L’Italia è il mercato della Cyber Criminal Marketing

Pierguido Iezzi, CEO dell’azienda cyber Swascan (gruppo Tinexta), fa un quadro della situazione in Italia

Redazione

22 Ottobre 2021 - 17:05

L’Italia è il mercato della Cyber Criminal Marketing

Il caso SIAE ha acceso nuovamente i riflettori sul fenomeno ransomware nel nostro Paese, dopo i fatti di agosto alla regione Lazio, ancora una volta troviamo un caso “da prima pagina” che riguarda un’importante organizzazione nostrana nel mirino dei Criminal Hacker.
Questa volta a colpire sono stati i Criminal Hacker del gruppo Everest. Non esattamente una tra le gang più conosciute.
Perché, quindi, il nostro Paese si è trovato a fare i conti con attacchi ransomware lanciati da gruppi di nuova generazione o pressoché sconosciuti? Cosa rende l’Italia un target così appetibile per le gang in cerca di farsi un nome?
CI sono alcuni fattori convergenti.
In primo luogo, come ha rilevato Swascan stessa nella sua analisi Ransomware Double extortion: La profilazione delle vittime, siamo tra i Paesi che maggiormente cedono al riscatto e pagano quanto richiesto dagli aggressori (anche se SIAE ha categoricamente rifiutato di cedere al riscatto).
Basti pensare che a fronte di svariate migliaia di attacchi nel periodo compreso tra Gennaio 2021 e Maggio 2021, solo 28 aziende si erano viste pubblicare i propri dati sottratti (una conseguenza della così detta tecnica della Double extortion, se non paghi pubblico i dati).
Indizio che ci potrebbe far dedurre con alta probabilità che la maggior parte delle altre vittime si era arresa al ricatto dei Criminal Hacker.
Abbiamo quindi un primo fattore: le imprese italiane sono dei buoni pagatori.
C’è poi una questione più ampia in termini d’infrastrutture; sempre come evidenziato da Swascan nelle sue analisi di Cyber Risk Indicators, sono presenti a livello trasversale in molti settori della nostra economia ancora molte vulnerabilità potenzialmente sfruttabili dai Criminal Hacker. Vulnerabilità sia a livello tecnologico sia in termini di numerosità di mail compromesse.
Ecco quindi il secondo indizio: siamo vulnerabili e facilmente aggredibili.
Questi due fattori si sposano benissimo con il fine ultimo degli attacchi portati avanti da queste new entry nel mondo del cyber crime.
C’è la possibilità concreta di farsi un nome e di aumentare il proprio giro d’affari. Non è neppure una congettura così impensabile.
Guardiamo al caso CED Lazio: a colpire la regione era stato RansomEXX, una variante di ransomware molto di nicchia.
Dopo la bufera mediatica che aveva fatto seguito all’attacco, questo si è rapidamente affermato come una delle infezioni più riscontrate nel nostro Paese, andando a colpire svariate aziende piccole e grandi (ma di certo non della nomea del CED).
Un’operazione di puro “Criminal Marketing”, se vogliamo.
Non dobbiamo dimenticare che Everest e RansomEXX sono i così detti Ransomware as a Service, ovvero, i creatori stessi del malware non sono direttamente responsabili dell’attacco, ma vendono il proprio software malevolo a degli affiliati in cambio di una fetta dei profitti ottenuti dal riscatto (di solito il 30%).
Questo ci fa capire benissimo, quindi, una delle possibili motivazioni dietro questi attacchi: si va a elevare lo “standing” di questi gruppi nella community dei Criminal Hacker e di conseguenza questi ottengono un maggiore giro d’affari.
L’obiettivo è costruirsi “una reputazione” e rendersi appetibile per nuovi affiliati.
La riprova ulteriore l’abbiamo avuta tra la fine del 2020 e l’inizio del 2021. Altri due gruppi che oggi fanno parte del Gotha dei ransomware – Egregor e Pay2Key – hanno iniziato la loro attività proprio nel nostro Paese.
Swascan stessa al tempo era stata la prima ad identificare e gestire un incidente informatico che aveva visto protagonista Egregor, mentre aveva lavorato fianco a fianco di Checkpoint quando Pay2Key aveva fatto la sua comparsa colpendo contemporaneamente sia nel nostro Paese sia in Israele.
Ovviamente siamo nel reame delle ipotesi, ma gli indizi non mancano. Potremmo veramente diventare un’inconsapevole vetrina per i gruppi ransomware in cerca di fama e affari e questa non è una prospettiva accettabile.
È quindi assolutamente necessario adottare una difesa cyber tripartita per scongiurare che questi casi divengano la normalità.
Stiamo parlando dell’adozione dei tre pilastri della Cyber Security: sicurezza predittiva: tramite l’utlizzo della threat intelligence – in grado di fornire indicatori e informazioni che anticipano possibili attacchi o attività sospette -; sicurezza preventiva: che comprende tutto il mondo di analisi del rischio tecnologico, umano e di processo; sicurezza proattiva: questa fa entrare in campo tutto il mondo del SOC , dove sistemi, processi e tecnologie permettono di gestire, monitorare e far emergere qualsiasi anomalia che possa registrare la mia infrastruttura, chiudendo il cerchio con la capacità di reazione, ovvero: incident Response, business Continuity e disaster recovery.

Pierguido Iezzi, CEO dell’azienda cyber Swascan (gruppo Tinexta)

Inserisci un commento

Condividi le tue opinioni su Il Castello Edizioni e Il Mattino di Foggia

Caratteri rimanenti: 400

BLOG

Armeni, il genocidio riconosciuto

Armeni, il genocidio riconosciuto

IronLady

La lotta della camiciaie del sud Italia in America, quando l'8 marzo ebbe inizio il 23 febbraio

La lotta della camiciaie del sud Italia in America, quando l'8 marzo ebbe inizio il 23 febbraio

La festa della donna

L' "economia sentimentale" di Edoardo Nesi per uscire dalla crisi

Il "Premio Strega" Edoardo Mesi

L' "economia sentimentale" di Edoardo Nesi per uscire dalla crisi

L'ironlady

Una tragedia trasformata in farsa

Giuseppe Conte

Una tragedia trasformata in farsa

Cono d'ombra

Un Edipo a Kyoto

Un Edipo a Kyoto

L'Ironlady

Un Edipo a Kyoto

Un Edipo a Kyoto

L'ironlady