Nel 2020 il settore più colpito era stato quello finanziario e assicurativo. Ma nel 2021 i cyber-attaccanti hanno spostato l’attenzione sull’Ict: l’Intelligenza artificiale di Darktrace, fa sapere l’azienda, ha bloccato autonomamente una media di 150mila minacce a settimana contro il settore quest’anno.
Chi sono i player presi di mira
L’azienda riferisce infatti che il settore, che comprende fornitori di telecomunicazioni, sviluppatori di software e provider di servizi di sicurezza gestiti, è stato il più colpito è a livello globale nel 2021.
I risultati di Darktrace hanno origine da un’”analisi degli indicatori precoci” che osservano e rilevano i potenziali cyber-attacchi durante le diverse fasi prima che siano attribuiti a un particolare attore e si intensifichino degenerando in una crisi completa. Gli hacker attaccano i server di backup nel tentativo di disattivare o corrompere deliberatamente i file di backup, per renderli inaccessibili. Gli aggressori possono poi lanciare attacchi ransomware contro i clienti del fornitore di backup, impedendo il recupero delle informazioni e forzando il pagamento.
Attacchi all’Ict: investimento migliore
“Gli ultimi 12 mesi hanno evidenziato come gli hacker stiano cercando di accedere senza sosta alle reti dei provider di fiducia del settore IT e delle comunicazioni – spiega Justin Fier, Director for Cyber Intelligence and Analysis di Darktrace -. Molto semplicemente, per i criminali si tratta di un migliore ritorno sull’investimento rispetto, ad esempio, a un attacco verso una società nel settore dei servizi finanziari. SolarWinds e Kaseya sono solo due esempi ben noti e recenti di questo fenomeno. Purtroppo, è probabile che se ne verifichino altri a breve termine”
I risultati della ricerca sono annunciati a distanza di un anno esatto dalla compromissione della società di software statunitense SolarWinds che aveva scosso l’intera industria della sicurezza. Questo attacco alla supply chain aveva reso vulnerabili migliaia di organizzazioni all’infiltrazione attraverso l’inserimento di un codice maligno nel sistema Orion. Negli ultimi 12 mesi si è verificata, si legge in una nota, “una feroce ondata di attacchi contro il settore IT e delle comunicazioni, compresi gli attacchi ad alto profilo contro Kaseya e Gitlab”.
Come funzionano i nuovi attacchi
Gli attori delle minacce spesso utilizzano software e piattaforme di sviluppo come punti di ingresso verso altri obiettivi di alto valore, tra cui governi e autorità, grandi aziende e infrastrutture critiche. Darktrace ha osservato che il metodo di intrusione più comune è attraverso le e-mail, con le organizzazioni del settore Ict che hanno ricevuto una media di 600 campagne di phishing uniche al mese nel 2021.
Contrariamente a quanto si possa pensare, spiega l’azienda, “le e-mail inviate a queste organizzazioni non contenevano un payload maligno nascosto in un link o in un allegato. Al contrario, i cyber-criminali hanno utilizzato tecniche sofisticate inviando e-mail ‘pulite’ contenenti solo testo, nel tentativo di convincere i destinatari a rispondere e rivelare così informazioni sensibili”. Questo metodo è efficace perché, compromettendo gli account di posta elettronica, gli hacker possono successivamente sfruttare la relazione di fiducia tra il fornitore di software e i target prescelti.
Il ruolo dell’Intelligenza artificiale
Questo tipo di tecniche aggira facilmente gli strumenti di sicurezza legacy che si basano sul controllo dei link e degli allegati rispetto alle blocklist e alle firme. L’AI può impedire che queste e-mail raggiungano le caselle di posta dei dipendenti, identificando l’intera gamma di anomalie, compresi gli indicatori di minacce più sottili.
“Oggi gli attaccanti sono pazienti e creativi. Di solito cercano di entrare dalla porta principale, compromettendo i fornitori di fiducia nel settore IT e delle comunicazioni. Agli occhi dei clienti queste minacce appaiono solo come un’altra applicazione o un pezzo di hardware che arriva da un provider di fiducia – spiega ancora Fier -. Non c’è una soluzione “magica” per sventare gli attacchi “incorporati” nei vostri fornitori di software, la vera sfida per le organizzazioni sarà quindi quella di operare accettando questo rischio. Comprendere ciò che è normale per il software utilizzato e di fiducia sarà fondamentale. L’AI è adatta proprio a svolgere questo lavoro: individuare anche i più sottili cambiamenti all’interno di un software compromesso sarà la chiave per combattere gli attacchi del futuro”.
