“L’Italia è terzo posto al mondo per gli attacchi malware, e registra ancora picchi importanti nel rilevamento di URL malevoli (+17% a settembre, contro una media mondiale del 7%), mentre il ransomware è in calo annuo del 20% contro un aumento globale del 54,5%, ma resta una minaccia molto seria perché siamo al quinto posto mondiale per numero di attacchi”.

Così Denis Cassinerio, Senior Director & General Manager South EMEA di Acronis (nella foto), sintetizza i principali trend per l’Italia che emergono dal Report di Acronis sulle minacce informatiche del secondo semestre 2024.

“Una notizia positiva però è l’inserimento dell’Italia tra i paesi più virtuosi nel Global Cyber Security Index 2024 dell’ITU, l’agenzia Onu che si occupa di ICT. L’Italia è nel Tier 1, cioè nei primi 6 paesi su 194: siamo al tavolo con i paesi più importanti per disegnare il futuro della cybersecurity”.

Attacchi via email triplicati in un anno

In un incontro con la stampa Cassinerio si è soffermato poi sui trend principali a livello mondiale che il report evidenzia.

Primo, gli URL pericolosi. Acronis ha bloccato 48 milioni di URL a livello di endpoint nel solo quarto trimestre 2024, con un aumento del 7% rispetto al terzo trimestre.

Secondo, gli MSP sotto attacco: nel secondo semestre 2024 sono stati segnalati ben 185 casi di attacchi a Managed Service Provider. “I trend che riguardano gli MSP sono sempre più importanti perché c’è un inarrestabile spostamento dell’utenza di tutto il mondo verso la sicurezza gestita”.

Terzo, il ransomware: i casi resi pubblici nel quarto trimestre 2024 sono 1712, con un totale di 580 vittime, prevalentemente dei settori trasporti, sanità e produzione. Crescono soprattutto gli attacchi basati su AI, sofisticati e su larga scala.

Quarto, gli attacchi basati su email, addirittura triplicati in un anno (+197%), mentre quelli per organizzazione sono cresciuti del 21%. L’email rimane il primo vettore d’attacco: il 31,4% delle email ricevute nel secondo semestre 2024 erano spam, l’1,4% conteneva malware o link a siti malevoli, e quasi il 50% degli utenti ha subito almeno un attacco.

Infine l’AI generativa è usata sempre più spesso per lanciare attacchi, contenuti dannosi e automazioni delle attività maligne. “I kit di attacco sono più facili da accedere, e la catena di fornitura del software è diventata la destinazione chiave degli attacchi, perché i fornitori di terze parti rappresentano sempre più un rischio per la sicurezza”.

I casi Infocert e Bologna FC

Un esempio è il caso di Infocert, uno dei principali fornitori di indentità digitali, che ha confermato una violazione di dati, con esposizione di 5,5 milioni di record. “La causa è l’attacco a un fornitore terzo, non una compromissione diretta di Infocert”, ha sottolineato Cassinerio. “I sistemi di Infocert e le credenziali degli utenti non sono stati compromessi, ma i dati esposti sono ancora a rischio”.

Tornando al ransomware, Irina Artioli, Cyber Protection Evangelist e TRU Researcher di Acronis, ha citato il caso della società Bologna Calcio (Bologna FC), colpita dal gruppo RansomHub.

“In tutto il mondo RansomHub è il terzo gruppo più attivo, nel 2024 ha effettuato oltre 500 attacchi con varie tecniche: nel caso del Bologna non sappiamo come siano entrati, ma hanno dichiarato di essersi appropriati tra l’altro di dati su calciatori, transazioni finanziarie e contratti di sponsorizzazione”.

MSP attaccati per accedere ai loro clienti

Altro trend interessante come accennato è il forte aumento degli attacchi agli MSP, con il phishing (33% dei casi) come vettore preferenziale, seguito dalle vulnerabilità del Remote Desktop Protocol (RDP). “I criminali approfittano delle comuni procedure utilizzate dagli MSP per accedere ai sistemi senza autorizzazione e distribuire payload dannosi”, ha detto Artioli.

Un tipico esempio sono gli strumenti di monitoraggio e gestione remota (RMM). “I nostri dati di telemetria evidenziano l'uso contemporaneo di più strumenti RMM da parte di aziende e MSP, e ciò genera punti deboli nei sistemi, facilmente sfruttabili dagli attaccanti”.

Altro strumento sempre più utilizzato per gli attacchi agli MSP sono le APT, attraverso credenziali rubate, social engineering e attacchi alla supply chain, per introdursi nelle loro reti e incorporare il malware negli aggiornamenti software o sfruttare le vulnerabilità delle soluzioni per l'accesso remoto: “I gruppi APT approfittano della fiducia nelle relazioni tra MSP e clienti per ampliare il raggio d'azione”, sottolinea Artioli.

Infine ovviamente l’AI: “È stato uno dei problemi più pressanti del 2024. I cybercriminali l’hanno usata per creare malware e ransomware molto più facilmente e velocemente, diffondere disinformazione, lanciare campagne di phishing, aumentare portata e complessità dei meccanismi di frode - dalle truffe romantiche a quelle sugli investimenti - e attaccare molto più facilmente intere supply chain, specialmente nel software”.

2025, i principali trend previsti

Cassinerio ha concluso con le previsioni per il 2025. “Gli attacchi ransomware continueranno a crescere in volume e complessità e scaleranno sempre più automaticamente: occorre lavorare soprattutto sulla resilienza, e cioè su strategie EDR, di monitoraggio e di ripristino”.

Gli investimenti chiave saranno soprattutto in ambito XDR/EDR e sicurezza cloud e IoT. “Noi consigliamo anche l’adozione del modello Zero Trust e una grande attenzione sulla gestione della sicurezza degli accessi (IAM)”.

Per l’AI continuerà la doppia valenza di minaccia e supporto: aumenteranno i crimini basati su AI e deepfake e gli exploit dei LLM, ma d’altra parte l’AI aiuterà fortemente il rilevamento delle minacce in tempo reale, l’analisi predittiva e l’automazione delle risposte agli incidenti.

“Ci aspettiamo poi un aumento degli attacchi sponsorizzati, soprattutto su MSP, PMI, infrastrutture critiche, e a proposito di MSP le raccomandazioni riguardano tutte e tre le fasi. Per la prevenzione attenzione alla conformità alle normative, tipo GDPR, fare training su security awareness, spingere nei clienti la conformità NIS2 e la gestione patch come servizio continuativo, e poi autenticazione multifattore, crittografia e segmentazione della rete. Per il rilevamento sfruttare l’AI sulle minacce, investire su EDR/XDR con funzioni AI. E per la risposta avere un piano sempre aggiornato, automatizzare le attività, investire sull’analisi rapida degli incidenti”.