Il settore finance nel mirino degli hacker

A caccia delle prede più grosse tra le aziende italiane, in sei mesi gli attacchi informatici nel comparto finanziario sono cresciuti del 143%. L’obiettivo è richiedere riscatti a volte anche milionari

Il settore del banking/finance sale al primo posto tra i comparti più attaccati dagli hacker: il primo semestre 2020 ha fatto registrare un +143% di possibili incidenti di cybersicurezza rispetto al semestre precedente. È quanto rivela il rapporto Yarix, divisione Digital Security di Var Group, sull'esposizione del sistema Italia ai cyberattacchi. Il rapporto è realizzato dal punto di osservazione ‘di frontiera’ del Cognitive Security Operation Center (Cspc) e del team di Incident Response, rispettivamente dedicati alla prevenzione e monitoraggio e alla gestione dei cyberattacchi.

On line banking tra i servizi più attaccati
A catalizzare gli attacchi sono stati i servizi di online banking a disposizione degli utenti attraverso il cosiddetto phishing: l’inserimento delle proprie credenziali all’interno di pagine web ‘fake’ – create ad arte dagli hacker per ricreare le vere piattaforme online delle banche – consegna ai cyber criminali le chiavi di accesso al conto. Al passo con le più recenti contromisure tecnologiche, gli hacker hanno dimostrato di essere sempre più sofisticati e di essere in grado di utilizzare canali Sms o voce, per convincere le vittime a fornire i codici Otp necessari a concludere le operazioni bancarie più complesse.

In parallelo, le contromisure sul fronte della cybersecurity vanno facendosi sempre più sofisticate, includendo la leva della Cyber Threat Intelligence. Ossia monitorare l’attività sotterranea degli hacker, nei confronti della banca ‘nel mirino’, e contrastare con strumenti evoluti una tipologia di phishing altrettanto evoluta.

La trasformazione delle aggressioni
Rispetto al primo semestre 2020, gli analisti di Yarix evidenziano la trasformazione qualitativa degli attacchi, che anche in Italia sembrano recepire il trend, già affermato a livello globale, del Big game hunting, una vera e propria “Caccia grossa” ai danni delle aziende più grandi, ma non sempre più protette.
La caccia grossa degli hacker è, secondo Yarix, un trend destinato a consolidarsi sempre più, dal momento che giova non solo alle grandi organizzazioni di cybercrime ma anche ai piccoli gruppi di attaccanti. Questi ultimi sembrano, infatti, avere inteso che rispetto alla polverizzazione degli sforzi su aggressioni indiscriminate è più remunerativo impegnarsi nello studio accurato di una singola grande organizzazione: aumenta così anche per loro la possibilità di chiedere un riscatto corposo.
“Il focus degli hacker si è spostato dalla ‘pesca a strascico’ alla caccia alle prede più grosse: gli attacchi finalizzati alla richiesta di un riscatto vengono studiati con largo anticipo e in maniera sofisticata, scegliendo le vittime sulla base di un’analisi del web alla ricerca di accurate informazioni finanziarie. In base al volume di fatturato e agli asset economico-finanziari di ciascuna azienda, i cybercriminali identificano il proprio obiettivo, quantificando il riscatto da chiedere sulla base di un vero e proprio business plan”, commenta Mirko Gatto, ceo di Yarix.

Importi di riscatto sempre più alti
La diffusione del Big game hunting attiva, dunque, una corsa al rialzo nei riscatti, così come traspare dai dati diffusi da Coveware, società specializzata nella gestione completa di incidenti da ransomware: a livello globale, il riscatto medio richiesto dal gruppo hacker Maze nel primo semestre 2020 è pari a 420.000 dollari, mentre Ryuk e Netwalker si attestano rispettivamente sui 282.590 e 176.190 dollari. Secondo Coveware, il riscatto medio richiesto dai gruppi cybercrime è aumentato del 47% tra il primo e il secondo semestre di quest’anno.
Anche in Italia, il cybercrime sembra recepire questa tendenza globale: nei primi sei mesi del 2020, nei confronti di imprese italiane sono state avanzate richieste di riscatto sopra i 10 milioni di euro, in almeno due casi, e tra i 5 e i 10 milioni di euro in altrettante ricorrenze.

I 5 passi del cybercrime
I professionisti di Yarix hanno ricostruito i 5 tempi del crimine perfetto, dalla violazione alla richiesta di riscatto ransomware.

Il primo passaggio di un attacco informatico messo in atto da hacker professionisti è l’identificazione del punto di accesso ai sistemi, trovando la falla o il varco. In questo periodo di pandemia, la diffusione dello smart working, ha reso il phishing uno degli strumenti più diffusi di compromissione del perimetro di sicurezza delle imprese. Consente, infatti, di violare device e dispositivi di navigazione non presidiati in termini di cybersecurity. Inoltre, sempre più spesso, le credenziali non vengono carpite direttamente dagli attaccanti, ma vengono acquistate in set su specifici market all’interno del dark web. Il costo base può variare in base ai privilegi di accesso (utenze base, utenze amministrative, utenze apicali, etc).

Il secondo passaggio è l’acquisizione del controllo, ossia una volta ottenuto l’accesso iniziale, gli attaccanti proseguono infiltrando il livello amministrativo del sistema informatico, il domain controller e l’infrastruttura di backup. Compromissione e cifratura sono il terzo passaggio: in pieno controllo dei server, gli attaccanti compromettono il backup e infettano il sistema con l’eseguibile per la cifratura, che in parallelo estendono anche al maggior numero possibile di host collegati.
Va segnalato che gli hacker stanno sviluppando tool sempre più sofisticati per ridurre i tempi di permanenza all’interno della rete, comprimendo la finestra temporale (tra prima violazione e inizio della cifratura) di un eventuale intervento di gestione dell’incidente che possa fare la differenza tra livello critico e livello distruttivo. L’importo medio dei riscatti richiesti sta aumentando anche per questa riduzione dei tempi di attacco.

Il quarto passaggio è quello che gli esperti hanno definito l’esfiltrazione. Oltre alla cifratura dei server, che implica spesso un blocco dell’operatività delle organizzazioni colpite, i cybercriminali possono minacciare di rendere disponibili su pagine web pubbliche i dati sensibili: è stata rilevata l’apertura di numerosi blog, utili proprio a questo scopo. La vittima si trova così in una situazione particolarmente critica, non solo dal punto di vista industriale/operativo, ma anche sul fronte legale e reputazionale.

La richiesta di riscatto è la quinta fase in cui il crimine, se non contrastato adeguatamente, giunge al suo compimento. Un evento che deve essere gestito evitando di assecondare il ricatto, attivando professionalità capaci di contenere e gestire il danno informatico e denunciando l’accaduto.