Il settore finanziario e quello dei servizi commerciali e professionali sono stati gli obiettivi principali dei cyber criminali durante il 2021 (14% ciascuno). Questo è il dato che emerge dall’ultimo M-Trends Report 2022 di Mandiant, una ricerca annuale basata sulle investigazioni di incidenti informatici svolte in prima persona.
È da ormai diverso tempo che le aziende in questi settori sono costantemente prese di mira a livello globale. Le motivazioni principali sono due: la trasformazione digitale che avanza e la necessità di essere sempre connessi. Questi fattori comportano un allargamento del panorama delle minacce cyber, più le reti informatiche interne delle aziende sono interconnesse e più sono vulnerabili. La buona notizia è che, studiando nel dettaglio le informazioni più recenti sugli aggressori e sulle loro tattiche, tecniche e procedure (TTP) di attacco, i responsabili della sicurezza possono affrontare il problema in modo strutturato.
Negli ultimi anni, gli obiettivi di molti gruppi hacker sono cambiati, nel settore finanziario, ad esempio, ora vengono utilizzati con maggiore frequenza gli attacchi ransomware. Durante questi attacchi, gli hacker dopo aver ottenuto l’accesso alla rete della vittima, ne criptano i dati e li prendono “in ostaggio”. Successivamente, le vittime ricevono una richiesta di riscatto. Questi attacchi ransomware, in passato, erano spesso il risultato di un’attività di “malware spamming”, cioè attraverso una distribuzione di massa del malware, ora invece sta prendendo piede un nuovo trend: gli attacchi ransomware sono mirati, le vittime vengono accuratamente selezionate e talvolta gli attacchi sono preparati per mesi.
“Questo trend sta alterando le modalità con cui le organizzazioni ne settore finanziario devono considerare il problema”, dichiara Gabriele Zanoni, consulting country manager di Mandiant. “Non si tratta più quindi di eventi casuali, ora è un problema strategico e l’immediata conseguenza è che questo tema non è più ora solo un problema di sicurezza informatica, è a tutti gli effetti diventato un problema di business da trattare a livello di dirigenza e consigli di amministrazione”.
Gli attacchi ransomware, motivati dal fatto di voler ottenere un ritorno economico, hanno continuato a rappresentare una percentuale elevata tra tutti gli attacchi nel 2021, come nel corso degli anni precedenti. Secondo il report M-Trends, 3 attacchi su 10 hanno infatti avuto come obiettivo il guadagno economico. Si tratta aggressioni che hanno fatto uso di metodi di estorsione, riscatto o che hanno comportato il furto di carte di pagamento e permesso trasferimenti illeciti di denaro.
Gli hacker impiegano diverso tempo per preparare gli attacchi ransomware. Spesso si muovono nelle reti delle loro vittime senza farsi rilevare per diversi giorni e arrivano a conoscere nel dettaglio i sistemi informatici delle loro vittime: sono in grado di identificare quali sono le aree critiche per la sopravvivenza del business della vittima e usano queste informazioni per colpire là dove l’impatto è maggiore. Gli hacker, a volte, cercano “insider” interno delle aziende che vogliono attaccare per farsi dare credenziali valide e spartire il riscatto.
In aumento anche gruppi hacker particolarmente specializzati che collaborano per sfruttare al massimo i rispettivi punti di forza per portare a termine attacchi sempre più complessi, come quelli volti alla compromissione delle supply chain.
“In questi casi il riscatto richiesto può essere elevato, negli ultimi tempi abbiamo assistito a un aumento considerevole dell’ammontare di queste richieste di estorsione”, aggiunge Zanoni.
Oltre al ransomware, i gruppi hacker utilizzano i seguenti attacchi per colpire il settore finanziario:
- Gli exploit zero-day cioè quelle vulnerabilità di sicurezza di cui le aziende non sono conoscenza per il fatto che nemmeno il produttore del software vulnerabile lo era.
- Gli attacchi alla supply chain sono una delle tendenze più recenti. La crescente specializzazione degli attaccanti e la fusione di singoli gruppi di hacker con competenze differenti hanno aperto loro nuove opportunità. Invece di attaccare direttamente una banca, ad esempio, si infiltrano in un’azienda il cui software o il provider di servizi è utilizzato dal maggior numero possibile di istituti di credito. L’hacker compromette così molti altri istituti attraverso la supply chain. Si potrebbe dire che invece di ottenere la chiave di un singolo appartamento, gli hacker rubano un passe-partout valido per un condominio intero.
- Nelle attività di web skimming gli hacker prelevano i dati di pagamento dei clienti dagli shop online o dai siti che gestiscono i pagamenti per rubare loro denaro. Anche in questo caso il tutto avviene solitamente tramite un attacco alla supply chain, in cui codice malevolo viene inserito sul sito web dello shop online tramite un qualche fornitore/terza parte precedentemente compromessa. Dato che con questa modalità vengono rubati i dati bancari dei clienti, anche gli istituti di credito sono parte delle vittime di questo attacco.
- Il furto di criptovalute è d’interesse per gli hacker per due ragioni: permette di arricchirsi e allo stesso tempo di sfruttare la complessità nel tracciamento delle criptovalute per riciclare denaro. Le vittime di questi furti non sono solo i proprietari di Bitcoin ed Ethereum ma anche i loro istituti.