Tipologie di cyber attacchi

Il mondo moderno è sempre più interconnesso e dipendente dalle tecnologie digitali, esponendo privati e aziende a una crescente minaccia di attacchi informatici.

I cyber criminali utilizzano tecniche sempre più sofisticate per ottenere il controllo dei sistemi, sottrarre informazioni confidenziali o causare danni.

Le organizzazioni di tutto il mondo devono affrontare una serie di sfide per proteggere i propri sistemi e dati, tra cui la crescente complessità delle minacce, la scarsa consapevolezza in materia di sicurezza informatica e la carenza di personale specializzato.

In questo scenario, gli attacchi informatici possono costituire un’importante pericolo.

Per implementare misure adeguate, con l’obiettivo di gestire i rischi relativi alla sicurezza e definire le azioni di contrasto, è fondamentale saper distinguere le diverse tipologie di minacce e le relative modalità di azione.

Rispetto al passato, i moderni attacchi, definiti di sesta generazione, sfruttano più vettori, anche contemporaneamente, e sono in grado di eludere determinate difese grazie a strategie di polimorfismo ed offuscamento del codice.

Per fare un esempio, un attacco può avere inizio da uno smartphone e proseguire con l’accesso a dei server ospitati in un datacenter.

Il codice del malware può essere reso inintelligibile grazie ad algoritmi di cifratura oppure può assumere comportamenti diversi o utilizzare valori differenti ad ogni esecuzione.

Riconoscere una azione malevola è una vera e propria sfida

Un tentativo di classificare e descrivere tutte le possibili strategie di attacco è quello del MITRE che, istituendo il framework ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) nel 2013, ha creato uno strumento che riporta, in matrici di semplice lettura, un elenco strutturato di comportamenti noti da parte di utenti malintenzionati, che sono stati compilati come tattiche e tecniche.

Il framework viene costantemente aggiornato e costituisce un riferimento importante per l’implementazione di strumenti e strategie difensive.

Distinguiamo gli scenari

Non sempre l’azione scaturisce dal malware

Possiamo distinguere tra attacchi informatici legati all’hacking di natura tecnologica e quelli di cognitive hacking, che creano o sfruttano scenari ingannevoli tramite false informazioni, che le vittime possono discernere come vere e comunicare come tali.

Nell’ambito dell’intermediazione dell’uomo con i sistemi informatici, si possono distinguere differenti categorie di attacco:

• attacchi “fisici”: consistenti nella distruzione, manipolazione o danneggiamento materiale delle componenti fisiche e dell’ambiente tecnologico, per i quali non è richiesta interazione umana e che sono diretti ad ambienti fisici o alle persone
• attacchi “sintattici”: consistenti in procedure connotate da proprietà logico-sintattiche nel cui ambito i comportamenti umani sono sostanzialmente assenti o connotati da meccanicità, ossia diretti alla tecnologia informatica senza alcun apporto umano rilevante
• attacchi “semantici” o “cognitivi”: che implicano un’interpretazione di natura semantica delle informazioni e che mirano al cambiamento di tre principali dimensioni dell’interazione uomo-ambiente: quelle percettive, semantiche o relative alle credenze, comportamentali relative alle azioni.

Tra le forme più diffuse e subdole di attacchi cognitivi, vi è il phishing, ovvero un insieme di tecniche fraudolente finalizzate a carpire dati o informazioni personali e sensibili (dati anagrafici, user-id, passwords).

Quante forme di attacco conosciamo

Se ci rifacciamo al framework ATT&CK, restiamo sconcertati dalla mole di possibili vettori, tecniche e tattiche di attacco, rendendoci conto dei rischi che corriamo.

Qui esaminiamo le categorie più comuni:

• Malware: un termine generico che si riferisce a un software dannoso progettato per danneggiare o controllare un sistema informatico. Esistono diverse forme di malware, tra cui virus, worm, Trojan e spyware. Gli attaccanti possono utilizzare il codice malevolo per rubare informazioni sensibili o causare danni ai sistemi.
• Ransomware: è un tipo di malware che cifra i dati della vittima, inibendone l’accesso e proponendo un riscatto in denaro in cambio della restituzione di informazioni leggibili.
• Attacchi DDoS (Distributed Denial of Service): mirano a rendere inaccessibili i siti web o i servizi online delle vittime inviando un’enorme quantità di richieste al loro sistema, in modo da sovraccaricarlo e renderlo inaccessibile. Questo tipo di attacco viene spesso utilizzato per causare danni o interruzioni a scopo di rappresaglia o per distrarre dall’esecuzione di altri attacchi.
• Sfruttamento di vulnerabilità del software: mirato a prendere il controllo di un sistema informatico o sottrarre informazioni sensibili. Il buffer overflow rientra in questa categoria e si verifica quando un programma scrive più dati in un buffer (area di memoria limitata) di quanti questo possa contenerne. Ciò può causare la sovrascrittura di ulteriori zone di memoria, causando crash del programma o portando alla esecuzione di codice maligno.
• fileless attack: è un tipo di attacco che non richiede l’installazione di file sul sistema vittima. Esso utilizza componenti native e preesistenti per sfruttare vulnerabilità e diffondere malware. Un attacco del genere è più difficile da rilevare e rimuovere rispetto agli attacchi basati su file poiché non lascia tracce sullo storage.
• Il Man-in-the-Middle (MitM) è un attacco in cui un aggressore intercetta e manipola le comunicazioni tra due parti, agendo come intermediario non autorizzato. L’attaccante può leggere, modificare o bloccare i messaggi tra la vittima e il destinatario. Ciò può essere effettuato attraverso diverse tecniche, come la compromissione della rete o l’utilizzo di software di hacking. Il MitM può essere utilizzato per carpire informazioni sensibili, come password e dati finanziari.
• Uno zero-day exploit sfrutta una vulnerabilità sconosciuta, prima che i produttori di software abbiano il tempo di rilasciare una patch per correggerla. Questo tipo di exploit è considerato particolarmente pericoloso poiché gli attaccanti possono sfruttare la vulnerabilità senza che gli utenti possano proteggere i loro sistemi.
• L’SQL Injection sfrutta una vulnerabilità nel codice di un’applicazione per inviare comandi SQL dannosi al database sottostante. Questo può permettere all’attaccante di accedere a informazioni riservate, modificare o eliminare dati e prendere il controllo del database e del server dedicati al servizio.
• L’attacco DNS tunnelling consiste nell’utilizzo fraudolento del protocollo DNS per nascondere e trasferire dati sensibili attraverso una rete, eludendo i controlli di sicurezza. Il traffico viene incapsulato in messaggi DNS legittimi e inviato attraverso un server DNS autorizzato, il che lo rende difficile da individuare. Questo attacco può essere utilizzato per trasferire dati maligni, come malware o informazioni riservate, attraverso una rete protetta.

L’elenco non è certamente esaustivo, prendendo in esame solamente i metodi utilizzati con maggior frequenza.

La storia recente

Negli ultimi anni, i cyber attacchi hanno raggiunto un elevato livello di sofisticazione, causando ingenti danni economici e di privacy.

Nel 2017 l’attacco Ransomware WannaCry ha colpito organizzazioni in tutto il mondo utilizzando una vulnerabilità nei sistemi operativi Windows. Il malware ha crittografato i dati degli utenti richiedendo un riscatto per la loro decifratura.

Il data breach Equifax del 2017 ha esposto informazioni personali, tra cui nomi, indirizzi e numeri di previdenza sociale di milioni di consumatori. La causa è stata identificata come una vulnerabilità non corretta in una applicazione web utilizzata da Equifax.

Il security breach Keeper, risalente al 2019, ha messo a rischio le informazioni di milioni di utenti di una popolare applicazione di gestione password. Il vettore di attacco è stato una vulnerabilità software nella piattaforma che ha permesso agli aggressori di accedere alle informazioni degli utenti.

Il supply chain attack SolarWinds, avvenuto nel 2020, ha colpito diverse organizzazioni governative e private, compresi i dipartimenti di Stato e di Difesa degli Stati Uniti. Il vettore di attacco è stato un software di gestione delle infrastrutture IT fornito da SolarWinds che è stato modificato dall’aggressore per includere una backdoor.

Gli attacchi di phishing COVID-19, perpetrati nel 2020, hanno sfruttato la paura e l’incertezza generata dalla pandemia per indurre le vittime a divulgare informazioni riservate. Gli aggressori hanno inviato e-mail fraudolente che sembravano provenire da fonti affidabili, come istituzioni finanziarie o fornitori di servizi sanitari, per convincere le vittime a fornire informazioni personali o a scaricare malware.

Tirando le somme

Un danno che ammonta a più di 190.000 dollari ogni secondo

La cronaca di settore ci racconta quotidianamente di attacchi, di grossa entità, messi a segno globalmente ai danni di organizzazioni di ogni settore produttivo.

La tendenza, da parte dei criminali, è quella di riunirsi in vere e proprie gang, molto preparate e determinate, che diffondono ransomware o wipers (malware che distrugge le basi informative delle vittime) con lo scopo di estorcere enormi quantità di denaro.

I reports più recenti ci forniscono le dimensioni del fenomeno: più di sei trilioni di dollari di perdite ogni anno.

Lo scenario è all’esame delle Nazioni Unite. Al momento la maggior parte dei governi occidentali sta negoziando i parametri di un trattato, chiamato Convenzione internazionale, sulla lotta all’uso delle tecnologie a fini criminali.