Con Stefano Pinato, country manager per l’Italia di Barracuda Networks, parliamo di sicurezza informatica, evoluzione delle minacce cyber e delle soluzioni per la protezione delle imprese.
Durante le attività di analisi e monitoraggio dei rischi, i ricercatori di Barracuda hanno individuato 175 attacchi ransomware andati a buon fine tra agosto 2022 e luglio 2023. Il dato preoccupante riguarda i settori principali controllati dall’azienda, tra cui amministrazioni comunali, istruzione e sanità: in questi casi il numero delle segnalazioni è raddoppiato rispetto allo scorso anno e più che quadruplicato dal 2021 a oggi.
Il report annuale di Barracuda ha evidenziato dinamiche di escalation simili in altri settori, soprattutto per quanto riguarda gli attacchi ransomware rivolti alle aziende di software. Non solo, negli ultimi 12 mesi sono aumentate le truffe Business Email Compromise (BEC), ma anche ransomware, malware, minacce interne, furto di identità e fughe di dati. In particolare, il ransomware ha rappresentato il 27,3% degli incidenti, secondo soltanto alle truffe BEC (36,4%).
Tra i trend in forte ascesa, l’impiego dell’AI generativa per sviluppare attacchi ransomware. I criminali adottano le nuove funzionalità offerte dall’intelligenza artificiale per colpire in modo più rapido e preciso. Non solo, gli attaccanti stanno progressivamente prendendo di mira le applicazioni, un comparto in forte crescita e sempre più utilizzato dalle aziende (e proprio per questo potenzialmente più redditizio).
Sicurezza informatica – Attacchi QR Code e QRishing
Le e-mail restano il vettore preferito per attività fraudolente e, oltre al BEC, i malintenzionati si stanno specializzando in un nuovo tipo di attacco veicolato per posta elettronica e correlato all’uso di immagini e QR Code. In questo contesto, adottando tecniche relativamente semplici, è possibile modificare allegati di posta e documenti.
Gli hacker utilizzano i codici QR negli attacchi via e-mail per ingannare i destinatari e far sì che visitino siti web malevoli o scarichino malware sui dispositivi. Alla base, tecniche di social engineering che mirano a sfruttare la fiducia che gli utenti possono avere in merito a un dato messaggio di posta o mittente.
Sfruttando un “link di phishing”, gli aggressori inseriscono i QR Code in messaggi che inducono gli utenti a scansionare il codice e visitare una pagina fasulla. Successivamente, le vittime sono portate a inserire credenziali di login, che vengono così acquisite dagli hacker. Tramite gli ormai famigliari codici grafici è poi possibile reindirizzare gli utenti verso sondaggi o moduli da compilare con informazioni personali quali nome, indirizzo o codice fiscale, sempre a fine di furto ed estorsione di informazioni sensibili.
Analogamente, con sistemi molto simili, è possibile portare l’operatore a visitare siti malevoli, con potenziale download di malware, spyware o ransomware.
Una volta compromessi i dispositivi aziendali, gli hacker possono facilmente rubare l’identità del titolare e prendere di mira altri utenti tra i contatti della rubrica.
Questi attacchi sono difficili da individuare, poiché non sono presenti link incorporati né allegati malevoli da analizzare. In questi casi, l’adozione di tecnologie di AI e di riconoscimento delle immagini può rappresentare un valido alleato per una difesa proattiva. Di fatto, per individuare potenziali intenti fraudolenti, un rilevamento basato su AI è in grado di considerare numerosi indicatori, quali: mittente, contenuto, dimensione e posizionamento dell’immagine.
Per proteggersi da questo tipo di attacchi è opportuno che gli utenti siano debitamente formati e conoscano i pericoli del QRishing. Parallelamente è possibile integrare soluzioni come Barracuda Impersonation Protection, capace di identificare e bloccare questo genere di truffe adottando un’intelligenza artificiale opportunamente addestrata.
Rilevamento, correlazione e consapevolezza
Robert Mueller, Direttore dell’FBI dal 2001 al 2013: “Esistono solo due tipi di aziende: quelle che sono state attaccate e quelle che devono ancora esserlo”.
Ciò evidenzia che non esistono realtà che possono essere esonerate da questo fenomeno; pertanto, è importante che le imprese siano preparate a ogni evenienza. Oggi, nelle aziende esistono numerosi dispositivi di protezione; basti pensare ai meccanismi di protezione dei singoli endpoint, ai firewall perimetrali e alle infrastrutture di controllo del cloud, della posta elettronica, degli accessi…
Un simile volume di differenti architetture porta a un aumento della complessità generale. In questi casi, i team security e gli admin faticano a controllare il flusso costante di informazioni. Mancano visibilità e correlazione, due prerogative fondamentali per poter intervenire in tempo in caso di security incident. La soluzione può arrivare da piattaforme di Extended Detection and Response, o XDR. Simili piattaforme esterne consentono di aggregare le informazioni provenienti dai connettori e dai sensori di ciascun sistema di sicurezza attivo e di presentare dati e log aggregati, coerenti e puntuali al SOC.
Sicurezza informatica, oggi
Lo scenario della cybersecurity, oggi, è particolarmente variegato. Le grandi imprese e gli istituti finanziari hanno già preso coscienza della pericolosità degli attacchi online e hanno messo in campo le adeguate contromisure. Tuttavia, numerose piccole e medie imprese hanno ancora un “approccio passivo” e scarsa consapevolezza delle minacce in circolazione.
Una buona strategia difensiva deve comprendere meccanismi di protezione dei canali di comunicazione, dei sistemi di archiviazione e condivisione dei dati, protezione del perimetro, endpoint, correlazione, oltre a backup strutturati. Nell’immediato futuro sarà fondamentale e strategico avviare e sostenere attività di comunicazione, formazione e diffusione delle buone pratiche.
Anche sei managed services possono offrire l’occasione di un contatto diretto con il cliente, sarà comunque sempre il partner a fornire i prodotti e i servizi proposti da Pure Storage.
Gli armadi Rack Schneider Electric NetShelter e le PDU Rack Advanced sono pensati per data center e applicazioni ad alta densità, come applicazioni di IA e HPC.
Ignition sarà il trampolino di lancio per nuovi vendor e tecnologie disruptive, mentre Exclusive Networks rimane il percorso per l’hyper growth e l’espansione su scala globale.
