Identità digitali sotto attacco e pericolo elezioni nel 2024. Crowdstrike fa il punto sullo stato della cybersecurity

Come ogni anno, Crowdstrike ha pubblicato il suo Global Threat Report, un documento che fa il punto su quanto accaduto nel precedente anno sotto il profilo della sicurezza informatica e fa alcune previsioni su quello che ci si potrebbe aspettare nell’anno successivo, in questo caso il 2024.

Abbiamo avuto modo di visionare il report in anteprima e di intervistare Luca Nilo Livrieri, Director, Sales Engineering Southern Europe di CrowdStrike, col quale abbiamo approfondito i temi chiave emersi dall’analisi dell’azienda. Il dato più interessante? "Per noi il dato fondamentale è quello del tempo di attacco, ridotto ancora a soli 62 minuti. Vogliamo far passare il concetto che aumentando la complessità degli attacchi e la velocità deve aumentare anche la rapidità della risposta", afferma Livrieri.

Quanto ci vuole a compromettere un’infrastruttura?

Nella sua analisi, Crowdstrike ha fatto un esempio concreto di quanto tempo è necessario per violare un sistema. Secondo l’azienda di sicurezza informatica, per un attaccante ci vogliono poco più di 39 minuti per riuscire a scovare una password tramite un attacco di tipo brute forse, magari sfruttando uno dei tanti leak di password (cifrate) disponibili sul dark web. Una volta ottenute le credenziali, inizia l’attacco. Nell’arco di 32 secondi dall’accesso, l’attaccante utilizza uno strumento legittimo e di uso comune per ottenere informazioni sul sistema. Entro 2 minuti e 52 secondi lancia un software, anche questo legittimo, per analizzare file e cartelle. 2 secondi dopo, esegue uno strumento tipo Nmap o simili per andare alla ricerca delle risorse di rete condivise. A 2 minuti e 57 secondi dall’attacco, carica sui sistemi della vittima un ransomware. Nell’arco di 4 minuti e 38 secondi apre il pannello di controllo per capire quali soluzioni di sicurezza sono in utilizzo.

Sorge subito una domanda: ma l’autenticazione a due fattori non dovrebbe prevenire l’accesso iniziale? Come ci spiega Livrieri, spesso i criminali informatici sono in grado di superare anche questo ostacolo. Per esempio con attacchi di tipo SIM Swap (come accaduto di recente con la violazione dell’account twitter di SEC). Ma anche attraverso tecniche di social engineering. “Chiedono un reset della password all’helpdesk, chiedendo poi di abbassare momentaneamente il livello di sicurezza”. Ma ci sono anche altre vie, per esempio in certi casi gli attaccanti riescono a entrare in possesso dei cookie di autenticazione, ottenendo così un accesso permanente sino a che non vengono revocati.

Il secondo dubbio è relativo all’utilizzo di strumenti per l’analisi della rete locale e delle risorse condivise. Non dovrebbe partire un allarme? In teoria sì, ma ci sono due aspetti da considerare. In alcuni casi, policy di sicurezza implementate non correttamente potrebbero consentire di utilizzare questi strumenti senza necessariamente far partire qualche avviso. Ma il fatto principale è che “solitamente chi viola un sistema cerca di puntare ad account specifici, come quelli dei tecnici IT, che naturalmente hanno l’autorizzazione a utilizzare questi strumenti”. È per esempio il caso del gruppo di criminali informatici Scattered Spider, noti per le loro campagne mirate proprio ai responsabili IT, o ai dipendenti che hanno accesso diretto alle risorse finanziare dell’azienda. Per limitare al minimo la possibilità di essere scoperti, tendono anche a configurare dei proxy locali nei sistemi delle vittime, così da far sembrare questi accessi come provenienti dall’interno, e quindi non a rischio.

2024: l’anno delle elezioni. Cosa aspettarsi nel panorama della cybersecurity

Per il 2024, Crowdstrike suggerisce di tenere molto alta l’attenzione per le elezioni. “Il 42% della popolazione mondiale andrà a votare”, afferma Livrieri. Si eleggerà il nuovo presidente USA, ma ci saranno anche importanti votazioni in Africa, Sud America, a Taiwan e non solo. Di conseguenza, è presumibile che assisteremo a un’ondata di fake news, tentativi di destabilizzazione, defacement di siti governativi o dei candidati, attacchi di tipo DDoS. I responsabili di sicurezza avranno un bel lavoro, insomma, considerato anche che probabilmente queste azioni non saranno solamente a opera di gruppi con scarse competenze o hacktivisti: molti dei gruppi sponsorizzati da Stati, e quindi dotati di buone risorse tecniche ed economiche, faranno di tutto pur di sabotare gli avversari politici o destabilizzare i sistemi democratici (e non).

Sempre nel 2024 ci saranno le Olimpiadi, e anche questo è un evento sul quale l’attenzione sarà molto elevata. Secondo Livrieri, il problema non sarà tanto quello dei tentativi di sabotare l’evento sportivo, quando la grande quantità di campagne di phishing e social engineering a tema Olimpiadi, che potrebbero portare a un elevato numero di truffe da parte di cybercriminali interessati a monetizzare tramite ransomware.

A questo proposito, poniamo l’ultima domanda al manager: ma cosa fare in caso di ransomware? Cedere o meno? “Noi consigliamo di non pagare mai”, spiega Livrieri. Ma ci sono situazioni in cui è inevitabile: pensiamo al blocco di un ospedale. In questo caso, le vite hanno la priorità su tutto, e riprendere l’operatività il prima possibile è fondamentale. In questi casi il tema è “più complesso”. E Livrieri suggerisce come prima cosa di valutare attentamente l’affidabilità di chi ha rivendicato l’attacco. E trovare un professionista in grado di interfacciarsi con gli attaccanti, verificare cosa hanno sottratto e le potenziali conseguenze che scaturirebbero dal mancato pagamento del riscatto.