Il Risk Report 2024 di Tinexta Cyber fotografa un declino delle vittime di cyber attacchi a due cifre anche in Italia, ma un’espansione geografica dei Paesi colpiti, con l’ingresso di Israele nella top 8.

“Il calo del 15% delle vittime in Italia è un segnale incoraggiante, che riflette un miglioramento nella consapevolezza e nelle misure di difesa adottate, merito anche dell’azione meticolosa di indicazioni operative concrete e di sensibilizzazione portata avanti dall’Agenzia per la Cybersicurezza Nazionale (ACN), con iniziative come la campagna ‘Accendiamo la Cybersecurity’”, commenta Pierguido iezzi, Strategic Business Director di Tinexta Cyber.

“Significativo è il fatto che l’Italia continui ad occupare una posizione di primo piano nel panorama degli attacchi ransomware, il secondo in Europa, quasi a parimerito con la Germania, evidentemente con riferimento ai soli eventi noti e/o segnalati, in un quadro globale caratterizzato da un’estensione territoriale del raggio d’azione e da un incremento significativo del numero di gang attive”, aggiunge Enrico Morisi, Ict Security Manager.

“I dati del Rapporto Tinexta Cyber purtroppo non mostrano un inversione di tendenza degli attacchi informatici”, sottolinea Giorgio Sbaraglia, consulente aziendale cyber security, membro del Comitato Direttivo Clusit, “che continuano ad essere in grande quantità”. Ecco cosa emerge dal report e quali sono i rischi maggiori, a partire dai ransomwere e attacchi deepfake.

Allarme ransomwere in Italia

Nel primo semestre del l’anno, sono scese le vittime individuali a livello mondiale (2.401, -8,2% rispetto allo stesso periodo del 2023) di attacchi ransomware (furto di dati sensibili con richiesta di riscatto). Tuttavia si registra una crescita del 5,3% del numero dei Paesi colpiti (da 91 a 99), segnando un ampliamento della diffusione geografica delle minacce. Per la prima volta Israele entra nella Top 8 dei Paesi più colpiti.

Secondo Tinexta Cyber, passa da 52 a 73 (+40,4%) il numero delle “gang” attive. Gli Stati Uniti restano il Paese più colpito (con 1.176 cyber attacchi), ma in leggero calo rispetto all’ultimo semestre del 2023 (-3,6%).

In Italia le vittime sono scese del 14,8%, meglio di noi Regno Unito (-15,2%) e Germania (-24,8%). Invece le vittime crescono in Spagna (+32,6) e Canada (+4,6%).

“Tuttavia, non possiamo sottovalutare l’avversario in questo contesto. D’altronde l’aumento delle gang attive e l’espansione geografica degli attacchi dimostrano come il panorama delle minacce sia in continua evoluzione e non possiamo escludere ulteriori aumenti di attacchi”, mette in guardia Iezzi.

“Il dato che riguarda l’Italia, con una riduzione delle vittime e degli attacchi, non deve indurci pensare che la pressione sull’Italia sia effettivamente calata“, conferma Giorgio Sbaraglia: “Come segnala anche il Rapporto Clusit nell’aggiornamento di ottobre 2024, il calo degli attacchi in Italia dipende soprattutto dalla riduzione degli attacchi classificati come Hacktivism, sebbene, in linea con quanto rilevato anche nel 2023, incidono in Italia in quota significativamente maggiore rispetto al campione complessivo a livello mondiale, dove costituiscono solo il 6% del totale”. 

Lo scenario italiano

“Questo tipo di attacchi aveva registrato in Italia un fortissimo aumento da parte dei gruppi cybercriminali russi dopo l’invasione dell’Ucraina da parte della Russia”, evidenzia Sbaraglia, “l’Italia negli anni 2022-23 è stata particolarmente presa di mira in quanto schierata a favore dell’Ucraina”.

Ora “questa tipologia di attacchi – continua Sbaraglia – ha registrato in Italia un calo, sebbene ancora oggi oltre un terzo (34%) del totale degli incidenti con finalità Hacktivism identificati a livello mondiale è avvenuto ai danni di organizzazioni italiane. Queste ultime risultano quindi particolarmente vulnerabili a iniziative con finalità dimostrativa, di matrice politica o sociale”.

Gli attacchi deepfake

Le cyber minacce cyber si espandono. Bersaglio degli attacchi non sono solo le singole aziende, ma intere filiere produttive. 

“Ed è estremamente interessante e preoccupante il fatto che anche l’Intelligenza Artificiale, come sostanzialmente tutte le altre tecnologie e gli strumenti nella disponibilità dei threat actor, sia già assimilabile a una commodity, utilizzabile praticamente da chiunque, così come accade, ad esempio, per il ransomware, fornendo capacità di agire senza precedenti anche in ambito criminale”, spiega Morisi.

Stanno aumentando gli attacchi deepfake, con la simulazione di rapimenti virtuali, estorsioni e persino creando pornografia non consensuale. L’intelligenza artificiale generativa infatti permette di realizzare falsi video o audio in grado di riprodurre la voce o le sembianze di colleghi, persone note o addirittura CEO. L’obiettivo consiste nel convincere le vittime a siglare documenti o a pagare denaro per prevenire la pubblicazione di materiale sensibile.

La creazione di campagne di phishing, generate con l’intelligenza artificiale, parte dall’acquisto online di servizio “jailbreak” per manometterla. È infatti sufficiente un click per comprarecodici dannosi per bypassare i filtri etici dei modelli di AI – come ChatGPT – e sbloccare tutte le potenzialità, compresa quella di creare campagne dannose di cyber truffe.
Infatti “le strategie criminali si affinano, con gruppi sempre più organizzati che diversificano i bersagli e sfruttano tecnologie innovative, come l’intelligenza artificiale, per potenziare gli attacchi”, evidenza Iezzi.

Ransomware: compromessi oltre 15mila gigabyte di dati

Il fenomeno ransomware, in cui i programmi malevoli infettano un dispositivo digitale bloccandone l’accesso ai contenuti (in toto o parzialmente) con la richiesta di riscatto in denaro per sbloccarli, continuano a mietere vittime.

“Quello che preoccupa maggiormente”, secondo Giorgio Sbaraglia, “sono sempre i ransomware, dove continuano ad apparire sempre nuovi gruppi cybercriminali e dove le vittime sono soprattutto, come rileva il Rapporto Tinexta Cyber, le aziende che hanno meno di 50 dipendenti ed un fatturato fino a 250 milioni di euro e soprattutto nel settore manifatturiero“.

Il settore manifatturiero è infatti nel mirino (20%), ma in crescita è il retail che passa dal 3% al 9%. Significa che i dati finanziari e personali di clienti e fornitori, altamente redditizi per il contrabbando dei dati, catalizzano l’ interesse da parte degli attaccanti.

Nel mondo i ransomware hanno compromesso oltre 15mila gigabyte di dati (pari alla memoria di circa 118 smartphone o a 15/20 hard disk di console da videogiochi), di cui 12,6 mila (l’85%) pubblicati nei primi sei mesi dell’anno. Entro il 2031 supereranno la soglia dei 265 miliardi di dollari i danni per attacchi ransomware nel mondo, secondo Tinexta Cyber.

In particolare, dei 70 attacchi nel primo semestre 2024, il 69% si focalizza al Nord, il 23% al Centro e solo l’8% al Sud.

Allarme Double extortion

Altro elemento di preoccupazione è “la modalità dei ransomware con Double extortion”, mette in guardia Sbaraglia: “questa tecnica, apparsa solo pochi anni fa come evoluzione dei ransomware della ‘prima generazione’ (che si limitava alla crittografia dei dati) è ormai diventata la regola.  Lo dimostra l’enorme quantità di dati compromessi nei primi sei mesi del 2024”.

“La Double extortion è diventata la forma più aggressiva e più difficile da contrastare negli attacchi ransomware e questo dimostra che le organizzazioni italiane, a tutti i livelli sia privato che pubblico, non hanno ancora adottato le misure di sicurezza adeguate per proteggere i propri dati”, avverte Sbaraglia.

Come mitigare il rischio di attacchi deepfake e ransomware

A provocare il 90% degli attacchi informatici è l’errore umano e quindi, in teoria, può essere prevenuto.

“In questo contesto”, avverte Iezzi, “come sottolineato da Bruno Frattasi durante il convegno organizzato dall’Agenzia per la Cybersicurezza Nazionale presso l’Università Sapienza di Roma, la resilienza cibernetica è oggi il pilastro su cui costruire la sicurezza del nostro Paese. La Direttiva NIS2, descritta come ‘uno sguardo nuovo sulla cybersicurezza’, rafforza questa visione, richiedendo un impegno condiviso per migliorare la protezione di infrastrutture critiche e catene di fornitura”.

Infatti “è fondamentale quanto prescrive la Direttiva NIS2, che all’art.21 relativo alle misure di sicurezza indica anche la crittografia come misura che le aziende dovranno applicare”, conclude Sbaraglia.

“La Direttiva NIS2“, conferma Morisi, “si inserisce da protagonista in questo contesto così complesso e articolato, dando una vigorosa sferzata (ndr obblighi e necessità operative) e, nel contempo, una ‘boccata di ossigeno’ (ndr vantaggio competitivo) alle infrastrutture critiche e, soprattutto, al tessuto economico e amministrativo europeo, nell’ottica di garantire la continuità operativa e la resilienza di intere filiere, anche transnazionali, puntando sulla costruzione di un ‘sistema’ comunitario teso a fronteggiare e contrastare una galassia di minacce sempre più sofisticate e mutevoli, e basato sull’information sharing e l’unione delle forze”, conclude Morisi.

Crescono infine i punti di accesso e le vulnerabilità in grado di compromettere la sicurezza di software e sistemi informatici (CVE). Nel primo semestre 2024 l’dentificazione e pubblicazione di nuovi CVE- tra cui VPN, programmi obsoleti (non aggiornati alle ultime versioni) e siti pubblici – sale a quota 20.916.

Mantenere aggiornati i sistemi operativi, i software e le app è la priorità. 
“La resilienza non è solo capacità di resistere agli attacchi, ma la forza di adattarsi e trasformarsi di fronte a un panorama in continua evoluzione. Si costruisce con processi strutturati, Cyber Threat Intelligence, formazione continua e strategie e tattiche reattive che rafforzino le difese con ogni esperienza”, conclude Iezzi.