Partendo dal recente passato, uno sguardo ai rischi futuri arriva da Acronis, che ha pubblicato il periodico Acronis Cyberthreats Report, H2 2024, che delinea lo scenario dei rischi e delle minacce sulla base delle rilevazioni effettuate dall’Acronis Threat Research Unit (TRU) tra luglio e dicembre 2024.
Ransomware e Phishing restano in cima alle minacce di cybersecurity
Gli attacchi Ransomware a livello globale sono aumentati del 7% nella seconda metà del 2024 rispetto allo stesso periodo del 2023, mentre in Italia il dato è inverso e del 7% è la diminuzione.
La seconda metà del 2024 ha visto tra i casi eclatanti, assunti alla ribalta dell’opinione pubblica, quello della società calcistica Bologna FC, colpita dal gruppo RansomHub, uno tra i più attivi e pericolosi a livello globale e a anche in Italia, avendo rivendicato il 12% degli attacchi rilevati. Il gruppo aveva anche postato sul proprio sito notizie per screditare la società in cui denunciava come fosse stata l’incuria e il mancato rispetto delle normative a favorire la loro azione. Dopo un giorno dalla rivendicazione, la notizia è stata rimossa dal sito del gruppo cybercriminale, lasciando intuire che probabilmente era stata avviata una trattativa con i cybercriminali.
“Il fatto che l’Italia sia al terzo posto per diffusione di malware evidenzia quanto il nostro Paese rappresenti un obiettivo strategico per il cybercrimine – spiega Denis Valter Cassinerio, Senior Director & General Manager South EMEA di Acronis –. Siamo particolarmente esposti in settori in forte crescita, come l’e-commerce, e che sfruttano la manipolazione delle ricerche web per colpire gli utenti. L’educazione alla sicurezza resta essenziale”.
L’analisi evidenzia come gli attacchi via email siano aumentati del 197% nella seconda metà del 2024 rispetto allo stesso periodo del 2023, con un incremento del 21% negli attacchi alle organizzazioni. Il 31,4% di tutte le e-mail ricevute nel secondo semestre del 2024 è spam e l’1,4% di queste contiene malware o link di phishing. Tra luglio e dicembre 2024, quasi il 50% degli utenti ha subito almeno un attacco basato su campagne malevole via email. L’errore umano rimane il principale punto debole della sicurezza, mentre le tecniche di social engineering continuano a crescere (+7%), sfruttando l’AI per rendere le email fraudolente sempre più verosimili e convincenti.
Attacchi agli MSP: colpirne uno per violarne cento
I cybercriminali puntano sempre alle vie più facili e oggi gli MSP (Managed Service Providers) sono bersagli prioritari. La ricerca di Acronis ha rilevato nella seconda metà del 2024 ben 185 attacchi indirizzati agli MSP.
I gruppi Ransomware più attivi contro gli MSP includono Lockbit, Play, RansomHub, Akira, SolTyphon e APT73. I paesi più colpiti sono Stati Uniti, Germania, Italia, Spagna e Francia. Tra le principali porte d’ingresso sfruttate dagli attaccanti vi sono il phishing, le credenziali deboli di Remote Desktop Protocol (RDP) e le vulnerabilità non corrette, che restano .
“Nel caso degli MSP il rischio è molto serio – prosegue Cassinerio – perché compromettere un MSP significa mettere a rischio tutta la catena collegata. I gruppi criminali più organizzati hanno evoluto le proprie tecniche, sfruttando attacchi diretti a dispositivi non aggiornati per ottenere accesso ai sistemi critici. Tra le vittime vi sono anche MSP e società di telecomunicazioni all’interno di un ampio range di fatturato, a partire da pochi milioni di dollari, dimostrando come le campagne Ransomware non facciano più distinzioni di dimensioni”.
I rischi del “remote management” della security
Dopo la pandemia da Covid-19, si è registrata una crescita esponenziale nella remotizzazione del controllo, con un impatto diretto anche sulla sicurezza. L’idea che la gestione in loco sia ormai obsoleta è frutto sia dell’evoluzione tecnologica sia della migrazione sempre più massiccia verso il cloud di applicazioni e servizi. Di conseguenza, le tecniche utilizzate per garantire la sicurezza devono essere aggiornate e un trend sempre più diffuso è quello di una sicurezza sempre più gestita da remoto, soprattutto per il segmento SMB.
Tuttavia, la gestione remota presenta alcune criticità, prima fra tutte la dipendenza dai software di remotizzazione. I service provider devono fare sempre più affidamento su queste soluzioni, non solo per garantire l’accesso remoto necessario agli interventi di sicurezza, ma anche per integrare, per esempio, i sistemi di ticketing e le metodologie di assegnazione delle priorità degli interventi.
Un altro dei pericoli connessi alla gestione remota è l’ampliamento della superficie di attacco. L’accesso remoto consente di controllare applicazioni, sistemi e reti, spesso utilizzando credenziali privilegiate. Questo scenario apre inevitabilmente nuove vulnerabilità dal punto di vista della cybersecurity, che devono essere affrontate con strategie mirate.
“Un altro elemento emerso nella ricerca – osserva Cassinerio – , riguarda la persistenza degli attacchi. Non abbiamo più a che fare con intrusioni rapide e mirate, ma con attacchi prolungati nel tempo, resi possibili proprio dall’adozione su larga scala della gestione remota. Gli aggressori hanno oggi maggiori opportunità di rimanere all’interno delle infrastrutture aziendali, sfruttando le stesse tecnologie che le aziende utilizzano per l’assistenza e la gestione IT.”
In questo contesto, la necessità di nuovi strumenti per individuare tempestivamente le minacce diventa imprescindibile. Soluzioni avanzate come l’XDR si rivelano fondamentali, in quanto permettono di analizzare i segnali di attacco e di attivare risposte automatiche per ridurre il rischio.
Secondo Acronis è importante integrare questi strumenti con le soluzioni di remote management già adottate dai service provider, per poter garantire un livello di protezione adeguato a un panorama di minacce in continua evoluzione.
Strategie di protezione per i service provider
Acronis consiglia ai service provider alcune strategie di difesa in relazione alle tre aree principali del ciclo di security risk management: prevenzione, rilevamento e risposta.
Nell’ambito della prevenzione, su cui Acronis sta collaborando con i propri partner, la componente di security awareness rappresenta un elemento cruciale da integrare immediatamente nei servizi offerti dai provider ai loro clienti.
Altri strumenti essenziali per la prevenzione e la mitigazione del rischio includono l’autenticazione multifattore, la cifratura e la Data Loss Prevention, affiancati da pratiche come la segmentazione della rete e la gestione delle patch. Quest’ultima, tuttavia, risulta ancora spesso separata dai servizi di sicurezza continuativi e non sempre perfettamente integrata nei pacchetti offerti dagli MSP.
Per quanto riguarda il rilevamento, Acronis evidenzia l’importanza di adottare strumenti di intelligence sulle minacce, integrati nelle piattaforme EDR e XDR. Infine, risulta fondamentale predisporre una capacità di risposta basata su un’analisi degli incidenti che sia, innanzitutto, rapida e automatizzata.
Il malware in Italia
In Italia, il malware continua a evolversi. Nel 2024 si è registrato un aumento del 50% delle nuove varianti di malware, con una media di 290mila nuovi campioni rilevati ogni giorno.
Secondo i dati del report di Acronis Italia, Singapore ed Emirati Arabi Uniti risultano tra i paesi con il maggior numero di rilevamenti di malware. Il nostro Paese ha registrato un incremento del 30% degli attacchi rispetto al semestre precedente, con particolare attenzione ai settori bancario e manifatturiero.
Le minacce più comuni rimangono i trojan, che rappresentano il 79% delle minacce bloccate, ma anche e gli infostealer, come Formbook, Radamantus e Agent Tesla, dominano le campagne di attacco; vengono diffusi principalmente tramite email di phishing contenenti fatture false, ordini o documenti legali, con l’obiettivo di ingannare le vittime e ottenere accesso a dati sensibili.
Nel contesto italiano, questi malware vengono sempre più frequentemente impiegati contro utenti e aziende, sfruttando temi ricorrenti come fatture elettroniche, DocuSign e comunicazioni legali. La loro diffusione avviene prevalentemente attraverso archivi compressi in formato ZIP o RAR, seguiti da script e documenti Office o PDF contenenti link malevoli.
Inoltre, recenti analisi hanno evidenziato un aumento dell’uso di tecniche avanzate di offuscamento per eludere i sistemi di rilevamento tradizionali, rendendo sempre più complessa l’identificazione e la mitigazione delle minacce.
