Dei 6.093 attacchi gravi di pubblico dominio che costituiscono il database di incidenti degli ultimi 13 semestri (6 anni e mezzo), nel primo semestre 2017 ne abbiamo raccolti e analizzati 571, contro i 527 del secondo semestre 2016 (+
8,35%), con una media di 95,2 attacchi al mese (rispetto ad una media su 6 anni
e mezzo di 83 al mese).
Questa la distribuzione degli attacchi registrati nel periodo, suddivisi per semestre:
Figura 10 – Numero di attacchi di dominio pubblico rilevanti per semestre
88
3.1.1 Distribuzione degli attaccanti per tipologia e trend evolutivi57:
Figura 11 – Distribuzione degli attaccanti per tipologia e trend evolutivi
Complessivamente, rispetto al secondo semestre 2016, nel primo semestre 2017 il numero di attacchi gravi cresce del 8,35%. Nei primi mesi del 2017 la categoria “Cybercrime” fa registrare il numero di attacchi più elevato dei 13 semestri in esame (427). Emerge chiaramente che, con l’esclusione della categoria “Hacktivism” che diminuisce sensibilmente (-41,03%) e della categoria “Information Warfare” che diminuisce (-28,57%), rispetto al 2H 2016 nel 1H 2017 gli attacchi gravi compiuti per finalità “Cybercrime” sono in aumento (+13,26%), così come quelli con finalità di “Espionage” (+126,67%).
89
3.1.2 Tipologia e distribuzione degli attaccanti – 1h 201758:
Figura 12 - Tipologia e distribuzione degli attaccanti – 1h 2017
Nel 2014 il Cybercrime si era confermato la prima causa di attacchi gravi a livello globale, attestandosi al 60% (era il 36% nel 2011) . Nel 2015 tale percentuale era il 68%, che sale al 72% nel 2016 e al 75% nel primo semestre 2017, mostrando un trend inequivocabile.
Secondo una recente indagine, nel quarto trimestre 2016 l’Italia era al quarto posto nel mondo per numero di utenti online complessivamente colpiti da Cybercrime (29%)59.
58 © Clusit - Rapporto 2017 sulla Sicurezza ICT in Italia - aggiornamento giugno 2017
59 http://www.lastampa.it/2017/02/12/italia/cronache/furti-e-ricatti-i-file-pirata-svuotano-le-aziende-
90
3.1.3 Distribuzione degli attaccanti per finalità, 2011 – 1h 201760:
Figura 13 - Distribuzione degli attaccanti per finalità, 2011 – 1h 2017
Il Cybercrime passa dal 36% nel 2011 al 54% nel 2012, poi si mantiene pressoché stabile negli anni: 2012 (54%), 2013 (53%), 2014 (60%). Nel 2015 quando i valori percentuali si iniziano ad impennare passando al 68%, al 72% nel 2016 fino al 75% soltanto nel primo semestre 2017. L’Hacktivism ha un percorso diverso: nel 2011 si attesta al 24% e aumenta nel 2012 (32%) fino a raggiungere il suo picco massimo nel 2013 (39%); dopodiché inizia un percorso a ritroso diminuisce nel 2014 al 27%, nel 2015 al 21%, nel 2016 al 15% fino a raggiungere il solo 8% nel primo semestre 2017: stiamo parlando di 31 punti percentuali in meno rispetto al suo picco del 2013.
Per quanto riguarda le attività di Espionage, la percentuale degli attacchi è stata pressoché stabile dal 2011 al 2016 con valori compresi tra il 2%-9%; nel primo semestre 2017 questa percentuale è aumentata portandosi in doppia cifra e attestandosi al 12%. Infine l’Information Warfare risulta stabile (probabilmente per la scarsità di informazioni pubbliche in merito) al 5% .
91
3.1.4 Distribuzione delle vittime per tipologia e trend evolutivi61:
Figura 14 - Distribuzione delle vittime per tipologia e trend evolutivi
Rispetto al secondo semestre 2016, nel primo semestre 2017 la crescita percentuale maggiore di attacchi gravi si osserva verso le categorie “Multiple Targets” (+253,33%), “Research - Education” (+138,10%) e “Critical Infrastructures” (+23,08%) seguite da “Banking / Finance” (+12,20%).
92
La categoria “Others” cresce del 27,78%, a ulteriore dimostrazione del fatto che ormai tutti sono bersagli, a prescindere dalla dimensione e dal settore merceologico.
Da notare la crescita significativa della nuova categoria “Multiple targets”, per rendere conto del crescente numero di attacchi gravi compiuti in parallelo dallo stesso attaccante contro numerose organizzazioni appartenenti a categorie differenti. In questa nuova voce sono compresi attacchi verso gruppi di vittime appartenenti a tutte le altre categorie, a dimostrazione del fatto che non solo ormai tutti sono diventati bersagli, ma anche che gli attaccanti sono diventati sempre più aggressivi e conducono operazioni su scala sempre maggiore, con una logica “industriale”. Rimangono stabili, sia pure in calo, gli attacchi verso il settore “Gov” (tipicamente con finalità di Espionage o di Information Warfare), mentre diminuiscono gli attacchi verso le categorie “Entertainment / News”, “Online Services / Cloud” e “Software/Hardware Vendor”. Per quanto riguarda la categoria “Ricettività” (Hospitability), ovvero attacchi gravi verso organizzazione alberghiere, ristoranti, residence e collettività (tipicamente per colpirne gli utenti), tali attacchi proseguono anche nel primo semestre 2017, mostrando una crescita ulteriore (+16,67%). Complessivamente, su 19 categorie considerate, 3 rimangono sostanzialmente invariate, 7 appaiono in calo, mentre 7 mostrano un aumento nel numero di attacchi.
3.1.5 Tipologia e distribuzione delle vittime – 1H 2017
93
Al primo posto assoluto, in leggera diminuzione, ancora il settore governativo, con un quinto degli attacchi (19%). La categoria “Multiple Targets” nel primo semestre 2017 balza per pochissimo al secondo posto quasi a pari merito con il settore governativo (19%). Al terzo posto la categoria “Entertainment/News” (12%), a seguire “Research - Education” (9%), “Online Services / Cloud” (9%) e “Banking / Finance” (8%)62
.
3.1.6 Distribuzione generale delle vittime per area geografica e trend evolutivi63:
La classificazione delle vittime per nazione di appartenenza viene qui rappresentata su base continentale.
- Appartenenza geografica delle vittime per continente – 1H 2017:
Figura 16 - Appartenenza geografica delle vittime per continente – 1H 2017
Rispetto al secondo semestre 2016, nel primo semestre 2017 in percentuale diminuiscono le vittime di area americana (dal 55% al 47%) ed asiatica (dal 16% al 10%).
Crescono gli attacchi in Europa (dal 16% al 19%) e soprattutto aumentano in modo significativo gli attacchi verso realtà multinazionali (dal 11% al 22%) ad indicare la tendenza a colpire bersagli sempre più importanti, di natura transnazionale.
62 © Clusit - Rapporto 2017 sulla Sicurezza ICT in Italia - aggiornamento giugno 2017 63 © Clusit - Rapporto 2017 sulla Sicurezza ICT in Italia - aggiornamento giugno 2017
94
3.1.7 Distribuzione generale delle tecniche di attacco e trend evolutivi64
Figura 17 - Distribuzione generale delle tecniche di attacco e trend evolutivi
Tra le root cause degli attacchi gravi del primo semestre 2017 per la prima volta assume il primo posto la categoria “Malware” con il 36% del totale, in crescita del 86,36% rispetto al secondo semestre 2016, il che denota l’estrema facilità di reperire strumenti offensivi anche molto sofisticati sul mercato nero e la loro crescente accessibilità in termini economici (altro fenomeno che sottolinea l’industrializzazione dell’ecosistema cybercriminale).
Aumentano sensibilmente anche “Known Vulnerabilities” (+100%), “Phishing/Social Engineering” (+85,71%) e l’utilizzo di tecniche complesse di tipo APT (Advanced Persistent Threat), + 42,31%.
95
Le “Known Vulnerabilities / Misconfigurations” e le tecniche di “Phishing/Social Engineering”, che erano già risultate in forte crescita l’anno scorso, crescono ulteriormente in modo significativo, a dimostrazione del fatto che anche se sono iniziate ad essere implementare alcune contromisure, queste sono in molti casi insufficienti e quindi gli attaccanti possono fare affidamento sulla mancanza di sicurezza dei loro bersagli, per danneggiarli anche gravemente.
I Malware comuni (in particolare i c.d. Ransomware) sono sempre più diffusi, e non solo per compiere attacchi “spiccioli” (tipicamente realizzati da cyber criminali poco sofisticati) ma anche contro bersagli importanti e/o con impatti significativi.
Il 27%degli attacchi gravi del primo semestre 2017 realizzati tramite malware sono stati compiuti utilizzando Ransomware, e il 20% tramite malware specifico per piattaforme mobile (7% iOS, 13% Android). I malware per mobile aumentano sensibilmente, il che prefigura un trend molto preoccupante, anche considerato che la maggior parte di questi sistemi non ha installata alcuna protezione.
3.1.8 Tipologia e distribuzione delle tecniche di attacco – 1h 201765:
Figura 18 - Tipologia e distribuzione delle tecniche di attacco – 1h 2017
96
Le SQLinjection rimangono stabili al 13% del totale. Crescono gli attacchi realizzati a partire da attività di Phishing e Social Engineering, che passano dal 7% al 9%.
Diminuiscono numericamente gli attacchi DDoS (dal 11% al 4%), che però nel primo semestre 2017 hanno in alcuni casi raggiunto volumi di traffico vicini o superiori al Gigabit per secondo, un record assoluto. Infine le tecniche di attacco di tipo “Unknown” passano dal 32% al 24%. La maggior parte di questi attacchi sono Data Breach (violazioni di dati personali e sensibili, 89% sul totale della categoria), alcuni relativi a molti milioni di record, dei quali (ove la normativa impone forme di disclosure) sono note le conseguenze, ma quasi mai le modalità di esecuzione.
3.1.9 Tipologia tecniche di attacco, 2011 – 1h 201766:
Figura 19 - Tipologia tecniche di attacco, 2011 – 1h 2017
Considerato che stiamo analizzando gli attacchi più gravi del periodo, compiuti contro primarie organizzazioni pubbliche e private, spesso di livello mondiale, il fatto che la somma delle tecniche di attacco più banali (SQLi, DDoS, Vulnerabilità note, Phishing, Malware) rappresenti ben il 64% del totale (era il 56% nel 2016), implica che gli attaccanti riescono a realizzare con successo attacchi gravi contro le loro vittime con troppa semplicità ed a costi decrescenti - forse la considerazione più preoccupante tra tutte quelle svolte fin qui.
97
3.2 Analisi dei casi emblematici in un orizzonte temporale di 5 anni (2012-