Nel corso del 2023 l’Italia si è dimostrata ancora una volta un obiettivo molto ambito dalle cybergang. Nel Bel paese, durante lo scorso anno, si è assistito a un aumento del 40% degli attacchi, rispetto ai 6000 tentativi per settimana rintracciati l’anno precedente ed effettuati da cybergang basate in Olanda, Russia e Bulgaria.
Questa la principale evidenza emersa dal report Data Gathering di CybergON, la business unit di Elmec Informatica dedicata alla cybersecurity, grazie ad un’attività di analisi e di raccolta dati su un campione di 130 aziende capogruppo divise in 9 settori merceologici. Le aziende prese in esame si suddividono in piccole, medie e grandi aziende. A partire da questo dataset sono stati mappati 976 asset, ovvero strumenti informatici utili al funzionamento efficace di un’azienda, hardware e software.
“A fronte di questa analisi possiamo affermare che si sta tracciando un nuovo panorama con le più recenti tecniche di attacco e con Paesi che stanno acquisendo sempre più rilevanza nella geografia del crimine informatico. Per l’anno in corso stiamo già osservando come stia prendendo piede, tra gli attaccanti, il trend dell’InfoStealer. Si tratta di malware progettati per rubare dati sensibili da dispositivi compromessi, incluse credenziali di accesso e documenti che operano tramite e-mail infette, download dannosi o sfruttando vulnerabilità del software. Una volta installati, raccolgono informazioni e le inviano a server controllati dai cybercriminali. Gli attacchi DDoS, in aggiunta, continuano a occupare un posto predominante nello scenario del cybercrime diventando più frequenti e sofisticati” ha commentato Elisa Ballerio, Marketing Director di CybergON.
Quando si concentrano gli attacchi
Dal monitoraggio della media settimanale degli asset, si evince una tendenza crescente direttamente proporzionale alla dimensione della realtà aziendale: infatti, le grandi realtà hanno il doppio degli asset delle medie imprese e poco più del quadruplo delle piccole aziende.
L’andamento del cybercrime aumenta gradualmente dall’inizio fino alla fine dell’anno, con due picchi: ad aprile e a settembre. Nel mese di aprile 2023 ricorrevano le vacanze pasquali e proprio a quel particolare periodo risale la maggior quantità di tentativi di attacchi; a settembre invece ogni anno è previsto il grande ritorno dei lavoratori nelle aziende e quindi una ripresa del lavoro a pieno ritmo. CybergON ne ha quindi dedotto che i momenti di maggior interesse per gli attaccanti corrispondono al ritorno dalle festività o comunque da periodi di interruzione delle attività.
Da dove partono gli attacchi: nuovi Paesi nella lista
Nell’ambito della ricerca sul panorama attuale della cybersecurity in Italia, CybergON ha raccolto i dati settimanali degli IP bloccati dal firewall, identificando le Nazioni da cui partono più attacchi.
Nel 2023 Azerbaigian, Russia e Olanda hanno dimostrato di essere i Paesi più “pericolosi”, a causa del gran numero di connessioni pericolose che riportano.
In particolare, a seconda della dimensione aziendale, per le grandi aziende sono stati rilevati in media 6000 tentativi di attacchi per settimana da parte di Olanda, Russia e Bulgaria, seguiti dai 5865 che arrivano dall’Azerbaigian. Si segnalano inoltre nuovi protagonisti, finora assenti nella lista dei Paesi con connessioni pericolose: Hong Kong e Israele.
Per le medie imprese il valore è pari a 200 tentativi di attacchi per settimana da parte di Azerbaigian, Russia e Olanda, e, infine, per le piccole imprese, il valore va da una scala da 1 a 27 da parte di Cina, Stati Uniti, Olanda, Emirati Arabi Uniti e, sorprendentemente, la Svizzera.
Vulnerabilità e remediation
Un altro interessante aspetto emerso da questa ricerca riguarda il monitoraggio delle vulnerabilità rilevate dai tool di Vulnerability Assessment (VA) di CybergON: le vulnerabilità rappresentano dei veri e propri punti di accesso all’infrastruttura informatica di un’azienda che sono lasciati scoperti. Ne sono state identificate di due tipi, high e critical. Nel 2023 per le piccole aziende sono state rilevate 146 vulnerabilità di tipo alto, per le medie 89, per le grandi 109: dunque, nelle piccole realtà aziendali è stato registrato un numero maggiore di vulnerabilità “high”, ad alta criticità. Le vulnerabilità critiche sono 237 per le piccole aziende, 98 per le medie e 188 per le grandi:
In aggiunta, facendo riferimento ai tempi di remediation, ovvero il tempo necessario a sanare una vulnerabilità affinché questa non sia sfruttata per la realizzazione di un attacco informatico, anche in questo caso si possono distinguere due diverse tipologie di remediation, ovvero critiche o alte. Le vulnerabilità di tipo alto richiedono un tempo di remediation di 103 giorni, mentre le vulnerabilità di tipo critico ne richiedono 148.
