Ransomware: il nuovo anello debole della cybersecurity è la supply chain

supply chain
Secondo l’Executive Guide di Dimension Data, i criminali informatici rivolgono l’attenzione alla supply chain quale nuovo canale per sfruttare i dati aziendali.
Francesco Destri

Collaboratore Francesco segue il mondo della tecnologia dal 1999, scrivendo per numerose testate online e cartacee. È specializzato soprattutto in tecnologia B2B, hardware e nuovi m... Leggi tutto

Il 2017 ha visto un incremento preoccupante di attacchi ransomware e altri attacchi informatici rivolti alla supply chain, con il settore dei servizi alle imprese e professionali (interessato dal 20% di tutti gli attacchi) particolarmente preso di mira soprattutto nella regione EMEA. È quanto si evince dall’Executive Guide di Dimension Data con riferimento all’NTT Security Global Threat Intelligence Report 2018.

Il segmento dei servizi alle imprese e professionali è stato oggetto del 10% degli attacchi ransomware globali, attestandosi come il terzo settore più colpito (rispetto alla sesta posizione del 2016), dietro al comparto finanziario e tecnologico. Inoltre, si è posizionato al terzo posto nelle Americhe (9%) ed è stato il settore più vulnerabile in EMEA, con un tasso del 20% di tutti gli attacchi.

Mentre cala il numero di richieste di interventi di incident response da parte delle istituzioni finanziarie (dal 22% nel 2016 al 5% nel 2017), il mercato dei servizi alle imprese e professionali è balzato in modo evidente in cima alla lista delle aziende colpite nell’ambito di attacchi orientati al furto di segreti industriali e proprieta’ intellettuale, compromettendo in tal modo anche i dati dei propri clienti e partner. Nonostante il calo nelle richieste di interventi di incident response, il mercato finanziario resta il primo “target” di riferimento per cyber criminali che periodicamente tentano di scovare nuove falle e vulnerabilità nei sistemi e nelle applicazioni.

Mark Thomas, Group CTO for Cybersecurity di Dimension Data commenta: “I diversi elementi volubili tipici della supply chain e delle aziende di outsorcing, che spesso operano su infrastrutture di rete disparate e obsolete, fanno si che queste organizzazioni siano una facile preda per gli autori delle minacce informatiche. I service provider e gli outsourcers sono così tra i primi obiettivi colpiti a causa delle informazioni commerciali riservate e della proprietà intellettuale di cui sono detentori. Le organizzazioni devono rendersi conto delle reali minacce che potrebbero subire e assicurarsi che tutti gli aspetti operativi vengano protetti adeguatamente.”

Il comparto IT è stato il secondo settore più colpito dai cyber attacchi nel 2017, con un volume di attacchi pari al 19%, spostando i servizi alle imprese e professionali al terzo posto. Un dato interessante riguarda gli attacchi agli enti governativi che lo scorso anno sono scesi al 5% rispetto al 9% del 2016. Nel 2017 si è registrata una crescita massiccia del 350% dei ransomware, che rappresentano il 7% di tutti gli attacchi malware globali (rispetto all’1% nel 2016), destinata a continuare sull’onda della popolarità delle “guerre” tra cyber concorrenti.

Ulteriori evidenze dell’NTT Security Global Threat Intelligence Report 2018 includono:

  • Con una quota del 70%, i settori IT e del Finance costituiscono i principali obiettivi di tutti gli attacchi nelle Americhe in quanto gli Stati Uniti rappresentano la culla globale dell’innovazione tecnologica, mentre il mercato finanziario raccoglie e archivia una vasta quantità di dati personali che può essere monetizzata dai cyber criminali.
  • Il settore dell’Education è stato uno dei comparti più colpiti in Australia (26%). In virtù di modelli di rete e di ambienti collaborativi aperti, che abilitano la connettività e la ricerca tra studenti, campus, college e università, questo settore risulta essere un target molto ambito.
  • Gli attacchi al settore manifatturiero della regione APAC sono scesi a un mero 7% (rispetto al 32% nel 2016). Questo a fronte dell’adozione di una maggiore governance e proattività nella sicurezza con l’obiettivo di innalzare le difese IT.

“Nella regione EMEA i ransomware rappresentano circa il 30% degli attacchi informatici rispetto alla media globale del 7%” afferma Gianandrea Daverio, BU Manager Security di Dimension Data in Italia. “L’EMEA è stata anche l’unica area geografica in cui il ransomware si posiziona quale primo strumento di malware, come dimostrato dai vari attacchi informatici di vasta portata, tra cui WannaCry e NotPetya”.

Dimension DataEMEAincident responseMalwareRansomwareSupply Chain
// Data pubblicazione: 18.05.2018
Condividi:
 

WannaCry un anno dopo: cos’è cambiato da quel 12 maggio del 2017?

ransomware
Perché l’attacco ransomware WannaCry è così importante? E cosa hanno imparato le aziende dopo un anno? A quanto pare quasi nulla.
Francesco Destri

Collaboratore Francesco segue il mondo della tecnologia dal 1999, scrivendo per numerose testate online e cartacee. È specializzato soprattutto in tecnologia B2B, hardware e nuovi m... Leggi tutto

Check Point Software Technologies ha fatto il punto della situazione a distanza di un anno dall’attacco informatico più spaventoso che fino a quel momento si fosse mai verificato: WannaCry. L’attacco ransomware dello scorso maggio si diffuse velocemente in poche ore in 150 Paesi, infettando più di 200.000 macchine e provocando un danno economico di oltre 4 miliardi di dollari.

WannaCry ha segnato un punto di svolta nel mondo della cybersecurity, perché si trattò del primo attacco informatico multivettore a scala globale basato su tecnologie finanziate dallo stato: il 12 maggio 2017 segna, secondo Check Point, la data d’inizio della quinta generazione degli attacchi informatici. Circa un mese prima dell’attacco WannaCry, un gruppo di hacker chiamato Shadow Brothers aveva fatto trapelare un exploit sviluppato dalla National Security Agency (NSA). Questo codice exploit, chiamato EternalBlue, in seguito sarebbe stato parte integrante dell’attacco WannaCry.

In passato, i criminali informatici usavano abitualmente strumenti superficiali fatti in casa per le loro attività di hacking. WannaCry ha invece segnato il passaggio ad armi di hacking abbastanza potenti da obbligare un’agenzia di cyberdefense a iniziare una guerra informatica internazionale. Sei settimane dopo WannaCry, NotPetya ha utilizzato lo stesso exploit nel suo attacco ai sistemi critici dell’infrastruttura, per lo più ucraini. Mentre il recente attacco ransomware SamSam, che ha bloccato la città di Atlanta, si è basato su DoublePulsar, un altro exploit sviluppato dalla NSA.

Nel 2015 gli attacchi ransomware hanno causato danni per 325 milioni di dollari. Dal 2017 invece si sono registrati danni per 5 miliardi dollari (15 volte di più rispetto al 2015), in quanto le aziende hanno perso produttività a causa del downtime e della conseguente perdita di reputazione. Successivamente WannaCry ha generato centinaia di varianti ransomware. Recorded Future ha dichiarato che prima di WannaCry, alla fine di gennaio 2017, aveva identificato 635 varianti di malware. A febbraio 2018 ha scoperto invece 1105 varianti di malware diverse, con un aumento del 74% rispetto all’anno appena trascorso.

wannacray 2017

Credit: Michael Kan

Wannacry è stato in grado di infettare l’intero sistema grazie al “dividi e conquista” poiché necessitava solo di un entry point per diffondersi, come le reti cloud, i server di uffici remoti e gli endpoint di rete. Questo approccio multi-level ha consentito a WannaCry di sopraffare facilmente le aziende che seguivano la strategia di sicurezza ordinaria, ossia quella di scegliere il miglior prodotto di sicurezza, diverso per ogni punto di ingresso.

In altre parole, le aziende spesso scelgono un prodotto specifico per i loro dispositivi mobili, uno diverso per le reti cloud e un ulteriore prodotto per la network security. Non è una strategia irragionevole, di per sé, ma è proprio ciò che vogliono WannaCry e gli altri attacchi Gen V: una difesa disconnessa che non copre all’unisono tutte le componenti dell’infrastruttura.

Affrontare un attacco come WannaCry richiede infatti un sistema avanzato di threat prevention in grado di prevenire in modo proattivo le minacce (invece di rilevarle in modo reattivo una volta che il danno è stato eseguito). Per combattere l’approccio multivettore degli attacchi di Gen V, le aziende devono anche proteggere il proprio cloud e il proprio sistema mobile.

Purtroppo, secondo una recente ricerca di Check Point Software Technologies, solo il 3% delle aziende dichiara di essere pronto ad affrontare un attacco di quinta generazione, mentre il rimanente 97% è indietro di 10 anni rispetto alle minacce attuali ed è vulnerabile ad un attacco tipo WannaCry come lo era esattamente un anno fa.

Check PointMalwarenotpetyaRansomwarewannacry
// Data pubblicazione: 16.05.2018
Condividi: