Gli stati nazionali stanno intensificando la collaborazione con gruppi di cybercriminalità per raggiungere obiettivi geopolitici e destabilizzare infrastrutture strategiche. Questo fenomeno, che vede la convergenza di interessi politici e criminali, rappresenta una sfida crescente per la sicurezza delle supply chain globali.
È uno dei risultati che emerge dalla ricerca “OpenText 2024 Threat Hunter Perspective“.
Secondo Cybersecurity Ventures, il costo della criminalità informatica raggiungerà i 9,5 trilioni di dollari nel 2024 e dovrebbe aumentare fino a 10,5 trilioni di dollari entro il 2025.
Gli esperti di sicurezza e i CISO devono affrontare non solo la questione del ‘quando’ si verificheranno attacchi, ma anche del ‘come’ e del ‘chi’ si nasconde dietro questi tentativi di violazione. La preparazione alle minacce oggi richiede una conoscenza profonda dei modelli di attacco, delle motivazioni geopolitiche e delle metodologie operative che contraddistinguono questa nuova fase della cyberwarfare.
Per comprendere il panorama attuale delle minacce, i CISO devono conoscere non solo i tipi di minacce, ma anche chi c’è dietro di esse, quando potrebbero verificarsi, perché accadono e come vengono eseguite. Collegare questi elementi aiuta i threat hunter a ottenere una visione più chiara dei rischi che le organizzazioni affrontano, consentendo una preparazione e una risposta più efficaci.
Il team di threath intelligence e di caccia alle minacce di OpenText ha rilevato che gli stati nazionali non stanno rallentando le loro attività e, con l’avvicinarsi di eventi rilevanti come le elezioni presidenziali negli Stati Uniti, ogni organizzazione nella catena di approvvigionamento globale deve essere in stato di massima allerta per possibili cyberattacchi avanzati e molteplici.
Le imprese devono essere pronte ad affrontare attacchi su larga scala, rendendo i segnali degli avversari, l’intelligence sulle minacce e le capacità di difesa più importanti che mai.
I principali risultati
I principali punti salienti del rapporto di quest’anno, che esplora i risultati complessivi dell’intelligence di OpenText e delle attività di caccia alle minacce in prima linea nella cybersecurity, includono il supporto della criminalità organizzata agli attacchi degli stati nazionali, probabilmente attraverso una collaborazione o un coordinamento diretto,attaccando gli stessi bersagli contemporaneamente.
Per esempio, la Russia è stata vista collaborare con gruppi di malware-as-a-service come Killnet, Lokibot, Ponyloader e Amadey, mentre la Cina ha instaurato relazioni simili con gruppi come Storm0558, Red Relay e Volt Typhoon, generalmente per supportare la sua agenda geopolitica nel Mar Cinese Meridionale.
L’attività dei cyberattacchi russi segue solitamente un programma dal lunedì al venerdì, con picchi nelle 48 ore successive a un annuncio avversario.
Gli attacchi cinesi non seguono invece un calendario definito, anche se l’esfiltrazione dei dati avviene tipicamente il venerdì pomeriggio o il sabato, quando è più probabile che passi inosservata, con i dati suddivisi in piccoli blocchi per ridurre ulteriormente la sospettabilità.
Le principali minacce includono Killnet (attacchi DDoS), Lokibot (malware per il furto di informazioni) e Cobalt Strike (strumento di penetration testing utilizzato dai gruppi APT).
Gli attaccanti sono concentrati su eventi specifici, in particolare grandi festività, aiuti militari all’Ucraina, rendendo le prossime elezioni presidenziali statunitensi un periodo di imminente pericolo. Gli stati nazionali prendono di mira anche specifici giorni della settimana per sferrare attacchi informatici.
Tecniche come l’elusione, la distrazione e il mascheramento stanno aiutando gli avversari a bypassare le difese progettate per gli attacchi diretti. Molti attacchi sfruttano fondamentali di sicurezza deboli, con le vittime che aumentano la loro vulnerabilità non adottando contromisure di base.
Nazioni con infrastrutture di difesa informatica più deboli, come la Repubblica Democratica del Congo, l’Argentina, l’Iran, la Nigeria, il Sudan, il Venezuela e lo Zimbabwe, sono state tutte compromesse, ampliando il numero di potenziali fonti per un attacco su larga scala.
Le catene di approvvigionamento globali rappresentano un altro mezzo indiretto per infliggere danni: un attaccante potrebbe colpire le operazioni di un porto o di una rete di trasporti per interrompere una spedizione di aiuti militari, provocando un impatto indiretto ma significativo sul bersaglio principale.