Attacchi informatici in Italia: ACN pubblica il quarto report di CSIRT

Meno incidenti cibernetici, più vittime. È questa la situazione relativa al nostro Paese registrata nel mese di agosto 2024 e analizzata da CSIRT Italia, articolazione tecnico-operativa dell'Agenzia per la Cybersicurezza Nazionale (ACN). I dati sono stati pubblicati di recente nel quarto Operational Summary realizzato dal Computer Security Incident Response Team, un report mensile che documenta lo stato delle minacce cibernetiche in Italia, nonché fornisce indicazioni per interpretare e comprendere il fenomeno e il loro andamento nel tempo, con lo scopo di rafforzare i livelli di prevenzione sulla base della conoscenza degli eventi accaduti. CSIRT Italia, oltre a svolgere la funzione di hub nazionale per la ricezione delle notifiche di incidente, si occupa altresì delle attività di natura reattiva agli incidenti e costituisce l'interfaccia con i soggetti esterni ai quali, oltre a fornire supporto in caso di incidente informatico, indirizza i prodotti di allertamento preventivo sulle minacce e delle relative attività di mitigazione. I dati del report Secondo le rilevazioni di CSIRT Italia, nell'agosto 2024 sono stati individuati 122 eventi cyber, in diminuzione del 29% rispetto al mese di luglio. Nello specifico, per “evento cyber” si intende un avvenimento con potenziale impatto su almeno un soggetto nazionale, ulteriormente analizzato e approfondito, per il quale, in base alle circostanze, lo CSIRT Italia dirama alert e/o supporta, eventualmente anche in loco, i soggetti colpiti. Qualora fosse confermato l'impatto, l'evento cyber viene poi considerato incidente. Ebbene, ad agosto 2024 questi eventi hanno avuto un impatto su 242 soggetti nazionali, di cui 193 appartenenti alla cosiddetta ‘constituency', ovvero l'insieme dei soggetti operanti nei settori NIS, PA, Perimetro e Telco nei confronti dei quali il CSIRT Italia offre servizi e supporto in termini di prevenzione, monitoraggio, rilevamento, analisi e risposta al fine di prevenire e gestire gli eventi cibernetici. I restanti hanno riguardato invece cittadini e società private operanti in settori non critici. Dei 122 eventi cyber, 41 sono stati classificati poi quali incidenti, in diminuzione del 52% rispetto a luglio. In generale, i settori che hanno registrato il maggior numero di incidenti nel periodo considerato sono stati quello dell'Università e della Ricerca, della Pubblica amministrazione centrale e del settore tecnologico. In particolare, l'aumento nel settore Università e ricerca è dovuto al rilevamento di un dataleak, cioè la divulgazione dei dati dovuta a un errore umano, pubblicato su un forum criminale e che ha avuto impatti su oltre 60 soggetti. Quanto alle tipologie di malware più diffuse in Italia nell'agosto 2024, CSIRT Italia ha rilevato: Banker, software progettati per rubare credenziali bancarie; RAT (Remote Access Trojan), software che consentono il controllo remoto dei dispositivi; Loader, software che servono a scaricare ulteriori malware. Ampliando lo sguardo all'Europa, invece, le tipologie di malware più diffuse sono state Banker, RAT e Coin-Miner, i quali sfruttano le risorse dei computer per il mining di criptovalute. L'Operational Summary registra anche le vulnerabilità della sicurezza informatica. Ad agosto 2024 sono state pubblicate 2.885 nuove CVE (Common Vulnerabilities or Exposers), in diminuzione (−276) rispetto a luglio. Di queste, 538 presentano almeno un Proof of Concept (PoC), vale a dire una prova di fattibilità, in aumento (+279) e per 12 CVE è stato rilevato lo sfruttamento attivo, in aumento (+3) rispetto a luglio. Nel periodo considerato, gli alert sulle vulnerabilità oggetto di pubblicazione sul sito del CSIRT Italia sono stati 43. Il report indica altresì i gruppi tecnologici criminali più attivi e, infatti, il monitoraggio di fonti aperte nel mese di agosto 2024 ha permesso di individuare 14 rivendicazioni di attacchi Ransomware a danno di soggetti italiani. I gruppi più attivi per numero di rivendicazioni DDoS sono stati NoName057(16) e hack_n3t, mentre quelli più attivi per numero di rivendicazioni Ransomware sono stati HuntersInternational e CiphBit. Tipologie di minacce Infine, analizzando il report, emergono ben chiare le tipologie di minacce informatiche rilevate negli eventi cyber nel periodo preso in esame. Le più frequenti riguardano l'Information Disclosure, quindi un tipo di attacco mirato ad acquisire informazioni specifiche del sistema di un sito web, tra cui dati su utenti o informazioni finanziarie, dati commerciali o aziendali sensibili, così come il phishing, l'uso non autorizzato del marchio o del logo per scopi fraudolenti (Brand Abuse) e il ransomware. A seguire le compromissioni da malware, l'esfiltrazione di dati (un movimento non autorizzato di dati), lo smishing (phishing tramite sms) e il DDoS (Distributed Denial of Service), ovvero un attacco da parte di un gran numero di dispositivi per compromettere la disponibilità di un sistema mediante esaurimento delle sue risorse di rete, elaborazione o memoria. Rilevate altresì minacce derivate da misconfiguration (vulnerabilità dovuta a configurazioni poco attente alla sicurezza che abbassano il livello di protezione di un sistema), spear phishing (campagne di phishing mirate a specifici utenti, spesso con contenuti personalizzati in base alle vittime e attuate anche tramite i social network), defacement (modifica non autorizzata del contenuto del sito web), sfruttamento delle vulnerabilità e tentativi di intrusione tramite credenziali. Meno frequenti, infine, le scansioni del sistema per trovare vulnerabilità, gli APT – Adavanced Persistent Threat (attacchi su vasta scala, attraverso molteplici vettori e per periodi di tempo molto estesi effettuati da criminali molto esperti), la diffusione di malware per e-mail, la compromissione della casella di e-mail, il cybersquatting (la registrazione di un nome di dominio simile a quello di un'organizzazione o di una persona nota senza autorizzazione) e il typosquatting (registrare nomi di dominio scritti in modo volutamente errato per dirottare utenti su siti web fraudolenti). ...