È stato pubblicato oggi il Report sugli attacchi informatici, le minacce e le vulnerabilità relativi all'ultimo trimestre 2022, realizzato dagli esperti di Cyber Threat Intelligence del Global SOC (Security Operation Center) di Leonardo. Il SOC, a cui è dedicato un articolo del numero di Focus in edicola, è il centro di eccellenza dell'azienda per la cyber security: dal 2014 opera notte e giorno per difendere istituzioni, aziende private e infrastrutture strategiche dalla minaccia cibernetica.
L'analisi su quanto avvenuto tra ottobre e dicembre 2022 ci restituisce il quadro di una minaccia in continua evoluzione, ma con una costante: l'uomo è l'anello debole della catena della cyber security. In altre parole, il livello di consapevolezza dei rischi e di conoscenza delle tecniche principali utilizzate dai cybercriminali, purtroppo, non è ancora sufficiente.
Vittima e carnefice. Ed è così che le tecniche di "social engineering" continuano a ottenere con l'inganno informazioni e dati personali. Capita anche che la vittima dell'attacco diventi inconsapevolmente attore dell'attacco stesso, notano gli esperti di Leonardo. È quanto avvenuto ad esempio con la campagna di "callback phishing" perpetrata dal gruppo Luna Moth, che è costata centinaia di migliaia di dollari ad aziende di diversi settori. Nel callback phishing è la vittima stessa a essere indotta con l'inganno a installare un applicativo malevolo interagendo direttamente con i criminali: riceve ad esempio una mail, con allegata fattura, in cui si dice che l'abbonamento a un servizio (mai richiesto) è in scadenza con rinnovo automatico; nel messaggio si trova un numero di telefono da contattare per disdire la sottoscrizione. Il call center è però gestito da cybercriminali che guidano l'inconsapevole utente nello scaricamento di un software che, viene detto loro, dovrebbe annullare l'abbonamento, e in realtà ruba loro dati e informazioni.
Questa tecnica è stata utilizzata negli ultimi mesi del 2022 anche nell'ambito di un'altra campagna malevola che ha colpito utenti italiani di banche online. Lo scopo della campagna è stato acquisire credenziali di accesso ai portali bancari e distribuire il trojan Android "Copybara", con il quale poter eseguire una moltitudine di azioni intrusive e commettere frodi.
Vecchie conoscenze. Un'altra conferma che emerge dal Cyber Threat Snapshot di Leonardo è che i cosiddetti ransomware, del tutto nuovi o aggiornati con nuove tattiche, tecniche e procedure, sono ancora il malware maggiormente diffuso. Il ransmoware, è ormai noto, è quella specie di "virus informatico" che agisce criptando i dati degli utenti e chiedendo un riscatto per rilasciarli.
E proprio come i virus che attaccano il corpo umano, è interessato a vere e proprie "mutazioni".
Gli esperti di Leonardo segnalano in particolare alcune tecniche utilizzate nell'ultimo trimestre 2022 per far evolvere i ransomware già esistenti e noti e permettere dunque loro di eludere i sistemi di identificazione della minaccia: si va dalla riprogrammazione in Rust, un linguaggio multipiattaforma che facilita l'adattamento del malware a diversi sistemi operativi come Windows e Linux, alla crittografia intermittente - nuovo metodo che non cifra tutti i dati, ma si limita solo ad alcune parti dei file, aumentando notevolmente la velocità dell'attacco senza ridurne l'efficacia - al timestomping, una tecnica che fa apparire i file come creati al di fuori dell'arco temporale dell'incidente, spesso di anni, rendendo molto più difficile la rilevazione dell'attacco.