Rapporto Sophos sulle minacce 2024: le PMI nel mirino

La criminalità informatica è una sfida per le organizzazioni di tutte le dimensioni, ma è quella che colpisce più duramente le piccole imprese, spesso sotto gli occhi dell'opinione pubblica. Mentre i cyberattacchi alle aziende e alle agenzie governative costituiscono la maggior parte delle notizie, le piccole imprese sono generalmente più vulnerabili e subiscono proporzionalmente di più le conseguenze dei cyberattacchi. A questa vulnerabilità contribuiscono la mancanza di personale esperto in materia di sicurezza, gli investimenti insufficienti nella sicurezza informatica e i budget complessivamente inferiori per le tecnologie dell'informazione. Le PMI non sono un problema da poco. Secondo la Banca Mondiale, oltre il 90% delle aziende nel mondo sono piccole e medie organizzazioni e rappresentano oltre il 50% dell'occupazione globale.

Keylogger, spyware e stealer nel 50% degli attacchi

Keylogger, spyware e i cosiddetti stealers, ovvero malware per il furto di dati e di accessi, sono utilizzati in quasi la metà degli attacchi alle PMI. I criminali informatici utilizzano poi queste informazioni rubate per ulteriori azioni come l'accesso remoto non autorizzato, il ricatto o l'installazione di ransomware.

Il rapporto di Sophos analizza anche i cosiddetti IAB, o broker di accesso iniziale. Questi criminali si sono specializzati nell'accesso alle reti informatiche. Il rapporto mostra che i criminali informatici utilizzano il dark web per offrire i loro servizi specificamente alle reti delle PMI. Vendono anche l'accesso immediato direttamente alle PMI che hanno già violato.

La criminalità informatica ha un solo obiettivo: i dati.

Christopher Budd, Director Threat Research di Sophos X-Ops, classifica i risultati come segue: "Il valore dei dati come valuta è cresciuto in modo esponenziale tra i criminali informatici e questo è particolarmente vero per le PMI, che tendono a utilizzare un servizio o un'applicazione per funzione per l'intera organizzazione. Un esempio: gli aggressori utilizzano un infostealer su una rete bersaglio per rubare i dati di accesso. Una password per il software di fatturazione dell'intera organizzazione cade nelle loro mani. Potrebbero così accedere ai dati finanziari dell'azienda e trasferire fondi sui propri conti. C'è un motivo per cui il 90% di tutti i cyberattacchi analizzati da Sophos nel 2023 riguardava il furto di dati o di identità, attraverso attacchi ransomware, estorsione di dati, accesso remoto non autorizzato o furto di dati vero e proprio".

Il ransomware rimane la principale minaccia per le PMI, LockBit è il numero 1

Anche se il numero di attacchi ransomware contro le PMI è rimasto invariato, questi rappresentano ancora la maggiore minaccia informatica per le aziende con meno di 500 dipendenti. Secondo il team Sophos Incident Response, che interviene in caso di attacchi acuti, LockBit è il gruppo di ransomware con il maggior potenziale di caos. Akira e BlackCat seguono al secondo e terzo posto. Recentemente si sono verificati anche attacchi da parte di ransomware più vecchi o meno noti, come BitLocker o Crytox.

La crittografia remota aumenta del 62%

Il rapporto mostra anche che i criminali mantengono la loro strategia di cambiare costantemente le tattiche per i loro attacchi ransomware al fine di mantenere il successo. Ciò si manifesta attualmente con l'aumento delle attività di crittografia tramite accesso remoto e con la presa di mira degli MSP (Managed Service Provider) come moltiplicatori della superficie di attacco. Tra il 2022 e il 2023, il numero di attacchi ransomware con crittografia remota è aumentato del 62%. Il team di Sophos Managed Detection and Response (MDR) ha anche risposto a diversi casi nel 2023 in cui le PMI sono state attaccate tramite vulnerabilità nel software di monitoraggio e gestione remota (RMM) del loro MSP.

Ingegneria sociale e comunicazione aziendale: gli aggressori diventano sempre più penetranti

Le e-mail di truffa rivolte specificamente alle aziende, note come business email compromise (BEC), sono state tra gli attacchi più comuni dopo i ransomware nel 2023. Questi e altri attacchi di social engineering comportano un crescente livello di sofisticazione: Invece di inviare semplicemente un'e-mail con un allegato dannoso, i criminali ora si impegnano più strettamente con la loro vittima e inviano un'intera serie di messaggi e-mail o addirittura la chiamano. Nel tentativo di eludere i tradizionali strumenti antispam, gli aggressori stanno sperimentando nuovi formati per i loro contenuti dannosi, come l'incorporazione di immagini con malware o allegati dannosi in formati OneNote o archivio. In un caso, Sophos ha scoperto che i truffatori hanno inviato un documento PDF con una miniatura sfocata e illeggibile di una "fattura". Il pulsante di download conteneva poi un link a un sito web dannoso.

"Il nostro ultimo rapporto dimostra ancora una volta che le minacce per le PMI non mancano e che la complessità di questi attacchi è spesso paragonabile a quella delle grandi organizzazioni", afferma Christopher Budd. "Questo perché, sebbene le somme previste per il riscatto o l'estorsione siano inferiori a quelle di un'organizzazione più grande, i criminali compensano facilmente questa 'mancanza' grazie alla massa degli attacchi e alle precauzioni di sicurezza informatica spesso meno rigorose. Gli aggressori contano sul fatto che le organizzazioni più piccole sono meno protette e non utilizzano strumenti moderni e sofisticati per proteggere i loro utenti e i loro beni".

Fonte: www.sophos.de