Sebbene l’impatto del conflitto russo-ucraino sul settore informatico si sia relativamente ridotto negli ultimi mesi, il panorama delle minacce è tornato a una situazione di “normalità”. Questa nuova normalità è caratterizzata da un incremento nei cyberattacchi, come rileva questo report evidenziando il ricorso a nuove tattiche di evasione, frequenti attacchi frutto di hacktivismo e una valanga quotidiana di ransomware diretto contro numerose organizzazioni. Nonostante l’attenuazione degli effetti prodotti dal conflitto sul settore delle cyberminacce, la persistenza di questi pericoli sottolinea la costante necessità di una maggiore vigilanza e di robuste contromisure in grado di neutralizzare l’ininterrotta pressione di cyberattacchi in continua evoluzione.
Negli ultimi mesi CPR ha seguito da vicino i casi di un APT di matrice cinese rivolto contro enti governativi, di malware che si nascondeva dietro app dall’aspetto legittimo, di una nuova versione di un tool di spionaggio cinese diffuso attraverso dispositivi USB e di un firmware pericoloso impiantato su router Internet.
I cybercriminali, inoltre, continuano a sfruttare la rivoluzione dell’Intelligenza Artificiale, estendendo le limitazioni delle piattaforme di IA generativa come ChatGPT4.
Cyberattacchi globali complessivi – Il valore più alto rilevato da Check Point Research negli ultimi due anni
Nel secondo trimestre del 2023 è stato registrato un incremento dell’8% nella media globale dei cyberattacchi settimanali rispetto all’anno precedente.
Il numero medio di incidenti settimanali ha raggiunto la punta di 1258 eventi per organizzazione, il valore più alto rilevato da Check Point Research nell’ultimo biennio.
Cyberattacchi per settore: Scuola / Ricerca il comparto più colpito; significativo aumento nella media settimanale per la Sanità
Durante il secondo trimestre del 2023 è il settore Scuola/Ricerca quello che ha registrato il più alto numero di cyberattacchi con una media di 2179 incidenti settimanali per organizzazione, ma seppur preoccupante, questo dato rappresenta una flessione del 6% rispetto allo stesso trimestre del 2022. In seconda posizione il settore Pubblica Amministrazione/Forze Armate con una media di 1772 eventi alla settimana, dato che rappresenta un incremento del 9% rispetto al medesimo periodo di un anno fa. Segue a brevissima distanza il settore della Sanità con una media di 1744 cyberattacchi settimanali che si traducono in un significativo incremento del 30% anno su anno.
Cyberattacchi complessivi per area geografica: Africa & APAC le regioni più colpite
Nel corso del secondo trimestre 2023, l’Africa ha totalizzato la media settimanale più alta di cyberattacchi per organizzazione con 2164 incidenti, valore che corrisponde a un aumento del 23% rispetto allo stesso trimestre del 2022. Anche la regione APAC ha visto aumentare del 22% il numero medio di eventi settimanali per organizzazione da un anno all’altro arrivando a una media di 2046.
| Area geografica | Media settimanale di cyberattacchi per organizzazione | Variazione anno su anno |
| Africa | 2164 | +23% |
| APAC | 2046 | +22% |
| Nordamerica | 1011 | +18% |
| America Latina | 1745 | +9% |
| Europa | 1013 | +5% |
Attacchi ransomware per area geografica:
Nel secondo trimestre del 2023, 1 organizzazione su 44 a livello mondiale è stata colpita da un attacco ransomware: un dato che rappresenta però una riduzione del 9% rispetto al secondo trimestre del 2022, quando 1 organizzazione su 40 aveva dovuto affrontare incidenti di questo genere. APAC ed Europa hanno visto incrementare significativamente gli attacchi ransomware da un anno all’altro, con aumenti rispettivamente del 29% e del 21%. Segue il Nordamerica con un aumento del 15% anno su anno.
| Area geografica | Proporzione organizzazioni attaccate (1:X) | Variazione anno su anno |
| APAC | 1 su 26 | +29% |
| Europa | 1 su 54 | +21% |
| Nordamerica | 1 su 94 | +15% |
| Africa | 1 su 30 | -30% |
| America Latina | 1 su 26 | -12% |
Attacchi ransomware globali per settore: i cybercriminali sono interessati a enti pubblici e militari
Nel secondo trimestre del 2023, il settore Pubblica Amministrazione/Forze Armate è stato quello bersagliato dal più alto numero di attacchi ransomware che hanno colpito 1 organizzazione su 25, con un lieve calo del 4% rispetto all’anno scorso. Al secondo posto il settore della Sanità con 1 organizzazione su 27 colpita, una proporzione che rappresenta un aumento del 16%da un anno all’altro. A poca distanza il settore Scuola/Ricerca con 1 organizzazione su 31 presa di mira dal ransomware per una flessione del 2% rispetto all’anno precedente.
| Settore | Proporzione organizzazioni attaccate (1:X) | Variazione anno su anno |
| Consulenza | 1 su 38 | 128% |
| Legale/Assicurativo | 1 su 47 | 71% |
| Utility | 1 su 37 | 60% |
| Trasporti | 1 su 49 | 43% |
| Tempo libero/Turismo | 1 su 55 | 41% |
| Servizi bancari/finanziari | 1 su 31 | 33% |
| Comunicazioni | 1 su 37 | 24% |
| Sanità | 1 su 27 | 16% |
| SI/VAR/Distributori | 1 su 41 | 15% |
| Produttori software | 1 su 65 | 13% |
| Produttori hardware | 1 su 73 | 7% |
| ISP/MSP | 1 su 36 | 2% |
| Industria | 1 su 48 | 0.30% |
| Scuola/Ricerca | 1 su 31 | -2% |
| Pubblica amministrazione/ Forze armate | 1 su 25 | -4% |
| Retail/Grossisti | 1 su 60 | -11% |
Consigli di cybersicurezza:
- Patch sempre aggiornate: Mantenere computer e server sempre aggiornati applicando le patch di sicurezza, in particolare quelle evidenziate come critiche, può contribuire a limitare la vulnerabilità ai cyberattacchi.
- Corsi di cyber awareness: Una formazione frequente per sensibilizzare sui temi della cybersicurezza è essenziale per proteggersi dagli attacchi informatici. Questi corsi dovrebbero insegnare agli utenti a:
- Non fare click sui link pericolosi
- Non aprire mai allegati inattesi o sospetti
- Evitare di rivelare dati personali o sensibili ai phisher
- Verificare la legittimità del software prima di scaricarlo
- Mai collegare al computer un dispositivo USB sconosciuto
- Rafforzare l’autenticazione utente: i cybercriminali sfruttano normalmente Remote Desktop Protocol (RDP) e tool simili per stabilire un accesso remoto ai sistemi colpiti utilizzando credenziali di login sottratte o indovinate per tentativi. Una volta entrati, gli autori di questi attacchi informatici possono installare e lanciare in esecuzione codice ransomware su una macchina crittografando tutti i file residenti al suo interno. Questo potenziale vettore di cyberattacco può essere neutralizzato mediante sistemi di autenticazione forte degli utenti. Una policy che imponga l’uso di password forti con autenticazione multi-fattore e la sensibilizzazione del personale sugli attacchi di phishing studiati per sottrarre le credenziali di accesso sono componenti essenziali della strategia di cybersicurezza di un’organizzazione.
- Mantenere aggiornato il software: a volte i cybercriminali scoprono un punto di ingresso nelle app e nel software dei loro obiettivi, ne identificano le vulnerabilità e quindi le sfruttano. Per fortuna vi sono sviluppatori che ricercano attivamente le vulnerabilità ancora sconosciute per neutralizzarle con delle patch. Per poter usare queste patch occorre possedere una strategia di gestione delle stesse, ed essere certi che tutti i membri del team siano costantemente aggiornati con le versioni più recenti.
- Prevenire è meglio che neutralizzare: molti sostengono che prima o poi i cyberattacchi avvengano e non ci sia modo di evitarli, quindi l’unica cosa che resta da fare è investire in tecnologie capaci di rilevare l’evento una volta che la rete sia stata violata per mitigare i danni prima possibile. La realtà è ben diversa. Non solo è possibile bloccare i cyberattacchi, ma addirittura prevenirli. Muniti delle giuste tecnologie, la maggior parte degli attacchi informatici, anche quelli più avanzati, possono essere evitati senza interrompere il normale flusso del business.
- Soluzioni anti-ransomware: alcuni operatori specializzati in ransomware preparano accuratamente email di spear phishing altamente mirate usandole come vettore di attacco. Sono messaggi che possono trarre in inganno anche il dipendente più attento, con la conseguenza che il ransomware riesce ad accedere ai sistemi interni di un’organizzazione. Proteggersi da questo ransomware che “scivola attraverso le crepe” richiede una soluzione di sicurezza specializzata. Per raggiungere i propri obiettivi, il ransomware deve poter effettuare determinate azioni anomale come aprire e crittografare una grande quantità di file. Le soluzioni anti-ransomware monitorano i programmi presenti su un computer cercando i comportamenti sospetti che vengono normalmente tenuti dal ransomware; appena emergono questi comportamenti, il software può entrare in azione per fermare il processo di crittografia prima che i danni possano estendersi.
