Gli attacchi informatici più grandi e noti della storia

Gli attacchi informatici sono tentativi deliberati di rubare, alterare o distruggere dati o di interrompere le operazioni e danneggiare le parti digitali di un'infrastruttura critica. Questo post del blog esplora gli attacchi informatici maggiormente distruttivi nella storia, dettagliando i motivi sottostanti e l'impatto, e poi offre le migliori pratiche per la prevenzione e il rilevamento.

Tipi di attacchi informatici

Gli attacchi informatici si presentano in molte forme, tra cui le seguenti:

• Malware — Questo è il nome generale per il software dannoso che si infiltra nei sistemi per infliggere danni o rubare dati. Esempi includono virus, worm e spyware.
• Ransomware — Il ransomware è un tipo di malware che cripta i file o i sistemi di una vittima, rendendoli inaccessibili. L'attaccante poi richiede un pagamento di riscatto, spesso in criptovaluta, in cambio della chiave di decrittazione o della promessa di ripristinare l'accesso.
• Phishing — Gli attori malevoli tentano di raccogliere informazioni sensibili impersonando un'entità legittima tramite email. Gli attacchi correlati utilizzano messaggi di testo (smishing), chiamate vocali o messaggi vocali (vishing), o falsificando codici QR (quishing). In sostanza, qualsiasi cosa che richieda l'interazione dell'utente è un potenziale vettore per gli aggressori.
• Ingegneria sociale — Gli aggressori sfruttano tratti umani come la fiducia, la paura, la curiosità o l'urgenza per ingannare le persone inducendole a rivelare informazioni sensibili, concedere accessi non autorizzati o compiere altre azioni che compromettono la sicurezza.
• Attacchi di tipo Denial-of-service (DoS) — In un attacco DoS, gli avversari cercano di inondare un sistema o una rete con un traffico così elevato che diventa inaccessibile agli utenti legittimi.
• Attacchi Man-in-the-Middle (MITM) — Gli aggressori intercettano la comunicazione tra due parti per rubare dati o iniettare codice maligno.
• SQL injection — Gli aggressori sfruttano le vulnerabilità di un sito web basato su database per ottenere accesso non autorizzato ai dati.
• Gli exploit zero-day — Gli avversari si impegnano duramente per scoprire e sfruttare le vulnerabilità della cybersecurity in software o hardware prima che il fornitore le trovi ed emetta una patch.

È importante comprendere che un attacco informatico coinvolge quasi sempre una combinazione dei metodi di attacco elencati sopra, utilizzati lungo il percorso dell'attacco. Pensate a scenari come il seguente: il phishing e l'ingegneria sociale vengono utilizzati per raccogliere credenziali valide da utenti ignari in modo che gli aggressori possano utilizzarle per infiltrarsi nel sistema bersaglio. Per passare inosservati mentre si fanno strada nella rete, lanciano un attacco DoS per distrarre i difensori e, in una mossa per scavare ancora più a fondo, tenteranno di utilizzare vulnerabilità note per conquistare sistemi critici.

Motivazioni sottostanti

I fattori motivanti dietro gli attacchi informatici includono i seguenti:

• Guadagno finanziario — Gli attori malevoli monetizzano gli attacchi in diversi modi. Ad esempio, rubano informazioni personali, dati finanziari o proprietà intellettuale per venderli sul mercato nero; richiedono riscatti negli attacchi ransomware; o utilizzando smishing o vishing per convincere i dipendenti a trasferire denaro a loro.
• Motivi politici o ideologici — A volte, il movente è quello di interrompere i servizi o danneggiare la reputazione di un'organizzazione a causa di disaccordi politici o ideologici.
• Promuovere l'interesse nazionale — I paesi utilizzano la guerra cibernetica per prendere di mira agenzie governative, sistemi di difesa e infrastrutture critiche al fine di raccogliere informazioni o interrompere le operazioni.
• Spionaggio aziendale — Le aziende possono impegnarsi in attacchi informatici per rubare i segreti commerciali, la ricerca o altre informazioni proprietarie di un concorrente.
• Ego — Some attackers launch cyber attacks to demonstrate their skills, build a reputation within hacking circles or test their abilities.

Impatto degli attacchi informatici

I danni degli attacchi informatici possono estendersi ben oltre l'obiettivo immediato per influenzare comunità, economie e relazioni internazionali. Nel 2015, quando scrivevano un rapporto per il World Economic Forum, i ricercatori di McKinsey prevedevano che il cost of cyber crime (o perdita di valore economico) sarebbe stato di 3 trilioni di dollari nel 2020, mentre nel 2020 la predicted loss for 2025 è salita a 10,5 trilioni di dollari, e le attuali predictions for 2029 si aggirano intorno ai 15 trilioni di dollari.

Ma i danni finanziari non sono l'unico risultato. Di seguito sono elencate alcune delle altre principali conseguenze degli attacchi alle infrastrutture critiche (come reti elettriche, agenzie sanitarie e sistemi di trattamento dell'acqua), governi e corporazioni.

Impatto degli attacchi sull'infrastruttura critica

• Rischi per la sicurezza pubblica — Gli attacchi informatici possono causare interruzioni dei servizi che disturbano la vita quotidiana o addirittura mettono in pericolo le vite.
• Erosione della fiducia pubblica — Attacchi frequenti o gravi alle infrastrutture critiche possono minare la fiducia del pubblico nella capacità del governo di fornire servizi sicuri e affidabili.

Impatto degli attacchi sui governi

• Rischi per la sicurezza nazionale — Il furto di informazioni classificate come l'intelligence militare o danni ai sistemi di difesa e alle reti di comunicazione possono indebolire la postura difensiva di un paese.
• Rischi per la sicurezza pubblica — Le interruzioni delle operazioni governative possono paralizzare servizi cruciali, come i sistemi di risposta alle emergenze e i pagamenti alle popolazioni vulnerabili.
• Danni politici — Gli attacchi informatici e le campagne di disinformazione sono sempre più utilizzati per influenzare i risultati elettorali, manipolare l'opinione pubblica e creare disordini.

Impatto degli attacchi sulle aziende

• Danni alla reputazione e perdita di entrate — Una violazione può erodere la fiducia dei clienti, risultando in una perdita di affari. Può anche danneggiare le relazioni con partner e catena di fornitura.
• Perdita del vantaggio competitivo — Il furto di informazioni proprietarie come segreti commerciali e ricerche può indebolire la posizione competitiva di un'azienda.
• Conformità sanzioni — Una violazione dei dati regolamentati può comportare pesanti sanzioni, un maggiore controllo durante le future ispezioni e persino restrizioni sulle operazioni aziendali fondamentali come l'accettazione dei pagamenti con carta di credito.

Il caso speciale della guerra cibernetica

La guerra cibernetica richiede una discussione speciale. Gli stati nazionali impiegano capacità cibernetiche avanzate per perseguire obiettivi strategici, politici ed economici su un palcoscenico globale, con l'intenzione di minare gli avversari o ottenere un vantaggio competitivo. Infatti, la guerra cibernetica ha intensificato le tensioni geopolitiche e creato un ambiente dove robuste capacità difensive e offensive cibernetiche sono una parte essenziale della strategia di sicurezza nazionale.

Gli aspetti chiave della guerra cibernetica includono:

• Spionaggio — Molti stati nazionali utilizzano attacchi informatici per raccogliere informazioni su strategie politiche, progressi tecnologici, tendenze economiche e altro.
• Attacchi alle infrastrutture — Gli stati prendono di mira anche infrastrutture critiche come reti energetiche, sistemi sanitari e istituzioni finanziarie per dimostrare il loro potere o destabilizzare gli avversari.
• Disinformazione — Un'altra tattica di cyberwar consiste nel diffondere disinformazione attraverso i social media per influenzare la politica di altri paesi, creando instabilità sociale e politica. Ciò include tentativi di influenzare l'opinione pubblica o manipolare i processi elettorali.
• Sabotaggio economico — Gli stati nazionali possono rubare la proprietà intellettuale o minare le operazioni aziendali e governative al fine di danneggiare l'economia di un avversario e indebolirne la posizione nell'economia globale.
• Uso di attori proxy — Gli stati nazionali spesso sponsorizzano gruppi di hacker, appaltatori privati e altre terze parti per eseguire operazioni informatiche per loro conto. Questo approccio li aiuta a negare la responsabilità e a evitare conseguenze.

Panoramica storica: Gli attacchi informatici più noti della storia

Evoluzione degli attacchi informatici

Negli anni, gli attacchi informatici sono diventati più complessi, sofisticati e distruttivi. Ecco una breve storia:

• Primi tempi (anni '70-'80) — Le prime minacce informatiche erano virus e worm basilari, creati prevalentemente per esperimenti.
• L'ascesa del malware (anni '90) — Con la diffusione dei computer personali, iniziarono a comparire virus, trojan e worm via email, diffondendosi tramite allegati email e dischetti.
• Attacchi motivati finanziariamente (anni 2000) — Questo periodo ha visto un'esplosione di spyware, phishing, campagne di social engineering. Gli avversari hanno anche iniziato a creare reti di computer infetti (botnet) per lanciare attacchi distribuiti di negazione del servizio (DDoS).
• Crimine informatico organizzato e APT (anni 2010) — Successivamente si è verificata una serie di attacchi ransomware come CryptoLocker e WannaCry. Nazioni e altri gruppi hanno iniziato a utilizzare minacce persistenti avanzate (APT) per infiltrarsi nei sistemi rimanendo non rilevati e rubando dati nel tempo. Inoltre, gli hacker hanno sfruttato le vulnerabilità nei dispositivi IoT per ottenere accesso non autorizzato o controllare le reti.
• Minacce moderne (anni 2020) — Negli ultimi anni abbiamo assistito a una riduzione della soglia per il cybercrimine. Ad esempio, le offerte di ransomware-as-a-service (RaaS) ora facilitano gli attacchi con kit e servizi ransomware, e strumenti basati sull'IA consentono anche agli amatori di creare deepfake per ingannare o manipolare i bersagli. Un'altra tendenza sono gli attacchi alla catena di approvvigionamento come SolarWinds, dove i fornitori di software o hardware sono presi di mira come porta d'accesso per infiltrarsi nei sistemi dei loro clienti. Anche gli attacchi diretti alle infrastrutture critiche come i sistemi sanitari sono aumentati.

Una cronologia dei principali attacchi informatici

Tre dei più grandi attacchi informatici di tutti i tempi

Di seguito alcuni dei più grandi attacchi informatici della storia.

WannaCry (2017)

L'attacco WannaCry nel maggio 2017 ha infettato utenti singoli e grandi organizzazioni in tutto il mondo con ransomware. Gli Stati Uniti e il Regno Unito hanno attribuito l'attacco al Lazarus Group della Corea del Nord.

• Contesto — In aprile, un gruppo di hacker chiamato Shadow Brokers ha divulgato alcuni strumenti presumibilmente sviluppati dall'Agenzia per la Sicurezza Nazionale degli Stati Uniti (NSA), inclusi EternalBlue, l'exploit utilizzato nell'attacco WannaCry. Microsoft aveva già rilasciato una patch di sicurezza per correggere la vulnerabilità sfruttata da EternalBlue, ma molte organizzazioni non hanno applicato tempestivamente questo aggiornamento critico.
• Metodologia — Il ransomware si è diffuso tramite email di phishing o sfruttando direttamente la vulnerabilità EternalBlue in sistemi non aggiornati. Si è servito di un meccanismo simile a un worm per propagarsi attraverso le reti. Poi ha criptato i file e richiesto un pagamento per ottenere le chiavi di decrittazione. L'importo iniziale del riscatto era di 300 dollari in Bitcoin per dispositivo, che aumentava se il pagamento non veniva effettuato entro un tempo specificato.
• Risposta — Un ricercatore di sicurezza ha rapidamente scoperto un interruttore di spegnimento nel codice del ransomware, interrompendone la diffusione registrando un dominio non registrato codificato nel malware. Tuttavia, alle organizzazioni è stato consigliato di applicare le patch Microsoft e rafforzare le loro difese di cybersecurity.
• Impatto — L'attacco ha colpito oltre 200.000 dispositivi in 150 paesi, con i settori sanitario, dei trasporti, bancario e delle telecomunicazioni duramente colpiti. Ad esempio, molti ospedali e cliniche del Servizio Sanitario Nazionale del Regno Unito (NHS) sono stati paralizzati, con migliaia di appuntamenti cancellati e procedure mediche ritardate. I danni sono stati stimati tra i 4 e gli 8 miliardi di dollari.
• Lezioni apprese — L'incidente ha sottolineato l'importanza dei backup regolari del sistema, di una robusta protezione degli endpoint e della formazione dei dipendenti.

Yahoo (2014)

Un data breach del 2014 su Yahoo ha esposto i dati di oltre 500 milioni di utenti; tuttavia, la violazione non è stata resa pubblica fino a due anni dopo. Gli Stati Uniti hanno attribuito il crimine a quattro individui, inclusi due hacker presumibilmente collegati al Servizio Federale di Sicurezza della Russia. Un precedente attacco del 2013 aveva compromesso tutti i 3 miliardi di account Yahoo.

• Metodologia — Si ritiene che gli aggressori abbiano utilizzato spear-phishing e possibilmente altre tecniche per infiltrarsi nei sistemi di Yahoo. Successivamente hanno ottenuto l'accesso ai dati di 500 milioni di utenti, inclusi i loro nomi, indirizzi email, password criptate con un algoritmo debole, date di nascita, numeri di telefono e domande e risposte di sicurezza.
• Risposta — È stato consigliato agli utenti di reimpostare le proprie password, implementare l'autenticazione a più fattori (MFA) e monitorare i propri account per attività sospette. Yahoo ha dovuto lavorare per migliorare le proprie pratiche di cybersecurity, inclusi l'aggiornamento degli standard di crittografia e l'adozione di capacità di rilevamento delle intrusioni più robuste.
• Impatto — Insieme, le violazioni del 2013 e del 2014 si distinguono come le più grandi violazioni di dati nella storia. Milioni di utenti hanno affrontato un alto rischio di furto d'identità, phishing e altri crimini informatici perché le loro informazioni personali sono state esposte. La violazione ha eroso la fiducia degli utenti e danneggiato la reputazione di Yahoo, poiché l'azienda ha affrontato cause legali, scrutinio normativo e accordi per un totale di centinaia di milioni di dollari. Verizon ha acquisito Yahoo nel 2017, con le violazioni che hanno ridotto il prezzo di acquisizione di 350 milioni di dollari.
• Lezioni apprese — Yahoo ha ricevuto critiche per non aver divulgato l'incidente fino a due anni dopo, portando a richieste di leggi più severe sulla notifica di violazione dei dati. Ha anche evidenziato la necessità di regolamenti completi sulla protezione dei dati, come il GDPR, per imporre responsabilità e proteggere le informazioni degli utenti.

Rete Elettrica dell'Ucraina (2015)

Un attacco del 2015 in Ucraina è stato il primo attacco informatico a interrompere l'alimentazione elettrica di una nazione. Si ritiene che l'attacco sia stato messo in scena da Sandworm, un gruppo di hacker russi.

• Metodologia — Hanno ottenuto l'accesso alla rete tramite email di phishing contenenti un malware chiamato BlackEnergy 3. Successivamente, hanno utilizzato il malware per eseguire attività di ricognizione e spostarsi lateralmente per identificare sistemi critici e raccogliere credenziali per accedere ai sistemi di Supervisory Control and Data Acquisition (SCADA). Utilizzando le credenziali rubate, hanno emesso comandi a distanza per aprire gli interruttori, disconnettendo l'alimentazione alle sottostazioni.
• Impatto — Circa 230.000 residenti hanno perso l'elettricità per fino a 6 ore. Servizi come ospedali e sistemi di trasporto sono stati altresì temporaneamente interrotti.
• Risposta — Per rallentare la risposta, gli aggressori hanno distribuito il malware KillDisk per sovrascrivere il firmware e rendere i dispositivi inoperabili e hanno lanciato un attacco di denial-of-service telefonico sulle linee di assistenza clienti per impedire agli utenti di segnalare interruzioni. Le compagnie energetiche hanno dovuto fare affidamento su processi manuali per giorni e, poiché gli aggressori avevano disabilitato le capacità remote, le squadre sul campo hanno dovuto operare manualmente gli interruttori per ripristinare l'energia. I sistemi interessati sono stati ricostruiti o ripristinati dai backup.
• Lezioni apprese — Le compagnie energetiche hanno preso provvedimenti per isolare i sistemi critici dalle reti pubbliche e aumentare la consapevolezza dei dipendenti riguardo al phishing. Più in generale, l'incidente ha dimostrato quanto possa essere vulnerabile l'infrastruttura critica agli APT e i crescenti rischi della guerra cibernetica.

Recenti principali attacchi informatici

Alcuni dei più grandi attacchi informatici degli ultimi cinque anni sono discussi di seguito.

MOVEit (2023)

Nel 2023, un gruppo di cybercriminali di lingua russa chiamato Clop ha sfruttato una vulnerabilità nel software MOVEit Transfer per rubare enormi quantità di dati.

• Metodologia — Sfruttando una vulnerabilità del software (CVE-2023-34362) e distribuendo un web shell chiamato LEMURLOOT, il gruppo è stato in grado di eseguire comandi SQL non autorizzati ed esfiltrare dati. Hanno minacciato di pubblicare i dati rubati a meno che non venisse pagato un riscatto.
• Risposta — Progress Software ha rilasciato delle patch per risolvere la vulnerabilità immediatamente dopo la sua scoperta. Si è consigliato alle organizzazioni di applicare le patch software, eseguire scansioni dei sistemi alla ricerca di indicatori di compromissione (IOC) e aggiornare le configurazioni di sicurezza.
• Impatto — Oltre 2.500 organizzazioni sono state colpite, tra cui Amazon, la BBC, British Airways, Shell e il Dipartimento dell'Educazione della città di New York. L'incidente ha esposto i dati sensibili di circa 60 milioni di individui, inclusi informazioni personali identificabili (PII), dati finanziari e comunicazioni interne.

Colonial Pipeline (2021)

Il 7 maggio 2021, Colonial Pipeline ha subito un attacco ransomware che ha interrotto le forniture di carburante lungo la costa orientale. DarkSide, un gruppo di cybercriminali ritenuto basato nell'Europa orientale, ha perpetrato l'attacco.

• Metodologia — Gli aggressori hanno ottenuto l'accesso iniziale utilizzando una password compromessa per un account VPN che non aveva l'MFA attivato, che gli investigatori ritengono sia stata ottenuta da un database del dark web. Successivamente hanno rubato 100 gigabyte di dati e distribuito ransomware per criptare i sistemi di rete aziendali di Colonial Pipeline.
• Risposta — Sebbene i sistemi di tecnologia operativa (OT) non siano stati direttamente colpiti, l’azienda ha interrotto le operazioni per precauzione. Successivamente ha pagato ai responsabili del ransomware un riscatto di circa 75 Bitcoin, pari a quasi 5 milioni di dollari. Tuttavia, lo strumento di decrittazione fornito dagli aggressori si è rivelato lento e inefficiente, e l’azienda ha dovuto collaborare con esperti di cybersicurezza per ripristinare le operazioni. Nel giugno 2021, il Dipartimento di Giustizia (DOJ) ha recuperato 2,3 milioni di dollari del pagamento del riscatto tracciando il portafoglio Bitcoin.
• Impatto — Colonial Pipeline fornisce quasi il 45% del carburante della Costa Orientale, inclusi benzina, diesel e carburante per jet. Le operazioni sono state interrotte per diversi giorni a seguito dell'attacco, che ha causato ampie carenze di carburante e panico nel sud-est degli Stati Uniti. Il governo degli Stati Uniti ha dichiarato lo stato di emergenza per mitigare l'impatto della carenza di carburante.

SolarWinds (2020)

Nel dicembre 2020, è stato rivelato che la compagnia di gestione IT SolarWinds era stata compromessa in un attacco alla catena di approvvigionamento. Gli hacker si sono infiltrati nei sistemi di SolarWinds e hanno inserito codice malevolo negli aggiornamenti per la loro piattaforma software Orion, ampiamente utilizzata per il monitoraggio e la gestione IT. Oltre 18.000 clienti di SolarWinds hanno scaricato l'aggiornamento software compromesso, fornendo agli attaccanti un potenziale varco nei loro sistemi per commettere spionaggio. L'attacco è attribuito a un gruppo di minacce spesso collegato al Servizio di Intelligence Estero della Russia (SVR).

• Metodologia —Gli aggressori hanno sfruttato le vulnerabilità nei prodotti Microsoft, nei servizi e nell'infrastruttura di distribuzione del software. Ad esempio, hanno abusato della vulnerabilità Zerologon per accedere alle credenziali nelle reti che hanno violato, il che a sua volta ha permesso loro di compromettere gli account email di Office 365. Un altro difetto del software potrebbe aver consentito loro di eludere l'MFA.
• Risposta — La comunità della sicurezza ha fornito strumenti per determinare quali clienti fossero stati violati, un kill switch per il malware utilizzato nell'attacco, contromisure per un potenziale abuso di software rubato ai clienti e altro ancora.
• Impatto — Questo attacco alla catena di approvvigionamento ha colpito molteplici agenzie governative statunitensi, inclusi il Department of Homeland Security (DHS), il Department of the Treasury e il Department of Commerce. Ha inoltre colpito migliaia di organizzazioni private in tutto il mondo, tra cui Microsoft. Gli investitori di SolarWinds hanno presentato una class action legata ai fallimenti della sicurezza e alla conseguente caduta del prezzo delle azioni.

Peggiori attacchi informatici nei settori governativi e della difesa

Di seguito sono riportati i peggiori attacchi informatici della storia relativi ai settori governativi e della difesa.

SQL Slammer (2003)

SQL Slammer è stato uno degli attacchi malware che si sono diffusi più velocemente nella storia. Sfruttando una vulnerabilità nota in Microsoft SQL Server, il worm ha infettato sistemi vulnerabili in pochi minuti e si è diffuso esponenzialmente senza richiedere interazioni da parte degli utenti. La sua rapida propagazione ha causato interruzioni diffuse, inclusi guasti in ATM, sistemi di compagnie aeree e servizi di risposta alle emergenze.

Anche se non ha rubato dati, il worm ha generato enormi quantità di traffico di rete, lanciando di fatto un attacco di tipo denial-of-service. Le conseguenze hanno spinto organizzazioni in tutto il mondo a dare priorità alla gestione delle patch e hanno evidenziato l'importanza critica degli aggiornamenti software tempestivi per proteggersi dalle vulnerabilità note.

Guerra cibernetica Russia-Ucraina (2022 e successivi)

Il conflitto Russia-Ucraina è stato segnato da significative guerre cibernetiche. Prima e durante la sua invasione dell'Ucraina, la Russia ha lanciato numerosi attacchi informatici mirati alle infrastrutture ucraine, alcuni dei quali la Corte Penale Internazionale (ICC) sta indagando come possibili crimini di guerra. Ad esempio, un attacco informatico del 2022 ha compromesso oltre 70 siti web governativi ucraini, e ulteriori operazioni hanno preso di mira sia il governo che i siti web bancari ucraini, portando a significative interruzioni. La Russia ha anche tentato di interrompere la rete elettrica dell'Ucraina attraverso mezzi cibernetici, mirando a creare ampi blackout e caos.

L'Ucraina ha risposto con strategie cyber sia offensive che difensive. In particolare, un gruppo di volontari cyber ha iniziato a prendere di mira i siti web del governo russo e le istituzioni finanziarie, e le nazioni alleate hanno fornito supporto tecnico e di intelligence per rafforzare le difese cyber.

Questi eventi sottolineano il ruolo critico della guerra cibernetica nei conflitti moderni e evidenziano la necessità di misure di cybersecurity robuste e di cooperazione internazionale.

Ufficio del Personale degli Stati Uniti (OPM) (2014)

L'OPM degli Stati Uniti ha subito uno dei più estesi furti di dati governativi nella storia degli Stati Uniti. Gli aggressori hanno utilizzato credenziali rubate da un subappaltatore per accedere ai sistemi dell'OPM. In seguito è emerso che avevano mantenuto l'accesso ai sistemi dell'OPM per quasi un anno.

Circa 22,1 milioni di individui, inclusi dipendenti federali e appaltatori, sono stati colpiti. I dati violati includevano nomi, numeri di previdenza sociale e dati delle impronte digitali, così come informazioni sulle autorizzazioni di sicurezza quali dati sui familiari, coinquilini, contatti stranieri e informazioni psicologiche.

L'OPM ha offerto servizi di monitoraggio del credito e protezione contro il furto d'identità alle persone colpite, e sia il Direttore dell'OPM che il Chief Information Officer hanno dovuto dimettersi.

L'impatto degli attacchi informatici sulle aziende

Marriott (2018)

Nel novembre 2018, Marriott International ha rivelato una massiccia violazione dei dati iniziata nel 2014 presso Starwood, un'azienda acquisita da Marriott nel 2016 ma che non era ancora stata migrata al proprio sistema di prenotazione. Gli esperti di cybersecurity ritengono che attori sponsorizzati dallo stato, possibilmente dalla Cina, fossero responsabili della violazione, in parte perché i dati compromessi sarebbero stati utili per le agenzie di intelligence straniere.

• Metodologia — Le indagini hanno rivelato che gli aggressori avevano installato malware, inclusi Remote Access Trojans (RATs) e strumenti come mimikatz, per ottenere accesso ed esfiltrare dati.
• Impatto — Gli aggressori hanno avuto accesso a centinaia di milioni di record dei clienti nel database delle prenotazioni degli ospiti di Starwood. I dati includevano non solo i nomi, ma anche informazioni altamente sensibili come numeri di passaporto e numeri di carte di pagamento con le rispettive date di scadenza. Marriott ha offerto agli ospiti un anno gratuito di servizi di monitoraggio dell’identità. Nel 2024, l’azienda ha accettato di pagare una sanzione di 52 milioni di dollari per questo incidente e altri due casi di violazione dei dati, oltre a impegnarsi a migliorare i propri processi di gestione e protezione delle informazioni sensibili.

La PlayStation Network (PSN) di Sony (2011)

La PlayStation Network di Sony, una delle più grandi piattaforme di giochi e intrattenimento digitale, ha subito un attacco nel 2011.

• Metodologia — Gli hacker hanno sfruttato vulnerabilità nell'infrastruttura PSN, debole sicurezza del server e memorizzazione dei dati senza un'adeguata cifratura.
• Risposta — Quando Sony ha rilevato un accesso non autorizzato, ha chiuso la PlayStation Network per indagare sulla violazione. Il ripristino completo dei servizi ha richiesto diverse settimane.
• Impatto — La violazione ha compromesso i dati personali di quasi 77 milioni di account PSN, inclusi nomi, indirizzi, indirizzi email, date di nascita e credenziali di accesso. Sony ha stimato il costo della violazione in 171 milioni di dollari. L'azienda è stata obbligata a implementare nuovi protocolli di crittografia, firewall e sistemi di monitoraggio per rafforzare la sicurezza della rete. Come incentivo, ha lanciato un programma “Welcome Back” offrendo agli utenti colpiti giochi gratuiti, film e un abbonamento a PlayStation Plus della durata di un mese.

Equifax (2017)

Equifax, una delle più grandi agenzie di rapporti di credito negli Stati Uniti, ha subito uno dei più grandi furti di dati sensibili fino ad oggi. Nel febbraio 2020, il governo degli Stati Uniti ha incriminato membri dell'Esercito di Liberazione del Popolo cinese per l'incidente.

• Metodologia — Per ottenere l'accesso alla rete aziendale di Equifax, gli aggressori hanno sfruttato una vulnerabilità in un framework per applicazioni web open-source chiamato Apache Struts. Successivamente, hanno compromesso le credenziali degli impiegati di Equifax, il che ha permesso loro di accedere ai database di monitoraggio del credito. Per evitare di essere rilevati, gli hacker hanno esfiltrato i dati pezzo per pezzo con attenzione da 51 database.
• Risposta — La violazione è rimasta non rilevata per 76 giorni. Dopo la sua scoperta, Equifax ha rifiutato l'assistenza del Department of Homeland Security e ha invece ingaggiato una società privata di cybersecurity per aiutare nella risposta alla violazione. L'analisi ha rivelato che una patch era disponibile per il difetto di Apache Struts ben prima della violazione, ma Equifax non l'aveva ancora applicata. (Infatti, un audit interno del 2015 aveva scoperto problemi sistemici con il processo di patching dell'azienda, ma la maggior parte di essi non era stata affrontata prima della violazione del 2017.) Inoltre, alcuni sistemi mancavano di adeguata crittografia e protocolli di sicurezza.
• Impatto — L'incidente ha esposto le informazioni sensibili di circa 147,9 milioni di residenti statunitensi (quasi metà della popolazione del paese) e milioni di cittadini britannici e canadesi. Equifax ha sostenuto costi per 1,4 miliardi di dollari, inclusi monitoraggio del credito gratuito e protezione contro il furto d'identità per gli individui colpiti e miglioramenti della sicurezza informatica come una crittografia più robusta, MFA e monitoraggio delle minacce in tempo reale. Equifax ha inoltre affrontato diverse cause legali e indagini da parte di regolatori ed entità private. L'incidente ha provocato audizioni congressuali e richieste di leggi sulla protezione dei dati più rigorose.

Notabili attacchi informatici di spionaggio

Google (2009)

Un sofisticato attacco a Google nel 2009 aveva lo scopo di raccogliere informazioni su attivisti per i diritti umani e dissidenti politici critici nei confronti del governo cinese. Era probabilmente anche parte di uno sforzo più ampio per rubare proprietà intellettuale e segreti aziendali.

• Metodologia — Gli aggressori hanno sfruttato una vulnerabilità zero-day in Microsoft Internet Explorer che ha permesso loro di eseguire a distanza codice malevolo chiamato Aurora, per stabilire un punto d'appoggio ed esfiltrare dati. Hanno anche utilizzato email di spear-phishing per prendere di mira i dipendenti e ottenere l'accesso al sistema.
• Risposta — L'attacco ha preso di mira l'infrastruttura di Google in Cina, ma più di 20 altre organizzazioni sono state vittime, tra cui Adobe Systems, Yahoo, Juniper Networks e Northrop Grumman.
• Impatto — Questo incidente di spionaggio informatico ha avuto implicazioni di vasta portata. Google ha annunciato che non avrebbe più censurato i risultati di ricerca in Cina come richiesto dalla legge cinese; invece, ha iniziato a reindirizzare gli utenti cinesi al suo sito di Hong Kong non censurato. L'attacco ha anche messo sotto tensione le relazioni tra USA e Cina. Anche se Google non ha accusato direttamente il governo cinese, esperti di cybersecurity e funzionari statunitensi hanno indicato gli hacker sponsorizzati dallo stato cinese come i probabili colpevoli.

Programma nucleare dell'Iran (2010)

L'attacco informatico Stuxnet del 2010 è stato un'operazione rivoluzionaria e altamente sofisticata che ha preso di mira il programma di arricchimento nucleare dell'Iran. Ha utilizzato un worm informatico per danneggiare fisicamente le apparecchiature industriali, segnando una nuova era nella guerra cibernetica.

• Contesto — All'inizio degli anni 2000, l'Iran arricchiva uranio, suscitando preoccupazione tra le nazioni occidentali che potesse acquisire armi nucleari e destabilizzare ulteriormente la regione. Gli sforzi diplomatici e le sanzioni economiche non erano riusciti a fermare il progresso dell'Iran.
• Metodologia — L'attacco informatico si è basato su Stuxnet, un worm informatico sofisticato ritenuto sviluppato congiuntamente dagli Stati Uniti e Israele in un'operazione segreta. Per infiltrarsi nei sistemi di controllo industriale degli impianti di arricchimento dell'uranio in Iran, che erano privi di connessioni internet, il worm si è diffuso attraverso chiavette USB infette e ha sfruttato vulnerabilità zero-day nei sistemi Windows. Una volta all'interno, Stuxnet ha modificato i parametri operativi delle centrifughe, facendole girare a velocità superiori alla loro tolleranza, portando a guasti meccanici. Allo stesso tempo, inviava feedback falsi ai sistemi di monitoraggio, facendo sembrare che le operazioni procedessero normalmente.
• Impatto — Si ritiene che Stuxnet abbia distrutto circa 1.000 centrifughe, un notevole contrattempo per l'obiettivo dell'Iran di ottenere uranio arricchito a livello bellico. L'attacco ha intensificato la corsa agli armamenti cibernetici globale, con più nazioni che investono in capacità cibernetiche offensive e difensive. In particolare, l'Iran ha iniziato a lanciare attacchi informatici contro istituzioni finanziarie e infrastrutture statunitensi. L'uso di Stuxnet ha sollevato anche dibattiti sulla legalità degli attacchi informatici secondo il diritto internazionale.

Migliorare la prevenzione e la risposta agli attacchi informatici

Gli attacchi informatici dettagliati sopra evidenziano la necessità per tutte le organizzazioni di migliorare le proprie misure di cybersecurity e la pianificazione della resilienza, così come la cooperazione internazionale nel combattere le minacce in evoluzione.

Sviluppo di una strategia di risposta agli incidenti

Le organizzazioni che intendono sviluppare un piano di risposta agli incidenti efficace dovrebbero considerare l'inclusione delle seguenti strategie:

Contenimento e mitigazione immediati

• Scollegare i sistemi interessati dalla network per impedire che l'attacco si diffonda.
• Attivate team di cybersecurity interni o esterni per valutare e neutralizzare l'attacco.
• Utilizza backup puliti per ripristinare dati e sistemi se compromessi.
• Dai priorità ai dati critici e all'infrastruttura.
• Coinvolgere le forze dell'ordine per indagare e rintracciare gli aggressori.

Comunicazione

• Notificare a tutti i dipendenti la violazione e fornire linee guida.
• Se i dati dei clienti vengono compromessi, seguire i requisiti legali e le politiche interne per quanto riguarda la notifica alle parti interessate.
• Emissione di comunicati stampa per mantenere la trasparenza e controllare il racconto degli eventi.

Indagine

• Indaga sulla natura dell'attacco, il vettore di ingresso e l'identità degli aggressori.
• Eseguire un'analisi delle cause principali per identificare e risolvere le vulnerabilità al fine di prevenirne la ricorrenza.

Conformità Legale e Normativa

• Segnalare l'attacco alle autorità competenti, come le agenzie di protezione dei dati.
• Se l'incidente è stato il risultato di negligenza da parte di un fornitore terzo, prendere in considerazione un'azione legale.

Rafforzare le difese

• Applica le patch per aggiornare il software e chiudere le vulnerabilità.
• Implementare firewall, sistemi di rilevamento delle intrusioni e Endpoint Management per migliorare la sicurezza.
• Formate i dipendenti a riconoscere il phishing e altre minacce.

Opzioni di risposta del governo

Oltre a rispondere direttamente alle violazioni utilizzando le strategie di risposta sopra menzionate, i governi possono avere ulteriori opzioni disponibili, come le seguenti:

Misure diplomatiche

• Identificare pubblicamente il responsabile.
• Imporre sanzioni economiche o politiche a entità che conducono o sponsorizzano attacchi.
• Collabora con partner e alleanze internazionali come la NATO o l'ONU per rafforzare le difese collettive contro le minacce informatiche.

Azioni Legali e Politiche

• Rafforzare la legislazione sul cybercrime per applicare le leggi appropriate e perseguire gli aggressori.
• Stabilire requisiti di reporting per le aziende per migliorare la trasparenza.
• Favorire la cooperazione multinazionale e internazionale tra le agenzie di applicazione della legge incaricate di combattere la criminalità informatica

Capacity Building

• Sviluppare framework per il risk management e la prevenzione.
• Collaborare con aziende private per proteggere le infrastrutture critiche.
• Avvia campagne di sensibilizzazione per educare il pubblico sull'igiene informatica.

Ritorsione

La rappresaglia può essere divisa in due varianti: hackbacks e contrattacchi.

• In uno scenario di hack back, lo stato attaccato tenta di contrastare l'attacco informatico contrattaccando l'autore dell'attacco. Gli hack back sono controversi e la maggior parte dei ricercatori non li considera un'opzione valida.
• L'altra variante, ancora più estrema, nella quale i paesi potrebbero considerare il lancio di controattacchi fisici, è discussa nei forum politici. Finora, una risposta militare non è mai stata utilizzata per attacchi informatici come rappresaglia diretta per un attacco informatico.

Migliori pratiche di cybersecurity per aziende e governi

Per aumentare la resilienza contro le minacce informatiche, le organizzazioni di qualsiasi settore possono adottare le seguenti misure:

Threat Prevention

• Applicare rigorosamente il principle of least privilege e limitare i diritti di accesso di ogni utente a ciò che è necessario per il loro ruolo.
• Implementare un MFA intelligente.
• Aggiornate e applicate regolarmente le patch ai sistemi.
• Eseguire regolarmente valutazioni dei risk assessments per identificare vulnerabilità.
• Effettua periodicamente dei test di penetrazione per verificare l'efficacia delle difese attuali contro attacchi informatici simulati.
• Implementare una politica di Zero Trust per l'accesso alla rete.
• Condurre formazione sulla consapevolezza della sicurezza per tutti gli utenti, assicurandosi di coprire il phishing, l'ingegneria sociale e altri vettori di attacco comuni e fornire un modo semplice per segnalare attività sospette. Utilizzare scenari di minaccia simulati, come eseguire campagne di phishing fittizie, per testare la risposta e la consapevolezza dei dipendenti.

Threat Detection and Response

• Migliora il rilevamento delle minacce implementando sistemi di endpoint detection and response (EDR) e intrusion detection systems (IDS).
• Monitora l'attività e utilizza analisi avanzate per individuare comportamenti sospetti.
• Iscriviti ai feed di intelligence sulle minacce per rimanere informato sulle nuove vulnerabilità.
• Collabora con aziende di cybersecurity, forze dell'ordine e agenzie governative per condividere intelligence sulle minacce e altre risorse.

Recupero degli incidenti

• Crea un piano di risposta agli incidenti completo che delinei ruoli, responsabilità e passaggi per contenere e riprendersi dagli incidenti informatici.
• Eseguire il backup dei dati e dei sistemi chiave come Active Directory regolarmente e testare approfonditamente i backup. Conservare tutti i backup in modo sicuro utilizzando archiviazione esterna e immutabile.

Come Netwrix può aiutare

Netwrix offre una suite di soluzioni per aiutare le organizzazioni a rafforzare le loro difese contro gli attacchi informatici, rilevare le minacce in anticipo e mitigare i danni potenziali. Esse includono:

• Netwrix Auditor fornisce una visibilità completa degli ambienti IT auditando modifiche, configurazioni e permessi di accesso. Consente alle organizzazioni di rilevare attività sospette, indagare su incidenti e affrontare vulnerabilità per ridurre il rischio di attacchi.
• Netwrix Threat Prevention offre monitoraggio in tempo reale e analisi per identificare comportamenti insoliti e potenziali minacce all'interno della tua infrastruttura, consentendo azioni proattive per mitigare i rischi.
• Netwrix Threat Manager consente ai team di sicurezza di automatizzare le risposte alle minacce, semplificando la gestione degli incidenti e riducendo i tempi necessari per affrontare efficacemente gli incidenti di sicurezza.
• Netwrix Endpoint Protector sventa gli attacchi informatici alla loro origine proteggendo i punti finali. Monitora e controlla l'accesso ai dati sensibili, rileva attività sospette e impedisce modifiche non autorizzate e l'esfiltrazione dei dati.

Conclusione: Lezioni dai più grandi attacchi informatici

La storia insegna che le minacce informatiche sono una sfida persistente e in crescita. Con l'evoluzione della tecnologia, sono evolute anche le metodologie di attacco. Il cybercrime è diventato sempre più commercializzato, con piattaforme del dark web che facilitano la vendita di dati rubati e offrono ransomware e altre opzioni come servizi. Le nazioni ora utilizzano le capacità informatiche per spionaggio, sabotaggio e influenza, con le infrastrutture critiche che sono diventate un obiettivo principale con impatti devastanti nel mondo reale.

Andando avanti, possiamo aspettarci un'espansione delle superfici di attacco. La proliferazione di dispositivi Internet of Things (IoT), dalle case intelligenti ai sensori industriali, creerà più punti di ingresso per gli attaccanti. Entro il 2030, miliardi di dispositivi saranno connessi, molti dei quali con sicurezza inadeguata. Man mano che l'intelligenza artificiale diventa incorporata nei sistemi critici, gli attaccanti prenderanno di mira le vulnerabilità nei modelli di IA e nei loro processi decisionali. Il lancio del 5G e delle future tecnologie di rete aumenterà la connettività, esponendo più reti a maggiori minacce informatiche.

Allo stesso tempo, le minacce diventeranno ancora più sofisticate. Gli avversari utilizzeranno l'intelligenza artificiale per creare malware più avanzati, automatizzare gli attacchi e imitare il comportamento umano negli schemi di phishing. I computer quantistici potrebbero rendere obsoleti i metodi di crittografia attuali, esponendo i dati sensibili alla decrittazione.

Le chiavi per mitigare il rischio includono preparazione, collaborazione e innovazione. L'elemento umano rimane un anello debole importante, evidenziando la necessità di una formazione solida e controlli di accesso efficaci. Le tecnologie avanzate possono svolgere un ruolo importante sia in difesa che in attacco; per esempio, l'IA può consentire una rilevazione e risposta alle minacce più veloce e accurata mentre il calcolo quantistico consentirà una crittografia più forte e sistemi di comunicazione meglio protetti. Più in generale, le organizzazioni devono stabilire piani di risposta agli incidenti chiari, mantenere backup affidabili e implementare strategie di resilienza robuste.

FAQ

Qual è stato il più grande attacco informatico della storia?

L'attacco informatico più distruttivo della storia è ampiamente considerato essere l'attacco NotPetya del giugno 2017. Sebbene il bersaglio principale fosse l'Ucraina, il malware si è diffuso rapidamente a livello globale, con danni stimati oltre i 10 miliardi di dollari.

Qual è stato il più grande attacco informatico negli Stati Uniti?

Gli attacchi più grandi negli Stati Uniti includono:

• SolarWinds — Nel 2020, gli aggressori hanno inserito codice malevolo negli aggiornamenti del software Orion di SolarWinds, che sono stati poi distribuiti a numerosi clienti, inclusi enti federali statunitensi e aziende Fortune 500.
• Colonial Pipeline — Nel maggio 2021, Colonial Pipeline, un importante distributore di carburante statunitense, ha subito un attacco ransomware che ha interrotto le operazioni dell'oleodotto, causando carenze di carburante.
• Spionaggio cibernetico cinese — Nel 2024, hacker cinesi hanno preso di mira i cellulari di figure politiche statunitensi, inclusi candidati presidenziali e loro associati. Questa operazione faceva parte di uno sforzo di spionaggio più ampio volto alla raccolta di dati privati e all'influenzamento dei processi politici.

Quali sono i più famosi attacchi informatici?

Gli attacchi informatici che si distinguono per la loro rilevanza globale, copertura mediatica ed effetti duraturi includono:

• Stuxnet — Questo attacco malware agli impianti di lavorazione dell'uranio dell'Iran è considerato la prima arma cibernetica conosciuta mirata all'infrastruttura fisica.
• WannaCry — Questo attacco ransomware ha colpito oltre 200.000 computer in 150 paesi.
• NotPetya — Si stima che il danno totale causato da questo malware distruttivo superi i 10 miliardi di dollari.
• Equifax — Questa violazione ha esposto i dati personali di 147,9 milioni di residenti statunitensi, oltre a milioni di cittadini britannici e canadesi.

Qual è stato il crimine informatico peggiore commesso?

Alcuni dei peggiori crimini informatici includono:

• NotPetya (2017), che ha colpito grandi aziende in tutto il mondo
• WannaCry (2017), che ha criptato sistemi Windows in tutto il mondo per un riscatto
• Equifax (2017), che ha esposto i dati personali di più di 148 milioni di persone
• Yahoo (2013), in cui sono stati compromessi tre miliardi di account

Cosa succede in un grande attacco informatico?

Gli attacchi informatici generalmente coinvolgono più fasi. Prima, gli aggressori raccolgono informazioni sui sistemi, le reti e le vulnerabilità del bersaglio. Per ottenere un primo punto d'appoggio, spesso utilizzano metodi come phishing, malware, exploit di vulnerabilità o credenziali rubate. Una volta all'interno, aumentano i loro privilegi e si spostano lateralmente verso sistemi aggiuntivi. Infine, completano la loro missione interrompendo le operazioni o rubando o criptando i dati, e cancellano i log per coprire le loro tracce.

Quando viene rilevato un attacco, le organizzazioni rispondono isolando i sistemi interessati; analizzando come si è verificata la violazione e identificando gli aggressori; ripristinando i sistemi dai backup e correggendo le vulnerabilità; e informando le parti colpite, gli stakeholder e gli organi di legge sulla violazione. Le conseguenze possono includere costi di recupero, danni alla reputazione e perdita di affari, multe, cause legali e una supervisione più rigorosa.

FAQ

Cos'è un attacco informatico e come avviene?

Un attacco informatico è qualsiasi tentativo deliberato di violare, danneggiare o ottenere accesso non autorizzato a sistemi informatici, reti o dati. Questi attacchi avvengono attraverso vari metodi come malware, email di phishing, ingegneria sociale o sfruttando vulnerabilità della sicurezza. A differenza di come vengono rappresentati nei film, la maggior parte degli attacchi riusciti non coinvolge hacker misteriosi che digitano furiosamente – sono operazioni metodiche che sfruttano il comportamento umano e le debolezze organizzative.

Gli attacchi informatici moderni iniziano tipicamente con un'attività di ricognizione, dove gli aggressori ricercano i loro obiettivi tramite i social media, database pubblici e siti web aziendali. Successivamente utilizzano email di phishing o ingegneria sociale per ingannare i dipendenti a cliccare su link dannosi o a fornire credenziali. Una volta all'interno, gli attaccanti si muovono lateralmente attraverso le reti, aumentando i privilegi fino a raggiungere dati o sistemi di valore. Gli attacchi più dannosi spesso rimangono non rilevati per mesi mentre gli aggressori raccolgono silenziosamente informazioni e pianificano le loro prossime mosse.

La realtà è che gli attaccanti non si limitano più a forzare l'ingresso – si stanno autenticando con credenziali legittime che hanno rubato o manipolato. Ecco perché la Data Security That Starts with Identity deve iniziare con l'identità. Quando gli attaccanti possono accedere ai tuoi sistemi utilizzando credenziali valide, la sicurezza tradizionale del perimetro diventa irrilevante. Le organizzazioni hanno bisogno di visibilità su chi ha accesso a cosa, come stanno utilizzando quell'accesso e la capacità di rilevare modelli di comportamento insoliti che indicano un compromesso.

Come possono le organizzazioni prevenire efficacemente gli attacchi informatici?

La prevenzione efficace degli attacchi informatici richiede un approccio stratificato che affronti sia le vulnerabilità tecniche sia i fattori umani. Inizia con l'igiene di sicurezza fondamentale: mantieni il software aggiornato, implementa l'autenticazione a più fattori e mantieni backup aggiornati. Tuttavia, queste basi non fermeranno gli aggressori sofisticati che sfruttano le debolezze della gestione dell'identità e dell'accesso.

La strategia di prevenzione più critica si concentra sul controllo e monitoraggio dell'accesso ai dati sensibili. Implementare i principi del minimo privilegio – gli utenti dovrebbero avere accesso solo alle risorse di cui hanno bisogno per le loro funzioni lavorative. Revisioni regolari dell'accesso aiutano a identificare e rimuovere i permessi non necessari prima che diventino vettori di attacco. Distribuire soluzioni di monitoraggio in grado di rilevare schemi di accesso insoliti, come utenti che accedono a file ai quali non hanno mai avuto accesso in precedenza o che si connettono da località inaspettate.

La formazione dei dipendenti rimane essenziale, ma da sola non è sufficiente. Combinate i programmi di sensibilizzazione alla sicurezza con controlli tecnici che limitano i danni quando si verificano errori umani. Ad esempio, implementate soluzioni di sicurezza email che rilevano e mettono in quarantena i messaggi sospetti prima che raggiungano gli utenti. Create procedure di risposta agli incidenti che il vostro team può eseguire rapidamente quando si verificano attacchi. Ricordate che la prevenzione non riguarda la creazione di una fortezza impenetrabile – si tratta di rendere la vostra organizzazione un bersaglio più difficile garantendo allo stesso tempo di poter rilevare e rispondere rapidamente alle minacce.

Cosa dovresti fare immediatamente dopo aver rilevato un attacco informatico?

Il tempo di risposta è critico quando si affronta un attacco informatico. La tua prima priorità è il contenimento: isolare i sistemi interessati per prevenire il movimento laterale mantenendo le prove per le indagini. Scollegare le macchine compromesse dalla rete, ma non spegnerle immediatamente, poiché ciò potrebbe distruggere preziose informazioni forensi memorizzate nella memoria.

Attivate immediatamente il vostro team di risposta agli incidenti e il piano di comunicazione. Designate un unico punto di contatto per coordinare gli sforzi di risposta e le comunicazioni esterne. Documentate tutto – orari, azioni intraprese, sistemi interessati e prove raccolte. Questa documentazione diventa cruciale per gli sforzi di recupero, le richieste di assicurazione e le potenziali procedure legali. Notificate gli stakeholder rilevanti inclusi dirigenti, consulenti legali e, a seconda della natura e dell'ambito dell'attacco, potenzialmente anche le forze dell'ordine.

Valutate rapidamente ma approfonditamente la portata e l'impatto. Determinate quali dati o sistemi sono stati accessi, se i dati sono stati rubati o modificati e come è avvenuto l'attacco. Questa valutazione guida la vostra strategia di recupero e aiuta a dare priorità agli sforzi di ripristino. Concentratevi prima sul ripristino delle funzioni aziendali critiche, ma non affrettatevi a tornare alle operazioni normali senza aver affrontato le vulnerabilità che hanno permesso l'attacco. Molte organizzazioni subiscono attacchi ripetuti perché si concentrano sul recupero senza risolvere le lacune di sicurezza sottostanti.

Perché gli attaccanti informatici utilizzano tattiche di social engineering?

L'ingegneria sociale funziona perché sfrutta la psicologia umana piuttosto che le vulnerabilità tecniche. Gli aggressori trovano più semplice manipolare le persone piuttosto che sfondare sistemi di sicurezza ben configurati. Gli aggressori sfruttano la fiducia, l'autorità, l'urgenza e la paura per convincere le vittime a bypassare volontariamente i controlli di sicurezza. Una email di phishing ben congegnata può ottenere in pochi minuti ciò che attacchi tecnici potrebbero impiegare settimane a realizzare.

L'efficacia dell'ingegneria sociale è aumentata drammaticamente con i social media e le informazioni disponibili pubblicamente. Gli aggressori studiano a fondo i loro obiettivi, creando messaggi personalizzati che sembrano legittimi e pertinenti. Potrebbero fare riferimento a recenti eventi aziendali, connessioni reciproche o sfide attuali del settore per costruire credibilità. Questa fase di ricerca rende i loro approcci più convincenti e più difficili per i destinatari da identificare come malevoli.

Gli attacchi di social engineering forniscono agli aggressori anche credenziali legittime e percorsi di accesso. Quando un dipendente fornisce il proprio nome utente e password a una pagina di login falsa, l'attaccante ottiene accesso autorizzato ai sistemi senza innescare allarmi di sicurezza. Ecco perché gli approcci di sicurezza focalizzati sull'identità sono essenziali – presuppongono che le credenziali saranno compromesse e si concentrano sul rilevare schemi di comportamento insoliti piuttosto che semplicemente bloccare i tentativi di accesso non autorizzati. Le organizzazioni devono combinare la formazione sulla consapevolezza della sicurezza con controlli tecnici che possono identificare e rispondere rapidamente agli account compromessi.

Quanti attacchi informatici avvengono al giorno e quali tipi sono i più comuni?

Gli attacchi informatici avvengono continuamente, con stime che suggeriscono migliaia di tentativi quotidiani in tutto internet. Tuttavia, la maggior parte di questi sono attacchi automatizzati e di bassa sofisticazione come le scansioni delle porte, la distribuzione di malware o i tentativi di riempimento delle credenziali. Le statistiche più preoccupanti coinvolgono attacchi mirati contro organizzazioni specifiche, che avvengono molto meno frequentemente ma causano danni significativamente maggiori.

Il phishing rimane il vettore di attacco più comune per le violazioni riuscite, comparendo in oltre l'80% degli incidenti di sicurezza. Questi attacchi si sono evoluti oltre le ovvie email di spam fino a sofisticate campagne di spear-phishing che prendono di mira individui specifici con messaggi personalizzati. Anche gli attacchi ransomware sono aumentati drammaticamente, con nuove varianti che compaiono regolarmente e gli aggressori che richiedono pagamenti sempre più elevati.

La tendenza più pericolosa coinvolge attacchi che combinano tecniche multiple. Le moderne campagne di attacco potrebbero iniziare con l'ingegneria sociale per ottenere un accesso iniziale, utilizzare strumenti amministrativi legittimi per muoversi attraverso le reti e compiere furti di dati prima di distribuire malware. Questi attacchi multi-fase sono più difficili da rilevare e difendere perché utilizzano strumenti e credenziali legittimi ad ogni passo. Questa evoluzione rafforza il motivo per cui le strategie di sicurezza devono concentrarsi sul monitoraggio dell'identità e del comportamento piuttosto che solo sul blocco delle tecniche di attacco ovvie.