NEWS > 20 Aprile
DUEMILA23

Cybersecurity: Cisco readiness index 2023, ‘in Italia solo 7% aziende in grado di difendersi’

In Italia solo il 7% delle aziende ritiene di essere in grado di difendersi da un attacco informatico, rispetto al...

IN QUESTO ARTICOLO

In Italia solo il 7% delle aziende ritiene di essere in grado di difendersi da un attacco informatico, rispetto al 15% delle imprese a livello globale. E’ quanto emerge dal ‘Cybersecurity readiness index 2023’, il primo rapporto realizzato da Cisco per misurare la preparazione e la resilienza delle aziende nei confronti della criminalità informatica. Per realizzare l’analisi sono stati presi come criteri di misurazione 5 pillar, che costituiscono la principale linea di difesa di un’azienda: Identità, Dispositivi, Sicurezza della rete, Carichi di lavoro applicativi, Dati. Ciascuno di essi comprende a sua volta 19 diverse soluzioni. L’indagine inoltre è stata condotta su un campione di 6.700 professionisti provenienti da 27 Paesi, fra cui l’Italia, che operano nell’ambito della cybersecurity: ad essi è stato chiesto di indicare quali sono le soluzioni finora adottate e qual è il loro attuale status. Al termine dell’indagine le aziende sono state classificate in quattro gradi di preparazione: Principiante, Formativo, Progressivo, Maturo.E il risultato emerso è che in Italia solo il 7% delle aziende è nella fase Matura mentre l’8% si trova ancora in quella Principiante e il 61% in quella Formativa: una preparazione in materia di cybersecurity molto inferiore alla media. A livello globale invece, le aziende in uno stadio Maturo sono il 15%. Il 75% degli intervistati si aspetta inoltre nei prossimi 12-24 mesi un’interruzione della propria attività a causa di un attacco informatico, mentre il 31% ha dichiarato di averne subito uno nel corso dell’ultimo anno.

Essere impreparati può costare caro: il 25% delle aziende colpite ha dovuto spendere almeno 500.000 dollari per riprendere il controllo della propria attività. Per questo l’87% degli intervistati prevede di aumentare il proprio budget per la sicurezza di almeno il 10% nei prossimi 12 mesi.

“L’errore più grande da parte delle aziende è quello di difendersi dagli attacchi informatici utilizzando un mix di strumenti -spiega Jeetu Patel, executive vice president and general manager of security and collaboration at Cisco-. Occorre invece considerare piattaforme integrate, grazie alle quali le aziende possono raggiungere un grado di resilienza sufficiente colmando allo stesso tempo il loro gap di preparazione nei confronti della cybersecurity”.

Il nuovo report Swascan analizza i più noti tra questi strumenti di attacco cibernetico. Dal solo NotPetya danni per oltre 10 miliardi di dollari in tutto il mondo

I malware della classe wiper costituiscono la nuova grave minaccia per la sicurezza informatica di aziende e amministrazioni in tutto il mondo. Progettati per cancellare i dati presenti sui sistemi informatici infettati con danni irreparabili alle attività aziendali e alle istituzioni pubbliche, questi strumenti di cyberattacco sono al centro del nuovo report Swascan (Gruppo Tinexta) appena pubblicato con il patrocinio di Assintel e di Ecso – European Cyber Security Organization.

Dal devastante NotPetya, utilizzato a partire dal 2017 colpendo organizzazioni in diversi settori in più di 65 paesi con danni per oltre 10 miliardi di dollari in tutto il mondo, ai più recenti e letali AcidRain, WhisperKill e IsaacWiper, sviluppati e usati nel corso del conflitto russo-ucraino per mettere fuori uso le infrastrutture digitali di Kiev, sono una quindicina i wiper presi in esame in questa dettagliata analisi tecnica, che rivela la pericolosità di questi strumenti di vera e propria guerra informatica attraverso la puntuale e precisa disamina del loro funzionamento.

“L’antenato di quello che oggi come conosciamo come wiper era stato presumibilmente utilizzato nel 2012 in una serie di attacchi contro compagnie iraniane. Ma il primo vero e proprio malware con capacità wiper è stato Shamoon, attivo tra il 2012 e il 2016. Uno degli attacchi più diffusi, invece, risale al giugno 2017 con la famigerata ondata di infezioni NotPetya”. Ma il decisivo incremento di questi attacchi letali è avvenuto con il conflitto russo-ucraino. “Diverse organizzazioni e infrastrutture critiche in Ucraina – si legge infatti nel rapporto – sono state colpite da questa ondata di NotPetya, compresi i sistemi di monitoraggio delle radiazioni della centrale nucleare di Chernobyl. In particolare, il 24 febbraio 2022 il virus wiper chiamato AcidRain è stato utilizzato in un attacco informatico contro il servizio Internet satellitare di Viasat, che ha interessato diversi paesi, tra cui l’Italia”.

“SwiftSlicer, scoperto dai ricercatori di Fortinet il 25 gennaio 2023 – riporta ancora l’analisi di Swascan – è stato utilizzato per condurre un attacco informatico ad infrastrutture ucraine. Questo virus non ha come obiettivo il riscatto o la monetizzazione, ma solo la distruzione dei dati e il sabotaggio dei sistemi informatici. Il giorno prima dell’invasione dell’Ucraina da parte delle forze russe, il 24 febbraio 2022, è stato scoperto un nuovo wiper scatenato contro una serie di entità ucraine, conosciuto con il nome di “HermeticWiper”, basato su un certificato digitale rubato da un’azienda chiamata Hermetica Digital Ltd”.

Il rapporto presenta in una efficace tabella sintetica i dettagli relativi ai 13 wiper più noti attualmente in uso: Shamoon, il primo a essere utilizzato nel 2012 per attaccare le compagnie petrolifere Saudi Aramaco e RasGas; il nordcoreano Dark Seoul, che ha reso inutilizzabili circa 30.000 computer nei settori dei media e dei servizi finanziari della Corea del Sud; il già citato russo NotPetya; il nordcoreano Olympic Destroyer, mirato a ostacolare i servizi informatici delle Olimpiadi invernali del 2018 in Corea del Sud; Ordinypt/GermanWIper, che nel 2019 ha preso di mira le organizzazioni tedesche; l’iraniano Dustman, che nel 2019 ha attaccato la compagnia petrolifera nazionale del Bahrein; ZeroCleare, che nel 2020 ha preso di mira le aziende energetiche del Medio Oriente; i russi WhisperKill, WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper, DoupleZero e AcidRain che in varie fasi nel 2022 hanno colpito istituzioni e imprese ucraine.

L’indagine identifica tre principali “use case” di utilizzo dei wiper: spionaggio, sabotaggio e diversivo. La modalità di spionaggio prevede l’utilizzo dei wiper per rubare informazioni sensibili o segrete da un sistema informatico infetto. In questo caso, gli aggressori utilizzano il malware per eliminare le tracce del loro accesso ai sistemi dell’organizzazione, impedendo agli investigatori di scoprire come l’attacco sia stato effettuato e quali dati siano stati rubati. Non deve esser escluso neppure il suo impiego per attacchi false flag. In questo caso, un attore potrebbe utilizzare un malware wiper per condurre un attacco e far credere che sia stato perpetrato da un altro attore.

La modalità di sabotaggio prevede l’utilizzo dei wiper per distruggere o danneggiare l’infrastruttura informatica di un paese o di un’organizzazione. In questo caso, gli attaccanti utilizzano il malware per cancellare o danneggiare i dati critici o le infrastrutture informatiche, causando gravi danni all’organizzazione o al paese colpito. Infine, la modalità diversiva prevede l’utilizzo dei wiper per mascherare altri attacchi informatici o per depistare gli investigatori. In questo caso, gli aggressori utilizzano il malware per eliminare le tracce dei loro veri obiettivi e delle loro attività, inducendo gli investigatori a seguire false piste e impedendo loro di scoprire l’attacco reale.

“Gran parte dei malware wiper visti nella prima metà del 2022 – dichiara il Ceo di Swascan, Pierguido Iezzi – è stato distribuito contro organizzazioni ucraine. La crescita del malware wiper durante un conflitto non è una sorpresa. È difficile monetizzare, dunque si punta sulla distruzione, il sabotaggio e la guerra informatica. Piuttosto che essere utilizzato in modo isolato, un wiper viene spesso utilizzato nel contesto di un attacco più ampio. I wiper sono diventati di portata globale e un punto fermo nell’arsenale dei gruppi APT, segnando un cambiamento nel modo in cui gli Stati operano e conducono le operazioni informatiche”.

“Ma non solo, a breve potremmo assistere al loro impiego anche da parte di gruppi di hacktivisti, in lieu di braccio armato di attori ben più ‘pesanti’ sul piano internazionali. Non è infatti neppure escludibile un coinvolgimento degli stati nella promozione o nel supporto di gruppi hacktivisti. Questi potrebbero sfruttare i gruppi hacktivisti, come strumento di politica estera (nuova forma di sharp power), fornendo loro supporto logistico, finanziario o tecnico per condurre attacchi wiper contro avversari o obiettivi di interesse strategico. – ha concluso Iezzi -Un convergere di scenari in cui questo strumento potrebbe diventare potenzialmente ancora più distruttivo delle armi digitali già impiegate dagli attori attivi adesso sul palcoscenico geopolitico internazionale. Possibili sviluppi che vanno attenzionati da vicino per riuscire ad anticipare possibili conseguenze disastrose in caso di attacco”.

CONDIVIDI

Leggi Anche