Ransomware, una minaccia globale crescente

Secondo i dati raccolti da Swascan, questi attacchi hanno fatto 1.451 vittime in tutto il mondo (dati colpiti e rubati rivelati), caratterizzati dalla diffusione di malware che crittografano dati per i quali viene chiesto un riscatto. Dietro gli attacchi c’è anche un aumento del numero dei criminali informatici, il cui numero è passato da 36 a 43 (19,4%). Tra i più attivi spicca Lockbit con 245 attacchi nel trimestre.

Questi attacchi sembrano avere un obiettivo specifico: le imprese. In Italia, l’80% di queste PMI sono state colpite, dimostrando come i criminali informatici le considerino più vulnerabili rispetto alle grandi aziende. Il 91 per cento delle imprese italiane vittime ha un fatturato inferiore a 250 milioni di euro.

Le società di servizi sono state le più colpite, rappresentando il 47% degli attacchi, seguite da quelle industriali (16%) e tecnologiche (6%). Anche in Italia in testa alla classifica c’è il settore dei servizi con il 54% degli attacchi, seguito da industria (11%) e sanità (9%), più che raddoppiate rispetto al trimestre precedente. Tuttavia, la minaccia non ha risparmiato altri settori come quello finanziario, manifatturiero, immobiliare e molti altri ancora.

Phishing

Nel secondo trimestre del 2023, il panorama delle minacce informatiche ha visto il phishing emergere come una delle minacce più diffuse. Con quasi 160.000 campagne di phishing. In Italia, le campagne di phishing che hanno interessato principalmente il settore bancario, decisamente quello maggiormente preso di mira dagli attaccanti con lo scopo di esfiltrare credenziali di accesso ed informazioni di pagamento.

Attacco diretto di tipo DDoS

Esistono diverse tipologie di attacchi che possono mettere a rischio la disponibilità e la funzionalità di un servizio online. Tra questi, uno degli attacchi più diffusi e pericolosi è il Distributed Denial of Service (DDoS).

Un attacco DDoS è un tipo di attacco informatico in cui un’ampia rete di dispositivi infettati, viene utilizzata per sovraccaricare un sistema di destinazione con un elevato volume di richieste di connessione. L’obiettivo principale di un attacco DDoS è quello di intasare il sistema, rendendolo incapace di rispondere alle richieste legittime degli utenti, causando così un’interruzione del servizio.

il caso Microsoft Outlook

E’ il caso di Microsoft Outlook, servizio di posta elettronica leader nel settore. In questo caso l’azienda è stata bersaglio di un attacco DDoS. I responsabili di questo cyber-attacco sono il un noto gruppo hacker chiamato Anonymous Sudan che ha rivendicato l’attacco con un messaggio pubblicato sul suo canale Telegram.

Il fine

La banda non ha rubato alcun dato, il fine di questo attacco è stato quello di recapitare il seguente messaggio a Microsoft.“Microsoft, il destino dei tuoi servizi è nelle nostre mani, decidiamo noi quando chiuderlo e quando lasciarlo aperto”.

La reazione

Microsoft ha immediatamente posto fine all’attacco, escludendo dal sistema i malintenzionati, la stessa azienda ribadisce l’importanza di utilizzare “servizi di protezione di livello 7 come Azure Web Application Firewall (WAF)” e tenere sempre aggiornati i servizi che si utilizzano.

Attacco indiretto

Spesso si dà per scontato che i cyber criminali attacchino direttamente il loro obiettivo, cercando di rubare dati o di forzare qualche accesso. In realtà gli attacchi più sofisticati e difficili da contrastare sono indiretti, ovvero non colpiscono la vittima designata ma un suo fornitore. In questo modo non solo il criminale è più difficile da rintracciare, ma ottiene anche accesso a più potenziali vittime contemporaneamente.

MoveIT

E’ il caso di MoveIt, servizio di trasferimento file sconosciuto ai più ma usato da diverse grandi aziende britanniche e statunitensi, quali BBC e British Airways. In questo caso gli hacker hanno sfruttato una vulnerabilità non ancora nota agli stessi sviluppatori di MoveIt, che consentiva agli utenti esterni di eseguire comandi all’interno dei database di MoveIt.

Le conseguenze

Così facendo i criminali hanno potuto rubare una quantità incredibile di dati da tutte le aziende clienti di MoveIt, fra cui quelle citate, prima ancora che qualcuno potesse anche solo accorgersi del problema.

La reazione

MoveIt ha comunque rilasciato un aggiornamento correttivo nel giro di quattro giorni, quindi anche in questo caso (come sempre) il consiglio principale è quello di tenere sempre aggiornati i servizi che si usano. Per le aziende varrebbe inoltre la pena di coordinarsi con i propri fornitori per assicurarsi che facciano altrettanto, altrimenti rischiano di essere vittima di data breach e attacchi informatici anche senza presentare alcuna vulnerabilità.

La ricerca

Quali sono le fasi successive? Non lo sappiamo, o almeno la ricerca degli esperti del team di Bitdefender che ha analizzato il fenomeno. Importante notare come si tratti di professionisti della sicurezza informatica in un ambiente protetto: è altamente sconsigliato fare questo tipo di “prove” in qualità di semplici utenti, anche avendo la consapevolezza che si tratta di una truffa.