Un anno di cyber attacchi. Come e cosa hanno colpito gli hacker nel 2021 e cosa ci aspetta nel 2022

5 Gennaio 2022| News

Cyber attacchi 2021. 12 mesi di guai, ecco dove hanno colpito gli hacker. La classifica degli attacchi più clamorosi (qui la classifica degli attacchi più gravi degli ultimi anni).

Il 2021 è stato un anno estremamente critico per quanto riguarda la sicurezza informatica. Il numero e la gravità media degli attacchi condotti dai cybercriminali hanno toccato livelli mai raggiunti in precedenza. In questo servizio cercheremo di capire cosa è successo nell'anno che ci siamo appena lasciati alle spalle, per iniziare a fiutare cosa ci attende nel corso di un 2022 che porta con sé una serie di cattive e buone notizie sul fronte della cybersecurity.

In attesa di conoscere come evolverà tale scenario, vediamo alcuni degli episodi che hanno caratterizzato le principali minacce ai sistemi di sicurezza informatici nel corso del 2021, con un occhio di riguardo per la realtà di casa nostra.

Cyber attacchi 2021: la situazione in Italia secondo Clusit

Per quanto riguarda lo scenario italiano della sicurezza informatica, il 2021 ha segnato alcune sostanziali modifiche rispetto al 2019 e al 2020, smentendo in qualche modo quelle previsioni che suggerivano un andamento di maggior continuità rispetto a quanto si era assistito nei primi mesi successivi alla pandemia Covid-19. Al di là delle variazioni qualitative, a sorprendere è stato soprattutto l'incremento a livello complessivo del numero degli attacchi e soprattutto della loro gravità media.

L'indagine svolta da Clusit rappresenta uno strumento straordinariamente prezioso, in quanto costituisce una delle rare fotografie dettagliate sulla realtà italiana. Vediamo quali sono state le principali evidenze che il Rapporto Clusit 2021 sulla sicurezza ICT in Italia, presentato nello scorso mese di novembre, ha prontamente rilevato.

In generale si è assistito ad un incremento diffuso degli attacchi informatici, capaci di mettere in difficoltà quasi tutti i settori di attività oggetto dell'indagine svolta da Clusit. Rispetto al 2020, il primo semestre del 2021 la situazione è infatti variata nella seguente misura:

• Trasporti e Logistica: +108,7%

• Professional, Scientific, Technical: +85,2%

• News & Multimedia: +65,2%

• Retail: +61,3%

• Manufacturing: +46,9%

• Energia / Utilities: +46,2%

• Governativo / Difesa: (+39,2%)

• Arte e Divertimento: +36,8%

• Sanità: +18,8%

Nessuno può pertanto dormire sonni particolarmente tranquilli. Sul fronte delle minacce informatiche la scena è dominata dai malware (43%), in crescita di oltre dieci punti percentuali rispetto allo stesso periodo del 2020, grazie ai sempre più frequenti attacchi ransomware, semplici (crittografia dei contenuti a scopo di riscatto) o a doppia estorsione (aggiunta di esfiltrazione dei dati).

Nettamente inferiore il volume complessivo caratterizzato dalle altre tipologie di minacce, dove si è assistito ad un aumento molto rilevante (+41%) degli attacchi in grado di sfruttare le vulnerabilità note nei sistemi di sicurezza aziendali e degli attacchi condotti con tecniche multiple (+12%). Rispetto al 2020 va invece segnalato un calo degli attacchi Phishing (-13%), Denial of Service, DDoS (-42,9%) e delle frodi effettuate tramite furto di identità (-29,5%).

Dal punto di vista della tipologia degli attaccanti, risulta evidente una netta prevalenza delle attività cybercriminali (88%, +21% nel 2021). Nettamente staccato, ma non per questo meno pericoloso il cyberspionaggio (9%, -37% nel 2021) mentre le percentuali residue vedono una serie di attività come l'information warfare (+18% nel 2021) e l'hacktivismo che, pur costituendo come sempre una mina vagante con le sue azioni dimostrative, ha progressivamente ceduto terreno al vero e proprio cybercrimine.

A livello globale, tra perdite e riscatti, Clusit stima un danno derivante dagli attacchi informatici nell'ordine di 6 trilioni di dollari. Una cifra a dir poco impressionante che, per rendere l'idea, supera ormai di oltre tre volte l'attuale PIL italiano. Con questi numeri, il fenomeno della cybersicurezza diventa quindi uno degli argomenti più rilevanti dal punto di vista politico, sociale ed economico a livello mondiale, necessitando di azioni e strumenti efficaci per contrastarne la dilagante portata.

Cyber attacchi 2021, l'attacco diventa cronaca quotidiana

Il 2021 ha visto il vertiginoso aumento di casi di attacchi informatici, capaci di colpire in maniera indistinta enti di natura pubblica e privata, con casi di rilevanza internazionale capaci di causare ingenti conseguenze sul piano economico e diplomatico, per via dell'incremento dei cosiddetti attacchi nation-state. Tali iniziative vedono il finanziamento di gruppi cybercriminali da parte degli stati sovrani, ai fini di danneggiare le nazioni avversarie in una cyberwar che pare destinata ad una vera e propria escalation nel corso dei prossimi anni.

Tra gli attacchi più rilevanti portati a segno a livello globale nel corso del 2021 non possiamo tralasciare:

Solarwinds

iniziato in verità negli ultimi giorni del dicembre 2020, sulla base di un attacco hacker alla supply chain della piattaforma Orion di Solarwinds, sfruttando una vulnerabilità su un processo di gestione e monitoraggio delle reti. Tale falla ha consentito ai cybercriminali di eseguire del codice da remoto, prendere il controllo dei server sui cui era attiva l'applicazione di IT monitoring di Solarwinds e procedere all'esfiltrazione di una notevole quantità di dati sensibili. La gravità dell'attacco è facilmente immaginabile, dal momento che la suite Orion è utilizzata da oltre 300mila clienti in tutto il mondo, tra cui figurano le principali agenzie governative americane. Sulla base di prove ritenute evidenti, il governo statunitense ha accusato la Russia di aver finanziato direttamente l'attacco contro Solarwinds, ma il Governo di Putin ha ovviamente smentito tali affermazioni.

Kaseya

Nemmeno il tempo di archiviare la vicenda relativa a Solarwinds ed i media di tutto il mondo hanno avuto il loro bel da fare per occuparsi dell'attacco a Kaseya, nello specifico un exploit zero day su Kaseya VSA per Windows, portato a segno grazie al ransomware di REvil. Senza entrare nel dettaglio, anche in questo caso si è trattato di un attacco informatico portato a segno sulla supply chain dell'applicazione, disabilitando le principali funzionalità di sicurezza e sostituendo alcuni certificati genuini di Windows con copie malevole, per consentire al ransomware REvil di accedere indisturbato e cifrare i vari file presenti sui server infettati.

Github

Il 28 febbraio 2021 gli appassionati delle cronache legate alla cybersecurity ricorderanno senza dubbio il clamoroso attacco DDoS condotto ai danni di GitHub, uno dei siti più importanti presenti all'interno del web, in quanto costituisce il repository dei principali progetti open source. I numeri sono stati impressionanti (1,35 terabit, attraverso 127 milioni di pacchetti al secondo), al punto da ridimensionare persino la portata degli attacchi DDoS condotti mediante la botnet Mirai.

I numeri da record tuttavia non hanno prodotto, almeno in questo caso, danni significativi, limitando il downtime nell'ordine di alcuni minuti. L'immediato intervento di Akamai, storico fornitore di GitHub per la cybersecurity, ha infatti "spezzato" la banda complessiva dell'attacco DDoS, dirottandola verso una moltitudine di server, per liberare le risorse di GitHub e impedire che tale eventualità di verificasse nuovamente. Una minaccia che poteva avere effetti assolutamente devastanti è stata facilmente mitigata grazie alle decisioni di un'azienda che si è fatta trovare pronta per rispondere all'incidente informatico.

I casi italiani: SIAE e Regione Lazio

Anche se, per fortuna, in Italia non abbiamo rilevato attacchi della portata di quelli precedentemente descritti, non possiamo dimenticare ad esempio il tormentone mediatico che ha caratterizzato l'attacco alla Regione Lazio, avvenuto lo scorso 30 luglio, che ha causato l'interruzione di servizi molto importanti per circa un mese: il sistema sanitario online, il servizio per la vaccinazione Covid-19 e il rilascio dei green pass, oltre al blocco di molte macchine in forza agli uffici tecnici dell'ente pubblico.

Gli effetti nefasti del ransomware che ha messo in ginocchio il CED e i servizi informatici della Regione Lazio sono con buona probabilità dovuti all'incredibile ingenuità di un dipendente di una partecipata, a cui sarebbero stati rubati i dati di accesso al sistema, utilizzati per caricare il ransomware, prendere il controllo delle macchine e cifrare i dati.

Altrettanto noto ai disonori delle cronache è stato l'attacco che ha colpito la SIAE (Società Italiana Autori ed Editori), che nel contesto ha rimediato un considerevole danno di immagine.

I suoi dati riservati, appartenenti di fatto a migliaia di artisti, sono stati in primo luogo esfiltrati e successivamente pubblicati in parte sul dark web, con la minaccia di procedere qualora non fosse stato pagato un riscatto in bitcoin dal controvalore di circa tre milioni di euro.

Grazie alla diffusione di questi dati si è generata una situazione di grande caos in quanto, oltre alla SIAE, anche i singoli artisti sono stati raggiunti da avvertimenti di natura estorsiva provenienti da fonte ignote, come hanno denunciato, tra gli altri, Al Bano e Samuele Bersani.

La minaccia che ha travolto SIAE è stata identificata nel ransomware Everest, distribuito dall'omonima gang criminale. Si tratta di un gruppo di notevole esperienza, dalla condotta opportunista e specializzato nel colpire grandi società e studi legali dal fatturato molto elevato, oltre a distribuire i propri servizi sul dark web con il modello Ransomware-as-a-Service (RaaS) che consente a chiunque di operare in maniera malevola attraverso le loro tecnologie.

La disponibilità dei servizi di cybercrimine attraverso il lato oscuro della rete è stato un trend in crescita nel corso del 2021, che ha consentito di espandere notevolmente il fronte delle minacce informatiche, rendendo sempre più semplici ed accessibili le procedure necessarie per violare i sistemi di sicurezza delle aziende e delle istituzioni pubbliche. Tali azioni possono ormai essere condotte da un range di soggetti sempre più ampio, non soltanto dai fuoriclasse del cybercrimine.

Al di là dei retroscena da commedia all'italiana che caratterizzano certe vicende, ogni giorno molte aziende cadono purtroppo vittime di attacchi informatici le cui conseguenze si fanno sempre più pesanti. Secondo i dati del Clusit, nel 2021 gli attacchi informatici la cui gravità è classificata come "high" e "critical" equivalgono al 74% del totale, mentre nel 2020 si erano fermati al 49%, con una maggior diffusione degli attacchi di medio e basso livello. Nei primi sei mesi del 2021 si sono verificati una media di 170 attacchi gravi al mese (livello high e critical).

Web security: l'incognita Log4Shell, l'attacco del futuro che colpisce il passato della rete

Il 2021 si è chiuso con la classica bomba di fine anno: la notifica della vulnerabilità Log4Shell, capace di sfruttare un bug della libreria open source Log4J, che si occupa del logging dei backend delle applicazioni web sviluppate con Java. La falla consente ai malintenzionati di ridefinire una stringa di richiesta http e far eseguire al server vittima un'operazione da remoto, ad esempio far scaricare dal server dell'attaccante un ransomware in grado di prendere il controllo della macchina con una facilità irrisoria.

Nel giro di un paio di settimane, Apache Software Foundation, che si occupa da vent'anni di sviluppare e mantenere Log4J, ha rilasciato ben tre patch che avrebbero in gran parte risolto il problema, ovviabile manualmente anche disabilitando delle semplici impostazioni che la configurazione di default prevede come attive.

Se il problema specifico, al livello dell'applicazione, la vulnerabilità Log4Shell può dirsi in buona parte risolta, anche contando su una certa dose di ottimismo, appare incredibile come per tutto questo tempo nessuno si sia accorto di nulla, a partire dalle mega corporation, che hanno utilizzato le tecnologie open source di Java per sviluppare prodotti e soluzioni in grado di fatturare miliardi di dollari.

Il problema Log4Shell è invece tutt'altro che risolto se consideriamo l'effettiva superficie di attacco che rimane per forza di cose latente con una vulnerabilità di questo genere. Java esegue applicazioni su miliardi di dispositivi e da vent'anni la sua tecnologia ha dato vita a miliardi di applicazioni web. Parte di questo software è tuttora attivo sui server di molte aziende, che molto spesso ignorano persino di averle in esecuzione, o che siano state sviluppate con Java. Se queste web app non verranno aggiornate, continueranno a rappresentare una vulnerabilità estremamente critica per i sistemi in cui risiedono.

Questo sottobosco, formato da milioni di applicazioni, costituirà a lungo un bersaglio che i cybercriminali potranno sfruttare in tutta calma per cercare di penetrare all'interno del perimetro di sicurezza delle aziende e delle istituzioni pubbliche per condurre attacchi ransomware, installare botnet, esfiltrare dati e chi più ne ha più ne metta.

La notizia di Log4Shell ha avuto pertanto un effetto assolutamente dirompente nel mondo della cybersicurezza, facendo letteralmente crollare la terra sotto i piedi di tutti coloro che devono monitorare e gestire la sicurezza delle applicazioni sul web. Un problema che fino a ieri non si sapeva nemmeno che esistesse ci dimostra quanto possa essere fragile una tecnologia che per anni tutti hanno ritenuto insospettabile. Quanto accaduto ad un progetto aperto e fortemente standardizzato come Log4j rimette totalmente in discussione il modo con cui tecnologie così diffuse debbano essere supportate.

La cybersecurity nel 2022, tra nuove minacce e una crescente consapevolezza

Il 2021 è stato dunque un anno in cui i temi legati alla cybersecurity, oltre che conquistare l'attenzione mediatica, hanno iniziato a cementare una solida consapevolezza all'interno delle aziende. Tra insomma iniziando a venire meno quel diffuso sentimento di "Ma figurati se capita proprio a me…" che ha per troppo tempo fatto più danni della grandine.

Nel 2022, da un lato dovremo attenderci attacchi sempre più spietati, capaci di sfruttare in maniera ancora più capillare le vulnerabilità dei sistemi di sicurezza. Per contro inizia finalmente a formarsi e diffondersi una percezione del rischio di attacco informatico, che dovrebbe spingere enti pubblici e privati ad investire in maniera crescente per garantire la sicurezza dei propri sistemi IT e, di conseguenza, dei servizi erogati ai cittadini e ai clienti finali.

È evidente che ogni industria si ritrova a fare i conti con tipologie di minacce focalizzate a colpire i suoi obiettivi strategici, attraverso cui i cybercriminali possono ottenere una maggior remunerazione ai danni delle vittime coinvolte. È tuttavia lecito attendersi che continueremo ad assistere ad una prevalente attività di attacchi ransomware, soprattutto per quanto concerne quelli a doppia estorsione, i più micidiali nel paralizzare del tutto l'attività della vittima richiedendo al tempo stesso un riscatto per non diffondere i dati precedentemente esfiltrati.

I responsabili della sicurezza delle infrastrutture critiche dovranno prestare un'attenzione sempre maggiore nei confronti degli attacchi cyberfisici, in grado di provocare interruzioni di servizio dalle conseguenze molto spesso drammatiche non soltanto per l'azienda colpita, ma per l'intera società civile, che si avvale dei suoi servizi indispensabili.

In attesa di vivere in prima persona ciò che ci attenderà nei prossimi mesi, una cosa è oggettivamente certa. Di fronte a certe numeriche, il rischio di subire un attacco informatico inizia a diventare talmente elevato che arroccarsi sulla difensiva non è più sufficiente. Bisogna entrare nella condizione mentale che prima o poi tutti verremo colpiti da un attacco più o meno grave e pertanto vivremo una situazione in cui sarà decisivo saper rispondere in maniera organizzata all'incidente informatico e provvedere alla sua mitigazione nel minor tempo possibile.

Gli ultimi dati pubblicati da ENISA (Agenzia dell'Unione Europea per la Sicurezza Informatica) in merito agli investimenti sulla Cybersecurity effettuati dai vari paesi europei, pur evidenziando un aspetto di strutturale ritardo, sorridono alla situazione italiana, dove l'11.8% del budget dedicato all'IT viene destinato alla sicurezza informatica. Si tratta del dato più elevato in Europa.

Per quanto vada preso con le molle e relazionato con il valore assoluto, si tratta di un aspetto incoraggiante, soprattutto per il fatto che nonostante le difficoltà della pandemia Covid-19 e le impellenti esigenze in termini trasformazione digitale, in Italia inizia a diffondersi la consapevolezza che l'investimento in termini di sicurezza, che inizia dalla formazione dei dipendenti, viene ampiamente ripagato quando non ci si deve sedere attorno a un tavolo per fare la stima dei danni diretti e indiretti causati da un attacco informatico, a partire dal drammatico crollo reputazionale del brand.