Le reti informatiche interconnettono il mondo, le informazioni viaggiano alla velocità della luce e, allo stesso tempo, l’incolumità dei dati è costantemente esposta a innumerevoli rischi. Gli attacchi informatici, noti anche come attacchi cyber, rappresentano una minaccia sempre più diffusa e sofisticata per individui, aziende e istituzioni in tutto il mondo.
L’evoluzione della tecnologia ha portato a una digitalizzazione pervasiva, senza precedenti, ma ha anche aperto le porte innumerevoli vulnerabilità, con ripercussioni che impattano pesantemente sulla vita degli utenti in rete.
Secondo i dati del Rapporto Clusit 2024, dal punto di vista quantitativo negli ultimi 5 anni la situazione è nettamente peggiorata, tanto che la media mensile di attacchi gravi a livello globale è passata da 139 a 232.
In particolare, la crescita numerica degli attacchi rilevati da fonti pubbliche è stata del 60%, passando da 1.667 a 2.779. Questo rappresenta un aumento significativo della frequenza, che nel mondo è salita dell’11% ma in Italia ha addirittura registrato un incremento del 65%.
Non solo la quantità, ma anche la qualità dei crimini informatici è peggiorata sensibilmente nel tempo. Nel 2023, gli attacchi classificati come “critici” o “gravi” rappresentano oltre l’81% del totale, rispetto al 47% registrato nel 2019.
Cosa si intende per attacco cibernetico e quali sono gli obiettivi
Gli attacchi cyber sono azioni malevole volte a compromettere la sicurezza dei sistemi informatici, delle reti, dei dispositivi e dei dati e possono essere organizzati da individui, gruppi, o persino da nazioni. Sono diversi gli obiettivi a cui puntano: dal furto di informazioni finanziarie, personali o aziendali, al sabotaggio di operazioni specifiche, dalla distruzione di dati o infrastrutture, alla diffusione di disinformazione.
Dietro questi crimini ci sono, infatti, spesso motivazioni economiche (come nel caso di ransomware o furto d’identità), politiche (cyberterrorismo o cyberwarfare) o personali (vendetta).
L’impatto di un attacco cyber può variare ampiamente a seconda del suo obiettivo e della sua portata. Può andare dalla perdita di dati sensibili al danno economico, sia per le aziende che per gli individui, fino alla compromissione della sicurezza nazionale.
Tipologie e caratteristiche di attacchi cyber
Gli attacchi cyber sono in continua evoluzione, con tecniche che si adattano e si perfezionano per superare le difese esistenti. Vediamo quali sono i più comuni, come si presentano e le loro caratteristiche.
- Malware: un termine ombrello che include vari tipi di software malevoli come virus, worm, trojan, ransomware, spyware e adware. Il termine “malware”, contrazione di “malicious software” (software malevolo), si riferisce a qualsiasi tipo di software progettato per infiltrarsi, danneggiare o eseguire azioni non autorizzate su un sistema informatico, ciascuno con un comportamento unico e obiettivi specifici. Ad esempio, i virus si attaccano a file eseguibili per diffondersi, mentre i worm si auto-replicano attraverso le reti senza bisogno di interazione umana. I trojan, d’altra parte, si mascherano da software legittimo per ingannare gli utenti e ottenere l’accesso ai loro sistemi. La diffusione del malware avviene attraverso vari canali, inclusi allegati e-mail infetti, download da siti web compromessi o unità USB contaminate.
- Ransomware: questo tipo di malware opera criptando i file sul computer della vittima o bloccando l’accesso al sistema, rendendo i dati e le risorse inaccessibili all’utente o all’organizzazione colpita. Una volta che il ransomware ha preso in ostaggio i file o il sistema, gli autori dell’attacco richiedono un riscatto per fornire la chiave di decrittazione necessaria a recuperare l’accesso. Queste richieste di pagamento vengono solitamente fatte in criptovaluta, come Bitcoin, per mantenere l’anonimato degli aggressori. Gli attacchi ransomware possono colpire qualsiasi entità, dai singoli utenti a grandi aziende e istituzioni governative, causando non solo perdite finanziarie significative ma anche interruzioni operative critiche.
- Phishing: il phishing è una tecnica di ingegneria sociale che mira a ingannare gli individui per indurli a rivelare informazioni sensibili, come password, dettagli bancari, numeri di carte di credito, o altre informazioni personali. Questo tipo di attacco sfrutta spesso la comunicazione via e-mail come canale principale, ma può avvenire anche attraverso messaggi di testo, chiamate telefoniche o siti web fraudolenti. Gli aggressori si mascherano da entità fidate, come banche, aziende di servizi, piattaforme di social media o enti governativi, per creare un senso di urgenza o paura nelle loro vittime, costringendole ad agire rapidamente e senza riflettere. I messaggi sono spesso progettati con grande attenzione ai dettagli, utilizzando loghi, formattazioni e linguaggio che imitano quelli delle organizzazioni legittime. Questo, unito a tecniche psicologiche persuasive, rende talvolta difficile per gli utenti distinguere tra comunicazioni autentiche e tentativi di phishing.
- Attacchi Man-in-the-Middle (MitM): sono una forma insidiosa di cyber-attacco in cui un malintenzionato intercetta la comunicazione tra due parti (ad esempio tra un utente e un sito web) senza che queste ne siano consapevoli. L’obiettivo dell’attaccante è di intercettare, modificare, reindirizzare, alterare o rubare dati e informazioni che vengono scambiate.
- Denial of Service (DoS) e Distributed Denial of Service (DDoS): questi attacchi mirano a rendere una risorsa (come un sito web) non disponibile agli utenti legittimi, sovraccaricandola con richieste in modo da esaurirne le risorse. Gli attacchi DDoS sono una forma avanzata e più pericolosa di DoS. In questo caso, l’attacco proviene da molteplici fonti distribuite – spesso migliaia o anche milioni di dispositivi infettati da malware e controllati da un attaccante, noti come botnet – che simultaneamente inviano una valanga di traffico verso il bersaglio. La natura distribuita di questi attacchi rende molto più difficile per le vittime mitigare l’impatto e identificare l’origine dell’attacco. Possono colpire qualsiasi entità online, dalle piccole imprese ai grandi fornitori di servizi Internet, con impatti che variano dall’interruzioni di un servizio, al danneggiamento della reputazione e, in alcuni casi, provocando effetti a cascata che possono influenzare utenti e aziende non direttamente collegati alla vittima iniziale.
- SQL Injection: Gli attacchi SQL sono ampiamente sfruttati per compromettere le applicazioni web. Si verificano quando un aggressore riesce a inserire o “iniettare” una query SQL malevola nell’input di un’applicazione destinato ad essere processato dal suo database in backend.
- Zero-day exploit: gli exploit zero-day rappresentano una delle minacce più elusive e pericolose nel campo della cybersecurity. Il termine “zero-day” deriva dal fatto che gli sviluppatori hanno “zero giorni” per risolvere il problema prima che possa essere sfruttato dagli aggressori. Gli exploit possono essere utilizzati da cybercriminali, spie governative o gruppi di hacktivisti per lanciare attacchi mirati, spesso con l’obiettivo di rubare dati, spiare gli utenti, distribuire malware o causare danni a sistemi e reti. A causa della loro natura sconosciuta, gli exploit zero-day sono particolarmente difficili da rilevare e difendere, rendendo le vulnerabilità che sfruttano estremamente preziose per chi le scopre.
- Attacchi di Credential Stuffing: si tratta di una forma di cyber attacco in cui gli aggressori utilizzano elenchi di nomi utente e password precedentemente violati (ottenuti da violazioni di dati di altri siti o servizi) per tentare l’accesso a vari siti web e applicazioni online. Questo tipo di attacco sfrutta la tendenza comune degli utenti di riutilizzare le stesse credenziali su più siti e servizi, aumentando la probabilità che una combinazione di nome utente e password violata su un sito funzioni anche su un altro. Infatti, a differenza del brute force o degli attacchi di dictionary (che tentano di indovinare le password attraverso ripetute prove ed errori), il Credential Stuffing si basa su combinazioni di nome utente e password che sono già note per essere valide in almeno un contesto.
- Eavesdropping digitale (Sniffing): è una tecnica di intercettazione usata per catturare dati che viaggiano attraverso una rete. Gli aggressori, utilizzando software o hardware specializzati chiamati appunto sniffer, possono monitorare e analizzare il traffico di rete per estrarre informazioni sensibili senza che mittente o destinatario ne siano consapevoli. Questo tipo di attività può avvenire sia su reti cablate che wireless, ma è prevalente sulle reti Wi-Fi pubbliche non protette, dove il traffico non cifrato può essere facilmente accessibile.
- Attacchi all’identità (Identity Theft): comunemente noti come furto di identità, sono una forma di cybercrime in cui un individuo malintenzionato si impossessa e fa uso illegale delle informazioni personali di un’altra persona per trarne vantaggio, spesso con finalità finanziarie. Un esempio comune è il phishing, ma ci sono anche tecniche come lo skimming, dove vengono utilizzati dispositivi nascosti su terminali ATM e di pagamento per catturare le informazioni dalla striscia magnetica delle carte di credito, o lo Shoulder Surfing, che consiste nell’osservare da vicino o con dispositivi elettronici chi inserisce dati in un ATM, telefono o computer. O, ancora, come il Dumpster Diving, letteralmente la ricerca tra i rifiuti documenti che contengono dati personali.
Differenze tra attacchi mirati e diffusi
Gli attacchi informatici possono essere categorizzati in base alla loro portata e obiettivo in due tipologie principali: attacchi mirati e attacchi diffusi.
Attacchi Mirati (Targeted Attacks)
Gli attacchi mirati sono caratterizzati dal loro focus su specifici individui, organizzazioni o infrastrutture. Sono generalmente condotti dopo un’attenta pianificazione e raccolta di informazioni (reconnaissance) sull’obiettivo, al fine di massimizzare l’efficacia e ottenere un particolare risultato desiderato dall’attaccante. Esempi di attacchi mirati includono il phishing direzionato (Spear Phishing), l’APT (Advanced Persistent Threats, minacce avanzate e persistenti) e gli attacchi ransomware diretti contro enti governativi, ospedali o grandi aziende.
Attacchi Diffusi (Broad-based Attacks)
Gli attacchi diffusi, al contrario, non hanno un obiettivo specifico. Sono progettati per colpire il maggior numero possibile di vittime, sfruttando vulnerabilità comuni in software diffusi o tecniche di ingegneria sociale su larga scala. Sono spesso automatizzati e possono essere lanciati tramite botnet o altri mezzi che consentono di raggiungere un vasto pubblico in breve tempo. Ne sono esempio i worm e virus che si diffondono automaticamente sfruttando reti, dispositivi o applicazioni vulnerabili, le campagne di phishing su larga scala che mirano a ingannare gli utenti per rubare credenziali di accesso o informazioni finanziarie e gli Attacchi DDoS.
Analisi delle motivazioni degli attacchi cyber
Le motivazioni dietro gli attacchi cyber sono varie e spesso si sovrappongono – dal guadagno finanziario alla ricerca di notorietà, passando per motivazioni politiche o ideologiche. Vediamo le principali:
- Guadagno finanziario: è una delle motivazioni più comuni dietro gli attacchi cyber. I criminali informatici sfruttano varie tecniche, come il phishing, il ransomware, e il furto di dati sensibili (ad esempio, numeri di carte di credito o informazioni bancarie) costringendo le vittime a pagare grandi somme per recuperare l’accesso ai propri dati o sistemi.
- Attivismo (Hacktivism): gli hacktivist conducono attacchi per attirare l’attenzione su cause specifiche, protestare contro organizzazioni, governi o politiche, o promuovere cambiamenti sociali. Spesso prendono di mira siti web o servizi online per defacing, denial of service o divulgazione di documenti riservati.
- Spionaggio (corporate e governativo): lo spionaggio rientra tra le motivazioni più significative. Gli attacchi possono essere mirati al furto di proprietà intellettuale, segreti commerciali, dati di ricerca e sviluppo, o informazioni sensibili di governo per vantaggi economici, militari o strategici.
- Guerra cibernetica (Cyber Warfare): coinvolge attacchi condotti da o contro un paese per danneggiare, interrompere o spiare un altro governo o infrastrutture critiche, come parte di strategie militari o di intelligence. Mirano a paralizzare reti di comunicazione, sistemi finanziari, reti elettriche per ottenere vantaggi strategici in contesti geopolitici.
- Vendetta: alcuni attacchi sono motivati da vendetta personale contro aziende, entità governative o individui specifici e possono anche essere condotti da ex dipendenti, partner commerciali insoddisfatti.
- Estorsione: gli aggressori minacciano di rilasciare informazioni sensibili, condurre attacchi DDoS o esporre vulnerabilità se non viene pagato un riscatto. Questo tipo di attacco è particolarmente comune nei confronti di organizzazioni che operano in settori sensibili, come sanità e servizi finanziari.
Attacchi cyber: una panoramica in numeri
Sempre secondo le ultime statistiche del rapporto Clusit, l’Italia si trova saldamente nel mirino dei crimini informatici, come dimostra il significativo incremento di attacchi andati a segno nel 2023. Nel corso dell’anno, il Paese ha subito ben l’11% degli attacchi rilevati a livello globale, in netto aumento rispetto al 3,4% del 2021 e al 7,6% del 2022. Il confronto della distribuzione degli attaccanti nel periodo dal 2019 al 2023 mette in luce chiaramente che il Cybercrime rimane la principale motivazione degli incidenti, registrando un costante aumento nel corso degli anni (+13,4% nel 2023 rispetto all’anno precedente).
Al contrario, i fenomeni di Espionage e Information Warfare mostrano una significativa diminuzione (rispettivamente da 259 attacchi nel 2022 a 178 nel 2023 e da 103 a 46). Nel frattempo, gli attacchi legati all’attivismo informatico (Hacktivism) aumentano notevolmente, passando dagli 84 registrati nel 2022 a 239 nel 2023.
Le vittime
Dall’analisi della distribuzione delle vittime degli attacchi nel periodo 2019-2023, emerge una riduzione dell’incidenza dei Multiple Target sul totale (-3% rispetto al 2022), mentre si registra un aumento significativo degli attacchi perpetrati ai danni dei comparti Healthcare (+2%) e Financial/Insurance (+3%), Education, Manufacturing, Transportation/Storage e Wholesale/Retail. In particolare, il settore della manifattura appare sempre più nel mirino degli attaccanti e raggiunge il suo massimo storico, passando dal 2% registrato nel 2019 al 6% del totale degli attacchi in 5 anni. Nel frattempo, rimangono costanti nel 2023 le quote di attacchi negli ambiti Governativo / Militare / Law Enforcement e Professional / Scientific / Technical (3%), mentre gli eventi nel settore ICT incidono sul totale in misura decrescente, confermando un trend iniziato nel 2020.
Strategie di difesa per professionisti e imprese
Per i professionisti e le imprese, difendersi dagli attacchi cyber richiede un approccio multistrato che combina tecnologie avanzate, pratiche di sicurezza rigorose e una cultura della sicurezza informatica ben radicata tra i dipendenti. Il primo passo è investire sulla formazione e la diffusione della consapevolezza tra i dipendenti, per consentire loro di sviluppare le conoscenze necessarie a individuare e prevenire i tentativi di crimini digitali. Un altro aspetto cruciale riguarda la gestione delle identità e degli accessi, che attraverso l’implementazione dell’autenticazione multifattore e il controllo degli accessi basato sui ruoli assicura che le risorse di rete siano accessibili solo a chi ne ha effettivamente titolo.
La sicurezza dei dati, garantita dalla cifratura e da regolari backup, protegge le informazioni sensibili dei dati in transito e a riposo, mentre una robusta gestione delle vulnerabilità, attraverso patch e aggiornamenti regolari, blinda i sistemi contro l’esposizione a rischi noti.
Le difese di rete, come i firewall e i sistemi di rilevamento e prevenzione delle intrusioni, insieme alla segmentazione della rete, formano un baluardo contro le intrusioni, mentre un piano di risposta agli incidenti ben strutturato assicura che l’organizzazione possa reagire prontamente ed efficacemente in caso di attacco.
Completano il quadro la sicurezza fisica dei dispositivi e delle infrastrutture critiche, la collaborazione con gruppi di condivisione delle informazioni per rimanere aggiornati sulle ultime minacce e le valutazioni di sicurezza di terze parti, come audit e penetration test, per identificare e mitigare proattivamente le vulnerabilità.
Cyberesilieza: a che punto ci troviamo?
Il Global Cybersecurity Outlook (GCO) 2024 di WeForum ha fatto luce su una tendenza preoccupante nel panorama della sicurezza informatica: il numero di organizzazioni che mantengono una resilienza cibernetica giudicata appena sufficiente è in netto calo, con una riduzione del 31% rispetto al 2022. Questo dato sottolinea una crescente disparità tra le diverse dimensioni organizzative, particolarmente evidente nel confronto tra le piccole e medie imprese (PMI) e le grandi organizzazioni. Mentre più del doppio delle PMI riconosce di non avere la resilienza cibernetica necessaria per sostenere i loro requisiti operativi critici, le organizzazioni di maggiori dimensioni si sentono il 22% più sicure nel dichiarare che la loro resilienza supera le necessità operative.
In aggiunta, le organizzazioni con fatturati minori sono tre volte più suscettibili alla carenza di competenze cibernetiche indispensabili per raggiungere gli obiettivi di resilienza. Un altro aspetto critico di questa divergenza è rappresentato dalla copertura assicurativa cibernetica: solo il 25% delle piccole organizzazioni dispone di un’assicurazione contro i rischi cyber, rispetto al 75% delle grandi aziende.
Gli attacchi cyber più famosi della storia
Diversi attacchi cyber famosi hanno fatto la storia per le loro dimensioni, le conseguenze e la risonanza mediatica. Ecco alcuni tra i più noti:
- WannaCry (2017): WannaCry è stato un attacco ransomware su larga scala che ha colpito decine di migliaia di organizzazioni in tutto il mondo, inclusi ospedali, aziende e agenzie governative. L’attacco ha sfruttato una vulnerabilità nei sistemi Windows, criptando i dati degli utenti e richiedendo un pagamento in Bitcoin per il loro rilascio.
- Equifax Breach (2017): Una delle principali agenzie di rating del credito, ha subito una violazione dei dati che ha compromesso le informazioni personali di oltre 147 milioni di persone. L’attacco è stato attribuito a una vulnerabilità nel software Apache Struts, che Equifax non aveva tempestivamente corretto.
- NotPetya (2017): NotPetya è un attacco ransomware che ha colpito principalmente l’Ucraina, ma si è diffuso rapidamente in tutto il mondo, danneggiando migliaia di aziende in diversi settori. Anche se si presentava come ransomware, gli esperti ritengono che l’obiettivo principale fosse quello di causare danni irreparabili ai sistemi colpiti.
- Sony Pictures Hack (2014): Un gruppo di hacker nordcoreani noto come “Guardians of Peace” ha violato la rete informatica di Sony Pictures Entertainment, rubando una vasta quantità di dati riservati, tra cui e-mail, documenti interni e film non ancora pubblicati. L’attacco è stato motivato da controversie riguardanti il film “The Interview”.
- Stuxnet (2010): Tra i primi worm informatici a essere stato progettato specificamente per danneggiare impianti industriali, si è diffuso principalmente attraverso dispositivi USB infetti e ha preso di mira i sistemi SCADA (Supervisory Control and Data Acquisition) utilizzati nelle centrali nucleari iraniane.