cyberattacchi

Non è una novità, ma c’è ancora chi si lascia imbrogliare da messaggi sms da numeri sconosciuti che iniziano con un “Ciao papà” oppure “ciao mamma”, e segnalano poi “ho rotto il telefono”, “mi è caduto il telefono” o “ho perso il telefono” ed invitano a richiamare o mandare un messaggio su un altro numero.

Si tratta potenzialmente di una truffa, come magari è capitato di sentirsi dire da qualche conoscente che ha ricevuto sms simili benché non abbia figli, e la polizia postale ha già avvertito l’anno scorso che “se ricevi un messaggio da tuo figlio che ti avvisa di avere rotto il telefono e ti chiede di salvare il suo nuovo numero tra i contatti della rubrica, potrebbe trattarsi di una truffa” e che “al primo messaggio seguiranno richieste insolite di denaro, la ricarica di una carta prepagata, le credenziali per accedere al conto corrente”.

Pare superfluo dire a qualsiasi genitore di richiamare la persona che dice di non poter più usare il telefonino sul numero di quello stesso telefonino, così da verificare immediatamente che a rispondere sia la persona che si conosce come titolare di quel numero e che dunque il telefonino non è rotto o smarrito. Più opportuno è forse dire di non rispondere mai, per quanta agitazione possa indurre il messaggio ricevuto, al numero di provenienza del messaggio stesso e, anzi, di cancellare completamente quel numero (se possibile, dopo averlo inserirlo prima nella black list dei numeri dai quali non si possa essere contattati). Ovviamente se il messaggio contiene dei link, occorre guardarsi bene dal cliccarci sopra.

È vero infatti che da un sms o da uno scambio via WhatsApp nessuno può rubare nulla, ma rispondere può permettere al cybercriminale di costruire una storia credibile (perché magari arriva a conoscere il nome di un figlio, di un genitore, un indirizzo, la sede di lavoro e così via) su cui basare possibili e prevedibili futuri attacchi.

Chiunque, che abbia intuito la truffa oppure no, può contattare la polizia e segnalarlo (basta che sia polizia, non è necessario che sia specificamente polizia postale).

L’Istituto per lo studio della guerra (Isw) ha affermato, citando immagini satellitari e canali Telegram ucraini, che le forze russe stanno assemblando una barriera di vagoni ferroviari che si estende per 30 chilometri nell’oblast di Donetsk. La barriera, soprannominata il «treno dello zar» e costruita con oltre 2.100 vagoni merci, servirebbe come linea difensiva contro futuri assalti ucraini. Dalle immagini satellitari la linea di vagoni ferroviari si estende da Olenivka, a sud della città di Donetsk, a Volnovakha, a nord di Mariupol.

La barriera che, secondo una fonte ucraina – come riporta l’Isw -, sarebbe stata assemblata a partire da luglio 2023, sembrerebbe essere una nuova linea difensiva russa, ma per l’Istituto le forze di occupazione potrebbero avere in mente «altri scopi».

La mire russe non si fermano però solo al territorio ucraino.  E’ di questi giorni la notizia di cyberattacchi da parte del gruppo filorusso Noname contro siti italiani “in supporto agli agricoltori che stanno protestando”.

Ad aiutare i Noname altre tre gruppi: Folk’s CyberArmy, 22C e CyberDragon. Si tratta di attacchi di tipo Ddos (Distributed denial of service) che consistono nell’inviare un’enorme quantità di richieste al sito web obiettivo che, non potendo gestirle, non è in grado di funzionare correttamente. L’Agenzia per la cybersicurezza nazionale sta monitorando la situazione che al momento sembrerebbe gestibile. Sul canale Telegram di Noname si legge: “Gli agricoltori sono stanchi delle politiche sbagliate delle autorità italiane, che sponsorizzano con tutte le loro forze il regime criminale di Zelenskyj e non cercano nemmeno di risolvere i problemi interni del Paese, fregandosi dei propri cittadini. Gloria alla Russia!”. Tra gli obiettivi che gli hacker sostengono di aver colpito, ci sono l’Agenzia del demanio, Credem, Bper, le aziende del trasporto pubblico di Siena, Torino, Palermo Cagliari e Trento. La Polizia postale sta lavorando con l’Agenzia per ripristinare la funzionalità dei siti colpiti, tra i quali quelli dell’Esercito, del Sistema centralizzato di identificazione automatizzata Siac della Difesa, dell’azienda A2A, della fatturazione elettronica verso l’Amministrazione dello Stato, del servizio di pagamento delle tasse on line dell’Agenzia delle entrate.

Rappresentanti ad alto livello in materia di cibersicurezza degli Stati membri dell’UE, della Commissione e dell’Agenzia dell’UE per la cibersicurezza (ENISA) partecipano a un’esercitazione a livello operativo della durata di due giorni, il cosiddetto “Blue OLEx 2023”, per verificare la preparazione dell’UE in caso di crisi informatica. L’esercitazione è organizzata nel quadro della rete delle organizzazioni di collegamento per le crisi informatiche, o “EU-CyCLONe”.

La rete EU-CyCLONe contribuisce all’attuazione del piano d’azione della Commissione per una rapida risposta alle crisi o agli incidenti di cibersicurezza transfrontalieri su larga scala. La rete integra le strutture di cibersicurezza dell’UE, fornendo un collegamento tra la cooperazione a livello tecnico, mediante un gruppo di risposta agli incidenti di cibersicurezza, e quella a livello politico, ad esempio mediante i dispositivi integrati

per la risposta politica alle crisi, il meccanismo di risposta alle crisi dell’UE che favorisce un processo decisionale rapido e coordinato a livello politico in caso di crisi gravi e complesse.

I partecipanti discuteranno inoltre di questioni strategiche di politica informatica, in particolare di come definire un quadro coerente per la gestione delle crisi a livello dell’Unione.

Nella nuova fase di «guerra cibernetica diffusa” degli ultimi dodici mesi nel mirino è finita anche l’Italia: sono stati registrati 188 attacchi informatici, con un aumento del 169% rispetto al 2021. Incremento a 3 cifre rispetto alla media mondiale del +21%. La pressione maggiore è sul settore governativo e sulle aziende manifatturiere del Made in Italy. E’ lo scenario che emerge dal Rapporto annuale del Clusit, l’Associazione Italiana per la Sicurezza Informatica.

Secondo i ricercatori del Clusit “il 2022 è stato l’anno peggiore di sempre sul fronte della sicurezza informatica”. A livello mondiale – l’analisi è condotta su 148 paesi – si sono registrati 2.489 incidenti gravi, sono stati 440 gli attacchi in più rispetto al 2021, che segnano appunto una crescita annua del 21%. Il picco massimo dell’anno – e di sempre – si è registrato nel mese di marzo, con 238 attacchi. I dati aggregati per continente confermano “la preponderanza percentuale di vittime in America (38%), contro l’Europa al 24% e Asia all’8%”.

L’analisi mostra una netta prevalenza di attacchi con finalità di cybercrime e significativi risvolti economici legati alla diffusione dei ransomware: sono l’82% del totale, in crescita del 15% sul 2021. Per l’Italia la percentuale sale al 93%, in crescita del 150%. A livello mondiale, le principali vittime tornano ad essere i ‘multiple targets’, i bersagli multipli, (22%) con un aumento del 97% sul 2021, “si tratta di campagne di attacco non mirate, che continuano a causare effetti consistenti”. Segue il settore governativo, delle PA e della sanità (12%). Il settore più attaccato in Italia nel 2022 è invece quello governativo, con il 20% degli attacchi, seguito a brevissima distanza dal comparto manifatturiero (19%), che rappresenta il 27% del totale degli attacchi censiti nel settore livello globale.

L’analisi globale degli incidenti cyber noti nel 2022 evidenzia una netta prevalenza di attacchi con finalità di cybercrime, che sono stati oltre 2.000 a livello globale, ovvero l’82% del totale, in crescita del 15% rispetto al 2021. Per l’Italia la percentuale sale al 93%, in crescita del 150% rispetto al 2021. Il malware rappresenta la tecnica con cui viene sferrato il 37% degli attacchi globali; seguono vulnerabilità (12%), phishing e social engineering (12%), in crescita del 52%. Anche nel nostro paese prevalgono gli attacchi per mezzo di malware, sono il 53% del totale e hanno impatti gravi o gravissimi nel 95% dei casi.

“Negli ultimi cinque anni si è verificato un cambiamento sostanziale nei livelli globali di cyber-insicurezza mondiali – commentano i ricercatori – al quale non è corrisposto un incremento adeguato delle contromisure adottate dai difensori”.

Nel nostro Paese, osserva il presidente di Clusit, Gabriele Faggioli, “è necessaria un’ulteriore evoluzione nell’approccio alla cybersecurity. Occorre non solo che permanga il ‘driver normativo’, ma che si mettano in atto a tutti i livelli i processi di valutazione e gestione del rischio per il business, atti a calibrare adeguatamente gli investimenti sulla base delle reali necessità».

Il conflitto in Ucraina ha trasformato la guerra cibernetica a livello globale, favorendo la specializzazione dei criminali informatici e la creazione di minacce sofisticate, usate anche fuori del conflitto, come i ransomware. Ad un anno dall’invasione russa, è una delle conclusioni a cui arriva un rapporto di Mandiant, divisione cybersicurezza di Google. Nel 2022 – spiega l’analisi – sono aumentati del 300% gli attacchi informatici russi nei paesi Nato, con una crescita del 250% nella sola Ucraina.

I ricercatori hanno individuato cinque fasi della cyberwar in atto. Nella prima, le fazioni schierate a favore di Mosca hanno studiato gli obiettivi, senza dare troppo nell’occhio. Nella seconda, sono state avviate le prime operazioni di attacco cibernetico, che hanno anticipato la terza fase di sostegno alle azioni militari sul territorio. Da agosto a settembre, gli eserciti hanno mantenuto le loro posizioni conquistate, anche a livello informatico, prima di rimettere in piedi nuove campagne di violazione dei sistemi. Presi di mira governo, istituzioni militari, infrastrutture critiche, servizi pubblici e i media.

Il report afferma che la nascita di nuovi gruppi di hacker, unita alla cosiddetta ‘ricompilazione’ dei virus, ossia la modifica di solo una piccola parte del codice delle minacce affinché queste non vengano riconosciute dai software di sicurezza, rende sempre più difficile distinguere gli autori di un attacco e le loro finalità, se non espressamente dichiarate. Non a caso, quello dei ransomware è un settore in crescita. Per la società di analisi americana Chainalysis, nel 2022 il 40% di tutte le vittime di ransomware ha pagato il riscatto chiesto per riavere l’accesso ai sistemi bloccati. Altra arma molto usata dagli hacker è il phishing. Tra le campagne più diffuse in questo conflitto, le e-mail fasulle a nome del servizio Starlink di Elon Musk (che ha inviato satelliti e router di connessione a Kiev), aggiornamenti di programmi Microsoft e false comunicazioni dell’Agenzia delle entrate ucraina. Nell’ultimo anno, poi, Google ha bloccato quasi 2 mila attività di manipolazione delle informazioni sul tema della guerra, principalmente veicolate da portali in lingua russa.

Oltre a quanto già successo, il rapporto tenta di anticipare le prossime mosse degli aggressori. «Mosca aumenterà gli attacchi distruttivi di pari passo agli sviluppi sul campo di battaglia – spiegano i ricercatori – Prenderanno di mira principalmente l’Ucraina, ma si espanderanno sempre più ai partner della Nato».

Anche i mari sono cablati. Sì, perché il 97% dei dati che possiamo consultare sul web, secondo quanto stima l’Information Technology & Innovation Foundation, viaggia lungo oltre 400 cavi a fibra ottica che corrono per 1,2 milioni di chilometri del globo terraqueo e che per la maggior parte si trovano sui fondali marini. Facebook – scrive Panorama – ha cavi per 91mila chilometri, Google per oltre 100mila, Amazon 30mila e Microsoft 6mila. Dal 2017 al 2026 il mercato dei cablaggi dovrebbe passare da un valore di 10,3 miliardi di dollari a uno di 30,8.

Il problema è che i cavi sui fondali sottomarini sono alla mercé di attacchi e di questi tempi si teme che la Russia possa mandare i propri sottomarini a provvedere alla bisogna: la marina inglese sospetta che molti sottomarini avvistati in giro per gli oceani del mondo stiano mappando le reti che connettono il mondo stesso. A Panorama, Matteo Villa, ricercatore dell’Ispi, ha spiegato che l’attacco ai cavi è relativamente agevole, ove si disponga di strumenti adeguati quanto a distanze e profondità da affrontare, perché si può operare in acque internazionali fuori dalla giurisdizione di qualsiasi Stato.

L’Italia è lo snodo da cui passa l’80% del traffico voce tra Mediterraneo e America e Telecom Italia Sparkel gestisce cinque stazioni in Sicilia, dove approdano 18 cavi sottomarini. Palermo è lo snodo di un cavo di 28mila chilometri, il Flag Europa-Asia, che connette Giappone e Regno Unito, mentre a Mazara del Vallo transita il SeaMeWe3 che copre i 39mila chilometri che separano Germania e Australia. Il problema, avverte chi si occupa di questioni strategiche come le telecomunicazioni, è che la rete appare piuttosto vulnerabile di fronte a potenziali male intenzionati.

Continuano gli attacchi ransomware ai danni di utenti e aziende italiane. A marzo il nostro Paese è stato il primo, a livello europeo, per numero di minacce con questo specifico tipo di malware che blocca i computer e richiede un riscatto per il ripristino. È quanto emerge dal rapporto di Trend Micro Research, azienda di sicurezza informatica: nel periodo considerato sono stati registrati circa 2,47 milioni di attacchi ransomware in tutto il mondo di cui il 2,66% in Italia. Mentre sono esattamente cinque anni dalla debacle di numerosi sistemi nel mondo per il virus WannaCry definito da Europol il più grande attacco ransomware di sempre.

Secondo Trend Micro, nella classifica dei paesi più colpiti dai ransomware a marzo c’è in testa il Giappone, con un quinto degli attacchi globali (poco più del 20%), seguito da Stati Uniti e Messico. Anche per quanto riguarda i macromalware, programmi malevoli contenuti all’interno di documenti Word o Excel in grado di provocare molti danni ai Pc colpiti, l’Italia è la prima nazione europea per numero di attacchi (1.393) e la terza al mondo dopo Giappone (43.649) e Stati Uniti (2.879). I malware che hanno colpito l’Italia sono invece 15.481.554 e il Paese è quinto al mondo dopo Giappone (128.090.571), Stati Uniti (87.904.737), India (18.367.627) e UK (16.871.859). I dati sono frutto delle analisi della Smart Protection Network, la rete di intelligence di Trend Micro costituita da oltre 250 milioni di sensori e che blocca una media di 65 miliardi di minacce all’anno, con circa 94 miliardi bloccate nel 2021. A marzo ha gestito 513 miliardi di richieste e fermato 11,2 milioni di minacce, di cui circa il 65% via e-mail.

Uno dei ransomware più letali della storia iniziò a diffondersi il 12 maggio 2017. Si tratta di WannaCry e trasmise un’ondata di virus che infettò oltre 230 000 computer in 150 Paesi, con richieste di riscatto in BitCoin in 28 lingue differenti.

Si diffuse tramite email e fu attribuito alla Corea del Nord. “WannaCry ha rappresentato la dimostrazione delle capacità e delle volontà del regime, che è poco incentivato a “giocare secondo le regole”, di infliggere danni ad altre Nazioni per perseguire i propri interessi nazionali”, spiega Jens Monrad, Head of Threat Intelligence, Emea di Mandiant.

Gli italiani temono gli attacchi cyber ma quasi 4 su 10 sono indifferenti alla sicurezza informatica o non attuano misure per tutelarsi. Il dato emerge dal primo rapporto Censis-DeepCyber sul valore della cybersecurity presentato al Senato. Il 61,6%, rileva l’indagine che ha testato un campione rappresentativo di mille persone, è preoccupato per la sicurezza informatica e adotta sui propri device precauzioni per difendersi: di questi, l’82% ricorre a software e app di tutela ed il 18% si rivolge ad un esperto. Il 28,1%, pur dichiarandosi preoccupato, non fa nulla di concreto per difendersi, mentre il 10,3% non ha alcuna preoccupazione sulla sicurezza informatica. Il titolo di studio è una discriminante importante: sono infatti i laureati a preoccuparsi di più ed a prendere precauzioni (69%) rispetto a chi ha la licenza media (49,4%).

Un italiano su quattro (il 24,3%) conosce precisamente cosa si intende per cybersecurity, il 58,6% per grandi linee, mentre il 17,1% non sa cosa sia. Ad averne una conoscenza precisa sono soprattutto giovani (35,5%), laureati (33,4%), imprenditori (35,4%) e dirigenti (27,7%). Il 39,7% degli occupati dichiara di aver avuto in azienda qualche formazione specifica sulla cybersecurity, quota che raggiunge il 56,8% per le posizioni apicali. Ampia è la disponibilità dei lavoratori a partecipare ad iniziative formative in azienda o altrove sulla cybersecurity: il 65,9% dei lavoratori vorrebbe parteciparvi.

Al 64,6% dei cittadini (75,6% tra i giovani, 83,8% tra dirigenti) è capitato di essere bersaglio di email ingannevoli il cui intento era estorcere informazioni personali sensibili, presentandosi come provenienti dalla banca di riferimento o da aziende di cui la persona era cliente. Il 44,9% (53,3% tra i giovani, 56,2% tra gli occupati) ha avuto il proprio pc/laptop infettato da un virus.

L’insicurezza informatica viaggia anche tramite i pagamenti online: al 14,3% dei cittadini è capitato di avere la carta di credito o il bancomat clonato, al 17,2% di scoprire acquisti online fatti a suo nome ed a suo carico. Il 13,8% ha subìto violazioni della privacy, con furti di dati personali da un device oppure con la condivisione non autorizzata di foto o video. Al 10,7% è capitato di scoprire sui social account fake con il proprio nome, identità o foto, al 20,8% di ricevere richieste di denaro da persone conosciute sul web, al 17,1% di intrattenere relazioni online con persone propostesi con falsa identità.

È diffuso anche il cyberbullismo: il 28,2% degli studenti dichiara di aver ricevuto nel corso della propria carriera scolastica offese, prese in giro, aggressioni tramite social, WhatsApp o la condivisione non autorizzata di video. E avanzano le cyber-paure. Ben l’81,7% degli italiani teme di finire vittima di furti e violazioni dei propri dati personali sul web. Tra le attività che gli italiani percepiscono come più rischiose per il furto d’identità ci sono la navigazione web con consultazione di siti (57,8%), l’utilizzo di account social, da Facebook ad Instagram (54,6%), gli acquisti di prodotti online (53,7%), le operazioni di home banking (46,6%).

L’Italia è il primo Paese in Europa e il quarto nel mondo più colpito dai malware. Il numero totale di  virus malevoli intercettati nel nostro paese supera i 60 milioni, mentre le minacce via mail che si sono diffuse sono state oltre 330 milioni. I numeri si riferiscono al 2021 e sono contenuti nel rapporto ‘Navigating New Frontiers’ della società di sicurezza Trend Micro Research. Il resoconto allarma anche alla luce dei nuovi malware che stanno circolando in questo momento legati alla situazione in Ucraina e che potrebbero uscire dal perimetro del conflitto generando il cosiddetto ‘spillover’, come lo chiamano gli esperti facendo un parallelo con la pandemia.

A livello globale, spiega Trend Micro Research, nel 2021 si è registrato un incremento del 42% delle minacce rispetto al 2020, circa 70 miliardi sono arrivate via mail. Riguardo l’Italia – quarta nel mondo dopo Stati Uniti, Giappone e India – il numero totale di malware intercettati nel 2021 è stato di 62.371.693, nel 2020 erano stati oltre 22 milioni; 6.861 gli attacchi ricevuti dal nostro paese. Le minacce via e-mail che hanno toccato l’Italia sono state 336.431.403, i siti maligni ospitati e bloccati sono stati 269.383; mentre il numero di app maligne scaricate è stato di 51.103. Infine i malware di online banking intercettati sono stati 3.478. Per quanto riguarda i ransomware, quei virus che bloccano i dispositivi per i quali poi viene chiesto un riscatto alle vittime per sbloccarli, l’Italia è quarta in Europa preceduta da Germania, Francia e Gran Bretagna. A livello mondiale è dodicesima.

L’anno passato, spiegano i ricercatori di Trend Micro, è stato caratterizzato da attacchi alle infrastrutture e ai sistemi per il lavoro da remoto cresciuti con la pandemia, nel mirino in particolare il cloud configurato in maniera errata. Emerge anche l’ascesa di servizi come i ‘ransomware-as-a-service’, un modello di business con cui gli sviluppatori di ransomware affittano varianti dei virus, “che ha aperto il mercato ai malintenzionati con conoscenze tecniche limitate e ha dato origine a maggior specializzazioni, come i broker esperti negli accessi che sono diventati un tassello fondamentale dell’underground criminale”.

Infine, le famiglie di malware che hanno dominato il panorama delle minacce del 2021 sono state guidate da quelli che prendono di mira le criptovalute. Sono state anche rilevate 78 nuove famiglie di ransomware nel 2021, in diminuzione del 39% su anno.

Con lo smart working e il costante aumento degli attacchi informatici in pandemia, molte imprese italiane hanno potenziato gli investimenti in cybersicurezza tanto che nel 2021 il mercato ha raggiunto il valore di 1,55 miliardi di euro, +13% rispetto all’anno precedente. Ma il rapporto tra spesa in cybersecurity e Pil resta limitato: 0,08%, una cifra che posiziona l’Italia all’ultimo posto tra i Paesi del G7. Sono alcuni risultati della ricerca dell’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano, che sottolinea come ben il 31% delle grandi imprese italiane ha rilevato un ulteriore aumento degli attacchi informatici nell’ultimo anno.

“Col protrarsi dell’emergenza sanitaria si sta consolidando la consapevolezza sull’importanza della cybersecurity non solo nelle organizzazioni di maggiori dimensioni ma anche in realtà meno strutturate – spiega Gabriele Faggioli, responsabile scientifico dell’Osservatorio Cybersecurity & Data Protection – Sullo sfondo, inizia ad emergere la spinta del Pnrr, linfa per gli investimenti in security e punto di riferimento per le organizzazioni con la nascita della nuova Agenzia per la Cybersicurezza Nazionale”. Il Pnrr prevede nella Missione 1 investimenti per 623 milioni di euro in presidi e competenze di cybersecurity nella pubblica amministrazione e nella Missione 4 ulteriori fondi per la ricerca e la creazione di partenariati su temi innovativi, tra cui la sicurezza informatica.

La ricerca riporta una crescita costante delle minacce in Italia con 1.053 incidenti gravi nel primo semestre del 2021, +15% rispetto al primo semestre 2020 (secondo i dati Clusit). Con le nuove modalità di lavoro il 54% delle organizzazioni giudica necessario rafforzare le iniziative di sensibilizzazione al personale sui comportamenti da adottare, mentre il 60% delle grandi imprese italiane ha aumentato il budget per la sicurezza informatica nel 2021 e il 46% si è dotata di un Chief Information Security Officer (Ciso). Il mercato italiano di 1,55 miliardi di euro è composto per il 52% da soluzioni di security e per il 48% da servizi professionali e servizi gestiti. E con il lavoro ibrido diventa cruciale la protezione dei dispositivi e del Cloud.

Il Covid-19 – spiega l’indagine – ha lasciato uno strascico negativo nell’approccio al rischio cyber “aumentando la difficoltà nell’adottare una visione olistica e strategica”. Se il numero complessivo di aziende che lo affrontano rimane invariato (38%), diminuiscono di 11 punti percentuali quelle che lo gestiscono in un processo integrato di risk management. Aumentano invece le organizzazioni che lo trattano come un rischio a sé stante all’interno di una singola funzione (49%).

“Il mercato del cybercrime corre veloce, con nuove tipologie di attacco sempre più sofisticate. Le organizzazioni non devono abbassare la guardia, ma muoversi elaborando una strategia a lungo termine per la sicurezza informatica”, conclude Alessandro Piva, direttore dell’Osservatorio Cybersecurity & Data Protection.