Flagello ransomware: 6 aziende italiane su 10 colpite nell’ultimo anno

ransomware
La quarta edizione dell’indagine Global Security Attitude di CrowdStrike rivela che il 65% delle imprese italiane ha subito almeno un attacco ransomware negli ultimi 12 mesi.
Francesco Destri

Collaboratore Francesco segue il mondo della tecnologia dal 1999, scrivendo per numerose testate online e cartacee. È specializzato soprattutto in tecnologia B2B, hardware e nuovi m... Leggi tutto

CrowdStrike ha rilasciato i risultati dell’indagine Global Security Attitude Survey 2021, condotta dalla società di ricerca indipendente Vanson Bourne. Il rapporto evidenzia che le richieste di riscatto e il valore delle estorsioni negli attacchi ransomware stanno aumentando in modo significativo, mentre la fiducia nei confronti dei fornitori di sistemi IT legacy ha subito un calo; le aziende stanno infatti rallentando la loro capacità di rilevare gli attacchi alla sicurezza informatica.

“Nell’attuale scenario, le minacce alla sicurezza informatica costano alle aziende di tutto il mondo milioni di dollari e causano ulteriori ricadute”, ha dichiarato Michael Sentonas, Chief Technology Officer di CrowdStrike. “L’ambiente di lavoro da remoto, in evoluzione, sta sicuramente accentuando le sfide per le imprese, mentre i fornitori di software legacy come Microsoft faticano a tenere il passo con il ritmo accelerato dell’attuale mondo digitale. Il panorama delle minacce continua ad evolversi ad un ritmo spaventoso ed è ovvio che le organizzazioni moderne necessitino di una piattaforma end-to-end con un approccio cloud-nativo e olistico, al fine di affrontare e neutralizzare le minacce più rapidamente”.

I clienti stanno affrontando una crisi di fiducia nei confronti dei fornitori di sistemi legacy mentre gli attacchi alla catena di approvvigionamento del software continuano a rappresentare una sfida. I recenti attacchi informatici, come Sunburst e Kaseya, hanno portato ancora una volta in primo piano gli attacchi alla supply chain: è quanto emerge dalle risposte del 63% dei partecipanti all’indagine di CrowdStrike su scala globale che ammettono una perdita di fiducia da parte della loro azienda nei confronti dei tradizionali fornitori di sistemi legacy, come Microsoft, a causa dei frequenti incidenti di sicurezza che hanno colpito questi vendor di tecnologia. Anche in Italia, seppur in percentuale inferiore, più della metà degli intervistati (52%) afferma che i frequenti attacchi alla sicurezza informatica stanno minando la fiducia nei confronti di alcuni grandi player del settore, fino a poco tempo fa ritenuti altamente affidabili.

Questa problematica è talmente diffusa che 3 rispondenti su 4 hanno subito un attacco alla supply chain. È evidente come un’azione rapida e l’utilizzo di nuove tecnologie siano due elementi necessari per le organizzazioni che intendono aumentare la propria resilienza informatica.

Su questo versante il 44% delle imprese italiane intervistate ha subito almeno un attacco alla supply chain negli ultimi 12 mesi, un dato che non si discosta dalla media EMEA (42%) e mondiale (45%). L’81% del campione italiano teme inoltre che gli attacchi alla supply chain diventino una delle principali minacce alla sicurezza informatica nei prossimi tre anni.

Anche il ransomware rimane comunque una minaccia persistente e altamente pervasiva, che costa in media circa 2 milioni di dollari alle organizzazioni colpite da questo tipo di attacchi. I dati della ricerca indicano che nel 2021 gli attacchi ransomware hanno continuato a dimostrarsi efficaci, con un aumento medio globale dei pagamenti di riscatto pari al 62,7% rispetto al 2020.

Inoltre, le imprese sono quasi tutte colpite da una “doppia estorsione”, che si verifica quando i criminali informatici non solo richiedono un riscatto per decriptare i dati, ma minacciano la diffusione e la vendita dei dati finché le vittime non pagano una cifra aggiuntiva. I dati di CrowdStrike mostrano che il 96% delle aziende che paga il riscatto è stato costretto a versare ulteriori somme di denaro sotto estorsione, per un costo medio di circa 758.333 dollari per le aziende italiane e di circa 633.800 dollari per le aziende EMEA.

supply chain analytics

Tra gli ulteriori risultati, il rapporto evidenzia che:

  • Il 64% del campione italiano del sondaggio ha subito almeno un attacco ransomware negli ultimi 12 mesi, una percentuale in linea con il dato EMEA (61%) e globale (66%)
  • Quasi due terzi (65%) delle aziende italiane intervistate non possiede una strategia di difesa completa, a fronte di un 61% a livello EMEA e di un 57% su scala mondiale
  • In media, in Italia, negli ultimi 12 mesi il pagamento medio di riscatto richiesto nel caso di attacchi ransomware è stato di 1,32 milioni di dollari, poco meno della media EMEA che si attesta a 1,34 milioni di dollari
  • Gli esperti del team di Intelligence di CrowdStrike hanno osservato che la richiesta di riscatto media da parte dei cybercriminali è invece di 6 milioni di dollari. Gli autori delle minacce stanno riscuotendo enormi somme di denaro, ma dall’indagine emerge che le cifre ottenute non sono quelle che i gruppi criminali si aspettano. Secondo CrowdStrike questo dipende dal fatto che le aziende comprendono sempre più sia la minaccia sia la loro esposizione ed hanno acquisito una certa abilità di negoziazione con i cybercriminali.

In questo scenario CrowdStrike consiglia le aziende ad adottare la regola del “1-10-60”, dove i team di sicurezza dimostrano la loro abilità nel rilevare la minaccia durante il primo minuto dall’intrusione, analizzarla e comprenderla nell’arco di 10 minuti e contenerla e neutralizzarla entro 60 minuti. L’indagine stima che a livello mondiale le aziende intervistate impieghino oggi in media 146 ore per rilevare un incidente di sicurezza informatica, rispetto alle 117 ore del 2020.

Analizzando il campione italiano, la media scende a 112 ore, una percentuale tuttavia superiore a quella EMEA pari a 92 ore. Una volta rilevato, l’incidente richiede mediamente 7 ore per essere analizzato e 12 per essere bloccato e neutralizzato nel caso delle aziende italiane interpellate; il tempo richiesto per queste operazioni sale rispettivamente a 8 e 13 ore per il campione EMEA e a 11 e 16 per quello mondiale. Il 61% delle imprese italiane intervistate ha inoltre subito un incidente informatico a seguito del lavoro da remoto.

Infine, il reporto di CrowdStrike ha rilevato che gli autori delle minacce di eCrime sono in grado di muoversi lateralmente attraverso la rete dell’organizzazione con una media di 92 minuti. Questo segna un netto contrasto tra la velocità acquisita oggi dagli attaccanti e la lentezza dei difensori causata dal numero elevato di alert e dalla mancanza di strumenti che agevolano i flussi di lavoro integrati.

Aziende italianeRansomwareSicurezza
Aziende:
CrowdStrike
// Data pubblicazione: 11.02.2022
Condividi:
 

Attacchi DDoS: definizione, esempi e tecniche

attacchi ddos
Gli attacchi DDoS (Distributed Denial of Service) fanno parte dell’arsenale dei cybercriminali da ormai vent'anni e stanno diventando sempre più diffusi e più forti. Ecco perché bisogna conoscerli e imparare a combatterli.
Redazione DigitalWorld Italia

DigitalWorld è il magazine online per chi in azienda crea, gestisce, acquista o utilizza prodotti e servizi informatici e digitali. Con aggiornamenti quotidiani, è il punto di riferimento per notizie,... Leggi tutto

Un attacco DDoS (Distributed Denial of Service) si verifica quando uno o più aggressori tentano di rendere impossibile la fornitura di un servizio ostacolando l’accesso praticamente a qualsiasi cosa: server, dispositivi, servizi, reti, applicazioni e persino transazioni specifiche all’interno delle applicazioni. In un attacco DoS, è un sistema che invia i dati o le richieste dannosi; un attacco DDoS proviene invece da più sistemi.

In genere, questi attacchi funzionano sommergendo un sistema con richieste di dati. Potrebbe essere il caso di un server Web che riceve così tante richieste per servire una pagina che si arresta in modo anomalo in base alla domanda, oppure potrebbe essere un database colpito con un volume elevato di query. Il risultato è che la larghezza di banda Internet disponibile, la capacità della CPU e della RAM vengono sovraccaricate. L’impatto potrebbe variare da un piccolo fastidio ad applicazioni o persino a intere attività offline.

Come funzionano gli attacchi DDoS?

Le botnet DDoS sono il fulcro di qualsiasi attacco DDoS. Una botnet è costituita da centinaia o migliaia di macchine, chiamate zombie o bot, di cui un hacker malintenzionato ha acquisito il controllo. Gli aggressori raccolgono le botnet identificando i sistemi vulnerabili che possono infettare con malware attraverso attacchi di phishing, attacchi di malvertising e altre tecniche di infezione di massa. Le macchine infette possono variare da normali PC domestici o d’ufficio a dispositivi Iot (la botnet Mirai ha preso di mira un esercito di telecamere CCTV hackerate) e i loro proprietari quasi certamente non sanno che sono state infettate dal momento che continuano a funzionare normalmente nella maggior parte dei casi.

Le macchine infette attendono un comando remoto da un cosiddetto server di comando e controllo, che funge da centro di comando per l’attacco ed è spesso esso stesso una macchina hackerata. Una volta partito il comando, tutti i bot tentano di accedere a qualche risorsa o servizio che la vittima mette a disposizione online. Singolarmente, le richieste e il traffico di rete diretto da ciascun bot verso la vittima sarebbero innocui e normali. Ma poiché ce ne sono così tanti, le richieste spesso sovraccaricano le capacità del sistema di destinazione e, poiché i bot sono generalmente computer ordinari ampiamente distribuiti su Internet, può essere difficile o impossibile bloccare il loro traffico senza tagliare fuori al tempo stesso gli utenti legittimi.

Esistono tre classi principali di attacchi DDoS, distinti principalmente dal tipo di traffico che inviano ai sistemi delle vittime:

  • Gli attacchi basati sul volume utilizzano enormi quantità di traffico fasullo per sopraffare una risorsa come un sito Web o un server. Includono attacchi flood ICMP, UDP e pacchetti contraffatti. La dimensione di un attacco basato sul volume viene misurata in bit al secondo (bps).
  • Gli attacchi DDoS a livello di protocollo o di rete inviano un numero elevato di pacchetti a infrastrutture di rete e strumenti di gestione dell’infrastruttura mirati. Questi attacchi al protocollo includono SYN flood e Smurf DDoS, tra gli altri, e la loro dimensione è misurata in pacchetti al secondo (PPS).
  • Gli attacchi a livello di applicazione vengono condotti inondando le applicazioni con richieste dannose. La dimensione degli attacchi a livello di applicazione viene misurata in richieste al secondo (RPS).

Le tecniche utilizzate in tutti i tipi di attacchi DDoS includono:

  • Spoofing: mettiamo il caso che un utente malintenzionato falsifichi un pacchetto IP quando modifica o nasconde le informazioni nella sua intestazione che dovrebbero dirvi da dove proviene. Poiché la vittima non può vedere la vera fonte del pacchetto, non può bloccare gli attacchi provenienti da quella fonte.
  • Riflessione: l’attaccante può creare un indirizzo IP falsificato in modo che sembri effettivamente originato dalla vittima designata, quindi inviare quel pacchetto a un sistema di terze parti, che “risponde” alla vittima. Questo rende ancora più difficile per il bersaglio capire da dove proviene veramente un attacco.
  • Amplificazione: alcuni servizi online possono essere indotti con l’inganno a rispondere a pacchetti con pacchetti molto grandi o con pacchetti multipli.

Tutte e tre queste tecniche possono essere combinate in quello che è noto come attacco DDoS di riflessione/amplificazione, che tra l’altro è diventato sempre più comune.

Come identificare gli attacchi DDoS

Gli attacchi DDoS possono essere difficili da diagnosticare. Dopotutto, assomigliano superficialmente a un flusso di traffico proveniente da richieste legittime di utenti legittimi. Ma ci sono modi per distinguere il traffico artificiale da un attacco DDoS dal traffico più “naturale” che vi aspettereste di ottenere da utenti reali. Ecco quattro sintomi di attacco DDoS a cui prestare attenzione:

  • Nonostante le tecniche di spoofing, molti attacchi DDoS hanno origine da un intervallo ristretto di indirizzi IP o da un singolo paese o regione, forse una regione da cui normalmente non si vede molto traffico.
  • Allo stesso modo, potreste notare che tutto il traffico proviene dallo stesso tipo di client, con lo stesso sistema operativo e browser web visualizzati nelle sue richieste HTTP, invece di mostrare la diversità che vi aspettereste dai visitatori legittimi.
  • Il traffico potrebbe colpire un singolo server, porta di rete o pagina Web, piuttosto che essere distribuito uniformemente sul vostro sito.
  • Il traffico potrebbe arrivare a ondate o tramite schemi regolarmente cronometrati.

attacchi DDoS

Come fermare un attacco DDoS

Mitigare un attacco DDoS è difficile perché, come notato in precedenza, l’attacco assume la forma di traffico web dello stesso tipo utilizzato dai tuoi clienti legittimi. Sarebbe facile “fermare” un attacco DDoS sul vostro sito Web semplicemente bloccando tutte le richieste HTTP e, in effetti, potrebbe essere necessario farlo per evitare che il vostro server si blocchi. Ma ciò impedisce anche a chiunque altro di visitare il vostro sito, il che significa che gli aggressori hanno raggiunto il loro scopo.

Se riuscite a distinguere il traffico DDoS dal traffico legittimo come descritto nella sezione precedente, ciò può aiutare a mitigare l’attacco mantenendo i vostri servizi almeno parzialmente online Ad esempio, se sapete che il traffico di attacco proviene da fonti dell’Europa orientale, potete bloccare gli indirizzi IP di quella regione geografica. Una buona tecnica preventiva consiste nell’arrestare tutti i servizi esposti pubblicamente che non si stanno utilizzando. I servizi che potrebbero essere vulnerabili agli attacchi a livello di applicazione possono essere disattivati senza compromettere la vostra capacità di servire le pagine web.

In generale, tuttavia, il modo migliore per mitigare gli attacchi DDoS è semplicemente avere la capacità di resistere a grandi quantità di traffico in entrata. A seconda della situazione, ciò potrebbe significare potenziare la propria rete o utilizzare una rete di distribuzione di contenuti (CDN), un servizio progettato per ospitare enormi quantità di traffico. Il vostro provider di servizi di rete potrebbe avere i propri servizi di mitigazione che potete utilizzare.

Perché esistono gli attacchi DDoS?

A differenza di un’infiltrazione di successo, un attacco DDoS non dà il controllo sull’obiettivo che si vuole colpire. Semplicemente mette offline la sua infrastruttura informatica. Tuttavia, in un mondo in cui avere una presenza sul Web è un must per qualsiasi attività commerciale, un attacco DDoS può essere un’arma distruttiva mirata a un nemico.

Le persone potrebbero lanciare attacchi DDoS per mettere offline rivali aziendali o politici: la botnet Mirai è stata progettata come arma in una guerra tra i fornitori di server di Minecraft e ci sono prove che i servizi di sicurezza russi a un certo punto stavano preparando un attacco simile. E mentre un attacco DDoS non è la stessa cosa di un attacco ransomware, gli aggressori DDoS a volte contattano le loro vittime e promettono di cessare l’attacco in cambio di un po’ di Bitcoin.

Strumenti DDoS: Booter e stresser

A volte gli aggressori DDoS sferrano questi attacchi solo per i soldi; non soldi da voi, ma da qualcuno che vuole eliminare il tuo vostro web. Strumenti chiamati booter e stresser sono disponibili sul Dark Web ed essenzialmente forniscono DDoS-as-a-Service ai clienti interessati, offrendo a un certo prezzo accesso a botnet già pronte da attivare e “scatenare” con un semplice clic del mouse.

Un attacco DDoS è illegale?

Non è illegale inviare traffico Web o richieste su Internet a un server e quindi gli attacchi DDoS, che stanno solo aggregando una quantità enorme di traffico Web, non possono essere considerati un crimine. Questo è però un malinteso legislativo. Mettendo da parte per il momento che l’atto di hackerare un computer per renderlo parte di una botnet è illegale, la maggior parte delle leggi anti-criminalità informatica negli Stati Uniti, nel Regno Unito e in molti altri paesi criminalizza qualsiasi atto che pregiudichi il funzionamento di un computer o di un servizio online, piuttosto che specificare tecniche particolari. Tuttavia, è legale simulare un attacco DDoS con il consenso dell’organizzazione target ai fini dello stress test della propria rete.

Attacchi DDoS oggi

Come accennato in precedenza, sta diventando sempre più comune che questi attacchi siano condotti da botnet noleggiate e questa tendenza è destinata a continuare. Un’altra tendenza è l’uso di più vettori di attacco all’interno di un attacco, noto anche come Advanced Persistent Denial-of-Service (APDoS). Ad esempio, un attacco APDoS può coinvolgere il livello dell’applicazione, ma può colpire anche database e agire direttamente sul server.

Inoltre, gli aggressori spesso non prendono di mira direttamente solo le loro vittime, ma anche le organizzazioni da cui dipendono, come ISP e provider di servizi cloud. Si tratta insomma di attacchi ben coordinati, di ampia portata e ad alto impatto e quindi molto più distruttivi.

Questa tendenza sta anche modificando l’impatto degli attacchi DDoS sulle organizzazioni. Le aziende infatti non si occupano più solo di attacchi DDoS su se stesse, ma di attacchi al vasto numero di partner commerciali e fornitori su cui fanno affidamento, afferma Mike Overly, avvocato di sicurezza informatica presso Foley & Lardner LLP. “Un vecchio detto sulla sicurezza è che un’azienda è sicura solo quanto il suo anello più debole. Nell’ambiente odierno (come evidenziato da recenti violazioni), l’anello più debole può essere, e spesso è, una delle terze parti”.

Attacchi DDoSbotDDoSSicurezza
// Data pubblicazione: 02.02.2022
Condividi: