Il difficile contesto geopolitico sta accelerando la riconfigurazione dei fronti cibernetici mondiali, facendo emergere i rischi e sovvertendo la disposizione geografica delle vittime, con un’accelerazione tra i Paesi che un tempo erano meno soggetti agli attacchi. Questo scenario ha portato il 2022 a rivestire il ruolo di anno della svolta in ambito cyber, con un calo sensibile dei ransomware (-23%) a fronte di un’impennata di altri tipi di minacce: gli attacchi malware sono lievitati dell’11%, quelli crittografati hanno segnato un +132%, il cryptojacking ha raggiunto 66,7 milioni di segnalazioni, pari a un +30%. Da sottolineare anche l’impennata dei malware IoT (+77%) e degli attacchi con varianti malware sconosciute (+45%). Sono alcuni dei dati contenuti nel 2022 Cyber Threat Report redatto dai ricercatori di SonicWall, azienda leader nell’ambito della cyber security, distribuita in Italia da Attiva Evolution.

Un quadro difficile

Come ha sottolineato Bill Conner, Presidente e CEO di SonicWall, il fronte di battaglia della guerra cyber continua a spostarsi, cambiando le sfide dell'Europa, degli Stati Uniti e del resto del mondo. Le dinamiche del conflitto, le sanzioni, e al contempo la maggiore mobilitazione di Governi e forze dell’ordine, stanno cambiando obiettivi e modalità di attacco. In particolare, c’è uno spostamento degli attacchi dai Paesi che un tempo erano tradizionalmente più colpiti (come gli USA) verso quelli, in particolar modo l’Europa, che si trovano a fronteggiare una situazione nuova e a dir poco complessa. Le novità sui ransomware sono la dimostrazione più palese di questo slittamento, e delle conseguenze delle sanzioni comminate alla Russia per l’invasione dell’Ucraina. Ma c’è molto di più.

Le minacce informatiche crescono dell'11%

Il 2022 è iniziato in controtendenza rispetto 2021, quando le minacce cyber avevano raggiunto il minimo storico degli ultimi sette anni. Nel primo semestre 2022 il volume di malware ha raggiunto i 2,8 miliardi, pari a una media di 8.240 tentativi di malware per cliente. Qui vediamo il primo dato concreto sullo spostamento geografico degli attacchi a cui abbiamo accennato sopra: negli Stati Uniti, nel Regno Unito e in Germania le minacce informatiche sono diminuite rispettivamente dell'1%, del 9% e del 13%. In particolare in Nord America, che di solito registra il volume di malware di gran lunga maggiore, gli attacchi sono aumentati solo del 2%, molto meno della media globale. Il Regno Unito e la Germania, che di solito hanno un numero di malware superiore alla media, hanno registrato cali ancora maggiori, rispettivamente del 9% e del 13%. Al contrario il malware in Europa è aumentato del 29%.

Il primo dato importante rilevato dall’analisi di SonicWall è che l’intensificazione del lavoro ibrido non è causa dell’aumento degli attacchi. I veri responsabili dell'aumento delle minacce informatiche sono stati il cryptojacking e il malware IoT, che sono aumentati rispettivamente del 30% e del 77%. Non solo: anche la guerra in Ucraina ha giocato un ruolo centrale, come dimostra la scansione mensile del volume di malware: nella prima metà del 2022 la diffusione del malware in tutti i continenti ha raggiunto un picco nel mese di marzo. È esattamente quello che era accaduto nel 2020, quando marzo fu il mese di esplosione della pandemia.

Dal report arrivano anche tristi conferme: il settore dell'istruzione resta quello maggiormente preso di mira dagli attacchi, con una media del 21,4% al mese, seguito dalla pubblica amministrazione, con il 19,3% dei clienti presi di mira.

Ransomware in calo, ma non c’è da festeggiare

Il 2022 va in controtendenza rispetto agli ultimi due anni, quando si era assistito a un aumento vertiginoso del ransomware. Nella prima metà di quest’anno invece è sceso del 23%, con il calo maggiore a giugno. Anche qui i dati viaggiano su un doppio binario: negli USA si è verificata una diminuzione del 42%, in Europa c’è stato un aumento del 63%. Significa che non parliamo di un calo generale, ma di uno spostamento degli attacchi verso il Vecchio Continente.

Anche perché, guardano i dati in prospettiva, la quantità di ransomware circolata nella prima metà del 2022 ha già superato i totali delle intere annate 2017, 2018 e 2019, quindi siamo ancora molto al di sopra dei livelli pre-pandemia e - a meno che non si verifichi un calo estremo e senza precedenti nella seconda metà di quest'anno - il 2022 supererà il totale di ransomware del 2020.

Interessanti a questo punto sono le motivazioni addotte dagli esperti di SonicWall a questi dati: le sanzioni governative, le carenze della supply chain, la disponibilità limitata delle infrastrutture e la maggiore attenzione da parte delle Forze dell'ordine e degli organi di Governo. Partendo dall’inizio, è fuor di dubbio che il contesto geopolitico complica l'attività dei criminali informatici, per molti motivi. Il primo è che i russi molto più concentrati sulle attività relative all'Ucraina e questo dato pesa, dato che diverse fonti ufficiali reputano che il 74% dei proventi ransomware dello scorso anno - quasi 400 milioni di dollari - è andato a gruppi "molto probabilmente affiliati alla Russia".

In seconda battuta c’è da tenere conto che le sanzioni contro la Russia hanno reso difficili i pagamenti e gli spostamenti di denaro da e verso la Comunità degli Stati Indipendenti. Questo ha causato grande difficoltà ad acquistare infrastrutture sul web, abbassando l’efficacia delle campagne. Aggiungiamo a latere la continua volatilità dei prezzi delle criptovalute e i requisiti più stringenti dei sottoscrittori delle assicurazioni per la cybersecurity, che sono sempre meno orientate a coprire le spese di pagamento dei riscatti.

Un altro fattore determinante è la crescente pressione sulle vittime: il numero di organizzazioni disposte a pagare il riscatto si è dimezzato rispetto al 2019. Fra le motivazioni ci sono la sensibilizzazione sulla necessità di non pagare, l’associazione Russia/ransomware che dissuade i pagamenti per motivi etici, e la paura di ripercussioni governative per aver violato le sanzioni finanziando gruppi russi. Senza dimenticare il fatto che i Governi stanno intensificando fortemente la loro risposta al ransomware.

Detto questo, c’è poco da festeggiare: secondo gli esperti il ransomware può essere in calo, ma di certo non è morto, perché finché ci sarà un incentivo finanziario, ci sarà il ransomware. E se gli attacchi complessivamente stanno scendendo, dall’altra gli importi dei riscatti continuano a crescere in modo drammatico. Gli attacchi quindi restano redditizi, anzi, lo sono sempre di più e alimentano una fiorente economia sommersa.

Più che altro sono i numeri a tenere alta l’attenzione. Posto che tutti sono potenzialmente a rischio di subire un attacco, è bene tenere in conto che il ransomware rivolto alle organizzazioni governative è calato dell'84%, mentre tutti gli altri settori hanno registrato un aumento: istruzione e vendita al dettaglio sono aumentate rispettivamente del 51% e del 90%, mentre finance e healthcare hanno visto un aumento a tripla cifra, rispettivamente del 243% e del 328%.

Malware mai visti prima

Dalla seconda metà del 2021 i malware mai visti prima hanno iniziato a tenere banco nelle cronache cyber; nel 2022 si sono affermati come una delle minacce maggiori. Ne parla chiaramente SonicWall nel suo report, dove indica che la tecnologia brevettata Real-Time Deep Memory Inspection (RTDMI, che sfrutta l’apprendimento automatico) ha scoperto 270.228 varianti di malware mai viste prima, una media di 1.501 al giorno. Corrisponde a un incremento del 45% rispetto al primo semestre del 2021.

Anche in questo caso il mese peggiore è stato marzo, con 59.259 nuove varianti di malware, il maggior numero mai identificato in un solo mese. Ma il trend è in salita: l’aumento del numero di varianti scoperte da RTDMI caratterizza 14 degli ultimi 18 trimestri. Come sottolinea il vendor, non è da confondere lo zero day con il malware sconosciuto, anche se spesso questi due elementi convergono. Gli attacchi zero day sono minacce nuove o sconosciute che mirano a una vulnerabilità senza patch o aggiornamenti esistenti. I malware sconosciuti corrispondono semplicemente a tecniche di attacco mai viste prima. Da qui l’importanza di usare strumenti di prevenzione di ultima generazione, che fanno uso di Intelligenza Artificiale e machine learning per identificare comportamenti sospetti, senza appoggiarsi a firme conosciute.

Ma come si disseminano questi attacchi? Tipicamente via phishing, con allegati dannosi che si nascondono sempre più spesso nei file PDF, che rappresentano ora il 18% di tutti i nuovi tipi di file dannosi, mentre i file Office si fermano al 10% - e per lo più si tratta di allegati Excel.

Minacce crittografate, IoT e cryptojacking

Se gli aumenti visti finora sono preoccupanti ma non eccessivi, il passaggio all’analisi delle minacce crittografate è uno shock: da un anno all’altro sono aumentate del 132%. Se questa tendenza dovesse confermarsi, il 2022 potrebbe diventare il terzo anno consecutivo a registrare un aumento a tre cifre delle minacce crittografate. Guardando poi il dato in prospettiva, il volume degli attacchi in Nord America ha rappresentato il 68% del totale globale nei primi sei mesi di quest'anno. In Europa l’aumento è stato del 75%. Questo tipo di attacchi viene tipicamente sferrato contro pubblica amministrazione (9%), finanza (27%) e istruzione (42%).

Passando al malware IoT, l’aumento è notevole ed era preventivabile, considerato l'aumento del numero di dispositivi IoT online, che inevitabilmente espande la superficie di rischio. Ecco che quindi nella prima metà del 2022 il volume globale degli attacchi è lievitato del 77%, raggiungendo i 57 milioni. Fra i paesi più colpiti risultano Stati Uniti (+222%) e Regno Unito (+134%). Quanto ai settori presi di mira, nessuno non si salva: risultano aumenti a tre cifre in tutti i comparti analizzati.

Nonostante il calo del prezzo delle criptovalute, il volume globale dei cryptojacking è salito a 66,7 milioni nel primo semestre del 2022, con un aumento del 30% rispetto alla prima metà del 2021. Ad essere colpito più duramente è stato il settore finanziario, che ha visto un aumento del 269%. Il motivo è facilmente intuibile: gli attaccanti mirano al furto di criptovalute, che è salito a 66,7 milioni nel primo semestre del 2022.

Fra i motivi alla base di questo aumento c’è ancora una volta il ransomware. Dopo le rappresaglie attuate dalle autorità a seguito dei gravi attacchi contro Colonial Pipeline e Kaseya, molti affiliati si sono riciclati in attività meno rischiose. Quella più redditizia è proprio il cryptojacking, che può avere successo senza che la vittima se ne accorga.

Tentativi di intrusione

Chiude il report il capitolo dei tentativi di intrusione, che in generale sono aumentati del 18% nella prima metà del 2022, ma sono calati in alcune aree strategiche come Stati Uniti ed Europa. È proprio nel Vecchio Continente che si sono registrati i valori più bassi: -52% rispetto alla prima metà del 2021.

Non possono dormire sonni tranquilli i responsabili IT e della security di sanità, pubblica amministrazione, finanza e vendita al dettaglio, che hanno registrato rispettivamente picchi del 39%, 46%, 94% e 200%. L'unica eccezione è stata eccezione è stato quello dell'istruzione, che ha visto una diminuzione dell'11% delle intrusioni dannose.