Da pochi giorni è stata rilasciato il “2023 Global Threat Report” di Crowdstrike, una della più importanti aziende mondiali nel campo della cyber-security e quanto scritto dall’azienda americana risuona come un campanello d’allarme.
Nazioni di Hacker, hacker di nazioni
Il primo dato che balza all’occhio è la conferma della leadership nel campo dell’hacking di quattro nazioni.
La Cina si pone come la principale minaccia a livello globale facendo registrare un incremento delle attività di spionaggio legate ai suoi gruppi hacker.
C’è la Russia che oltre a colpire gli interessi occidentali è particolarmente impegnata nelle attività di supporto alla guerra in Ucraina e nel sostenere campagne di disinformazione.
L’Iran gioca un ruolo attivo nelle campagne di spionaggio e di destabilizzazione limitando però il proprio raggio d’azione allo scenario mediorientale sfruttando soprattutto la tecnica “Lock-and-leak” (blocca e diffondi) tramite l’utilizzo di malware di tipo Ransomware.
Si conferma anche la tendenza della Corea del Nord nel lanciare campagne di furto di cripto-valute con l’obbiettivo di rimpolpare le finanze statali.
A crescere sono più in generale le attività di hacking legate a semplici gruppi criminali o a gruppi di hack-tivisti (hacker+attivisti) che non solo si occupano direttamente di violare i sistemi, ma sempre più spesso agiscono come intermediari rivendendo gli accessi conquistati ad altre organizzazioni(Access Brokers) o affittando come un semplice servizio i loro attacchi Ransomware (RaaS, Ransomware as a Service). Senza entrare in dettagli statistici basti osservare la frequenza con la quale la stampa generalista ormai settimanalmente riporta notizie di attacchi a questa o quella azienda per avere la percezione di come ormai nel cyberspazio si combatta una guerra non dichiarata.
Una lotta contro il tempo
Se la crescita delle attività hacker non è di per sé una notizia inaspettata a preoccupare sono alcuni fenomeni che la accompagnano.
In primis gli hacker stanno diventando sempre più efficaci e veloci. Se nel 2021 tra il primo accesso ad un sistema (Initial Access) e il potersi muovere all’interno dell’infrastruttura violata (Lateral Movement) intercorreva un lasso di tempo medio di 98 minuti, nel 2022 si è arrivati ad un tempo medio di soli 84 minuti.
Per capire quanto sia allarmante questo dato, occorre aver presente che la stessa Crowdstrike raccomanda una tempistica ben precisa per contrastare gli attacchi racchiusa nella formula 1+10+60:
- 1 = un minuto per intercettare la minaccia
- 10 = dieci minuti per capire il tipo di minaccia
- 60 = 60 minuti per reagire
E’ evidente come i 71 minuti necessari per una reazione comincino a diventare pochi, se gli attacchi si fanno sempre più veloci. Senza considerare che una risposta cosi veloce richiede investimenti in sicurezza tali da escludere tutto il settore della piccola e media impresa rendendo le nostre aziende più fragili e indifese.
Sempre più umani
Se quanto scritto sopra risulta essere una evoluzione tutto sommato prevedibile a stupire e lasciare letteralmente a bocca aperta è un dato ben specifico legato all’utilizzo dei malware durante gli attacchi: il 71% degli attacchi non utilizza malware per violare i sistemi (Initial Access) e per rimanere al loro interno(Persistence).
Il dato è sconcertante ed evidenzia come ormai la gran parte degli attacchi abbia successo perché gli hacker sfruttano il crescente numero di vulnerabilità che affliggono i software oppure sono in possesso di credenziali valide con le quali possono accedere come e quando vogliono ai sistemi. Come ne entrino in possesso non è difficile da intuire; da una parte il dark web sta assumendo sempre di più le sembianze di un supermercato del cyber-crimine nel quale le credenziali possono essere acquistate con un modesto investimento, dall’altra le persone sono soggette a tecniche di ingegneria sociale di maggiore efficacia.
Lo scenario presentato dal report dell’azienda americana è a suo modo un colpo allo stomaco e basta semplicemente la sua introduzione per mettere in allarme, la speranza è che la politica e il mondo imprenditoriale colgano gli elementi d’allarme e agiscano mettendo la sicurezza in cima alle loro priorità.
