Il Veneto è la terza regione d’Italia più colpita dagli attacchi ransomware

· Ransomware, oltre la metà degli attacchi nel mondo ha riguardato le piccole imprese. In Italia, Lombardia, Emilia Romagna e Veneto tra le regioni più colpite;

· Nel 2024, aumentati del 70% tutti gli incidenti di sicurezza e più che triplicati (+269%) quelli di gravità critica. Il Manifatturiero si conferma il settore più esposto;

· “Bring Your Own Vulnerable Driver” (BYOVD) e Intelligenza Artificiale per la scrittura di script malevoli tra le tendenze adottate dai cybercriminali.

Security Operation Center

Var Group presenta l’ottava edizione del Y-Report di Yarix, il suo centro di competenza per la cybersecurity, per tracciare lo scenario delle minacce informatiche che hanno colpito l’Italia e il mondo nel corso del 2024.

Nel 2024, il Security Operation Center (SOC) di Yarix, sala di controllo da cui vengono monitorati gli attacchi informatici in tempo reale, ha analizzato complessivamente oltre 485 mila eventi di sicurezza (+56% rispetto al 2023), ovvero attività anomale o sospette nei sistemi. Quasi 1 su 3 di questi eventi (141 mila, +70% sul 2023) è evoluto in incidente, violazione che ha impattato la sicurezza di dati o sistemi. In questo scenario, gli incidenti di gravità critica sono più che triplicati (+269% su base annua), trend favorito dalla presenza di vulnerabilità in componenti chiave dell’infrastruttura, come firewall e altri dispositivi di sicurezza.

I due settori più colpiti sono il Manifatturiero (12,5%), particolarmente esposto a causa della presenza di ambienti produttivi con dispositivi obsoleti e infrastrutture delocalizzate, spesso caratterizzate da una governance limitata, e l’IT (11,8%), per via dell’elevato numero di servizi esposti, soggetti a diverse tipologie di vulnerabilità, e per la natura sensibile dei dati trattati.

Ransomware

Durante il 2024 sono stati mappati 4.721 eventi ransomware a livello mondiale (+5,5% di rivendicazioni rispetto al 2023), in prevalenza contro PMI (54%), condotti da 92 gruppi ransomware. Tra questi, RansomHub si conferma quello più attivo, contribuendo da solo al 9,80% degli attacchi totali.

L’Italia sale di una posizione e diventa il quarto paese più interessato dai ransomware, dopo Stati Uniti, Regno Unito, Canada e prima della Germania. A livello italiano, gli attacchi ransomware hanno colpito aziende nei settori Manifatturiero (32,5%), Consulenza (9%), IT (7,5%), Trasporti (7,5%) e Costruzioni (6,5%), distribuite maggiormente in Lombardia (30,90%), Emilia-Romagna (15,40%) e Veneto (8,80%).

Contesto geopolitico e Hacktivismo

L’Italia è stato il 5° Paese più colpito dai gruppi hacktivisti durante il 2024, sia da collettivi filo-russi con motivazioni principalmente legate alla posizione italiana a supporto del governo di Kiev nel conflitto Russia-Ucraina, come in occasione del primo incontro del 2024 del G7 da Kiev, che da collettivi appartenenti all’area Asia-Pacifico, volti al sostegno della popolazione palestinese e dunque contrari al sostegno italiano ad Israele. I picchi maggiori sono stati registrati in corrispondenza del primo e quarto trimestre del 2024.

Ai primi posti dei paesi più attaccati l’Ucraina, Israele e la Romania, quest’ultima per il valore strategico e militare nel conflitto tra Russia e Ucraina. Al quarto posto l’India, a causa di dispute territoriali o politiche con i Paesi vicini, per cui è stato identificato un picco di attività da parte di collettivi dell’area Asia-Pacifico.

Il Team di Cyber Intelligence ha registrato 97 gruppi hacktivisti a livello globale, di cui il più attivo è stato il collettivo filorusso NoName057, che ha totalizzato più del 55% degli attacchi per i settori Energia & Utility, Sanità, Banca & Finanza e Trasporti & Logistica.

• I collettivi allineati con la Russia hanno concentrato i loro attacchi verso obiettivi ucraini, alleati del governo di Kiev e membri della NATO, giustificando le loro azioni come una risposta al coinvolgimento occidentale nella regione. In altri casi, è stato osservato che gruppi sostenitori del governo di Mosca hanno esteso la loro influenza oltre il conflitto Russia-Ucraina, mostrando sostegno a movimenti interni di alcuni Paesi che hanno causato disagi a livello nazionale (ad esempio la protesta degli agricoltori in Europa) attraverso attacchi DDoS, azioni mirate a sovraccaricare un sito o di un server per renderlo inaccessibile;

• Gli attori pro-arabi e pro-musulmani hanno invece mirato a paesi che hanno mostrato supporto politico o militare a Israele nel suo conflitto in corso contro Hamas, considerando gli attacchi DDoS come una forma di ritorsione per il sostegno alle azioni militari del governo di Tel-Aviv. In modo simile, gli attori pro-Palestina e quelli legati ad Anonymous hanno indirizzato i loro attacchi verso paesi che consideravano responsabili delle sofferenze dei civili, con particolare attenzione alla situazione di Gaza;

• Gli hacktivisti dell’area Asia-Pacifico sono stati coinvolti in azioni relative a dispute tra India e paesi confinanti, come Bangladesh e Pakistan, e nella causa umanitaria scaturita dal conflitto tra Israele e Hamas.

Tendenze 2024

Nel 2024, il team di Incident Response ha gestito 146 compromissioni di sicurezza, (+75,9% rispetto al 2023). Dalle analisi è emerso che l’Intelligenza Artificiale Generativa è stata impiegata per sviluppare script malevoli, istruzioni automatizzate per eseguire azioni dannose su un sistema informatico; ciò ha permesso di velocizzare la creazione di malware, permettendo anche ad attori meno esperti di lanciare attacchi, e contribuito a una crescente sofisticazione degli stessi.

Gli attaccanti sono inoltre sempre più abili a cancellare le loro tracce nei sistemi compromessi, rendendo sempre più complesso ricostruire le loro attività e identificare il punto d’ingresso.

Ma l’IA è uno strumento fondamentale anche per la difesa: a un anno dalla nascita di Egyda, piattaforma di Yarix che integra automazione avanzata, machine learning e intelligenza artificiale all’interno del SOC, il tempo medio di risposta agli eventi è stato ridotto di oltre il 50% grazie a un’elaborazione più rapida e precisa degli alert.

Tra le altre principali tendenze osservate dal team:

• l’adozione di strumenti personalizzati per la compromissione dei sistemi e l’impiego di diversi metodi per criptare i dati, rendendo più difficile il recupero;
• l’abbassamento della soglia di selezione nei processi di affiliazione: gruppi come Akira, LockBit, BlackBasta e altri emergenti mostrano un livello di competenze eterogeneo tra i loro affiliati. Questo approccio punta ad aumentare il volume degli attacchi e massimizzare i profitti derivanti dai riscatti;
• un aumento del 333% di malware progettati per neutralizzare i controlli di sicurezza, la diffusione di “EDR Killer” per disabilitare i software di sicurezza sugli endpoint (pc, smartphone…);

l’adozione, da parte di gruppi più evoluti, di metodi sofisticati come il “Bring Your Own Vulnerable Driver” (BYOVD), che installa sul sistema bersaglio un driver legittimo, cioè creati da produttori affidabili, ma contenente vulnerabilità.