad essere la minaccia più importante a livello europeo. Il mercato delle credenziali sta diventando il cardine di questo mondo soprattutto dopo i successi delle agenzie governative nel chiudere Raidforum, Genesys market e Quakbot.

Lo stato dell’arte in Italia

L’Italia, come anche la Germania, sono Paesi che stimolano molto l’interesse dei cybercriminali perché obiettivi ricchi e più facilmente raggiungibili. Soprattutto il nostro Paese è sempre più appetibile agli occhi degli attaccanti perché poco strutturato, anche dal punto culturale, a proteggersi dagli attacchi in maniera sistematica e continua.

A differenza di altri Paesi come la Francia, molto più accorta e con sistemi informativi più chiusi di quelli italiani, l’Italia difficilmente si preoccupa di mettere le basi per un sistema di sicurezza durevole nel tempo. Si è abituati a pensare al “qui ed ora” piuttosto che a mettere le fondamenta per un futuro più stabile.

Un’altra caratteristica tutta italiana è data dalla presenza sul territorio di moltissime Piccole e medie imprese, realtà imprenditoriali più facilmente attaccabili in quanto hanno a disposizione meno risorse per difendersi. Una situazione che porta gli imprenditori a dover scegliere tra pagare un riscatto e spendere per ripartire con risultati non garantiti.

Come difendersi dalle cybergang?

A fronte del nuovo panorama del cybercrime occorre quindi un cambiamento culturale e una maggiore consapevolezza della sicurezza informatica, sia a livello individuale che aziendale. Solo attraverso una strategia di difesa integrata e proattiva, accompagnata da investimenti nella formazione e nella tecnologia, sarà possibile proteggere la società digitale in modo efficace.

In epoca di attacchi sistematici, le piattaforme di incident response basate sull’intelligenza artificiale rappresentano un pilastro fondamentale nella difesa contro gli attacchi delle cybergang. Grazie alla capacità di analizzare rapidamente grandi quantità di dati e individuare comportamenti sospetti, queste piattaforme consentono alle aziende di identificare e rispondere prontamente agli attacchi in corso.

Le misure più efficaci: piattaforme AI di “incident response”

Attraverso l’automazione e l’apprendimento continuo, le piattaforme AI di incident response migliorano l’efficienza delle operazioni di sicurezza e consentono di adottare misure preventive più efficaci, contribuendo così a proteggere le organizzazioni dalle sempre più sofisticate minacce provenienti dal mondo del cybercrime. L’intelligenza artificiale applicata ha bisogno di una mole importante di dati perché gli algoritmi diventino abbastanza affidabili da poter essere utilizzati.

Per far questo uno dei modelli operativi dal punto di vista teorico più validi è quello della raccolta di tutte le telemetrie che vengono prodotte o che possono essere recuperate all’interno di un’infrastruttura, indipendentemente che siano host, rete, log, cloud, networking, mondo OT di fabbrica e oggettivamente poi bisogna fare molta attenzione al mondo mobile, quindi includerlo a tutti gli effetti nell’area di protezione e al mondo di casa. Il suggerimento è di escluderlo totalmente dalla relazione, quindi non permettere l’accesso a nulla dai dispositivi casalinghi o comunque dai dispositivi che non sono monitorati da chi si occupa di IT in una azienda.