Dal ransomware ai commodity malware, il rapporto Yoroi svela le tendenze della cybersecurity
È il conflitto russo-ucraino ad aver innescato pesanti e profonde ripercussioni su quello che è il panorama internazionale della Cybersecurity, avendo da un lato favorito la generazione di una serie aggiuntiva di minacce e attacchi informatici – dall’altro evidenziando in maniera netta alcuni limiti nelle catene di fornitura, anche nell’ambito delle soluzioni di difesa. Questo il dato principale che emerge dall’ultimo rapporto Yoroi presentato a Roma l’8 febbraio scorso dalla scaleup italiana fondata dal modenese Marco Ramilli nel 2015 che sviluppa e gestisce sistemi di difesa cibernetica, oggi parte di Tinexta Group insieme a Corvallis e Swascan.
Il rapporto conferma che nel 2022 le minacce di tipo ransomware hanno dominato la scena mantenendo il primato di pericolo più rilevante per tutti i settori e che a inizio 2023 si sta notando un aumento degli attacchi ai sistemi industriali e di controllo, come quelli utilizzati per il controllo di produzione, per il monitoraggio e il funzionamento di centrali elettriche, oleodotti, reti di distribuzione di energia e, più in generale, infrastrutture critiche per il Paese con l’obiettivo di metterne a rischio persino la sicurezza nazionale.
«La crisi geopolitica ha impresso un significativo cambio di paradigma degli attacchi informatici con nuovi strumenti e nuove modalità – spiega Ramilli, attuale CEO di Yoroi -. Dall’inizio del conflitto si è vista una mole di attacchi mai riscontrati in precedenza ma per fortuna con una bassa difficoltà di risoluzione».
Marco Ramilli, CEO di Yoroi
Il mercato dei malware
Anche nel 2022 la principale minaccia da affrontare è stata quella del phishing ma “new entry” sono i cosiddetti commodity malware, un’evoluzione delle modalità di attacco. Si tratta di malware direttamente acquistabili online e non nel dark web, comunemente frequentato da criminali informatici. Ramilli ci dice che la nuova piattaforma di scambio è Telegram dove gruppi ben organizzati sono in grado di vendere gli strumenti di attacco e persino le credenziali di accesso alle vittime. Di conseguenza ha rafforzato il suo potere all’interno dell’ecosistema dell’underground criminale la figura del broker di compravendita degli accessi.
Altri esempi di evoluzione in ottica di sofisticazione sono rappresentati da due fenomeni distinti: la comparsa degli wiper, una tipologia di malware che cancella tutti i file indiscriminatamente e la Double Extortion, una sorta di firma indelebile dell’attaccante che sviluppa malware unici per ogni attacco. Se attraverso il Report Yoroi si possono conoscere e capire quali minacce si profilano per il futuro, la prevenzione e il mantenimento di un alto livello di igiene cibernetica dipende da una consapevolezza purtroppo ancora non diffusa.
I consigli per istituzioni, corporation e pmi
«Le istituzioni devono continuare a investire come già stanno facendo nella threat intelligence – suggerisce il Founder e CEO di Yoroi – perché attraverso la condivisione degli indicatori si possono prevenire determinati tipi di attacchi. Per le grandi aziende strutturate il suggerimento è di adottare team esterni, a governance interna, per le attività di security operations per due motivi distinti: innanzitutto per il fattore emotivo poiché essere coinvolti presuppone una reazione meno efficace e lucida; e perché il team esterno ha una maggiore possibilità statistica di conoscere quel dato attacco, quindi una maggiore probabilità di averlo già risolto. Per le piccole e medie imprese – invece – così come per gli studi professionali, il mio consiglio è di effettuare investimenti dotandosi degli strumenti adeguati. Infine i cittadini dovrebbero porre maggiore attenzione in fatto di igiene cibernetica, approfondire e scegliere le giuste tecnologie spendendo anche 20/30 euro l’anno per dotarsi di un antivirus. Se ci fosse un incentivo sull’adozione di strumenti per la sicurezza informatica come cambierebbe l’attuale scenario?»
Questione interessante da proporre alle nostre istituzioni in attesa di una maggiore considerazione del rischio cibernetico nazionale.