Microsoft ha pubblicato i risultati del Digital Defense Report 2024, un resoconto delle principali minacce informatiche di quest’anno.
600 milioni di attacchi a Microsoft
Microsoft ha presentato i dati del nuovo Microsoft Digital Defense Report, un’analisi dei trend da luglio 2023 a giugno 2024. I clienti Microsoft affrontano ogni giorno più di 600 milioni di attacchi di criminali informatici e stati nazionali, che vanno dal ransomware al phishing agli attacchi di identità. Ancora una volta, gli attori delle minacce affiliati agli stati nazionali hanno dimostrato che le operazioni informatiche, che siano per spionaggio, distruzione o influenza, svolgono un ruolo di supporto persistente in conflitti geopolitici più ampi. Ad alimentare l’escalation degli attacchi informatici, stiamo assistendo a prove crescenti della collusione di bande di criminali informatici con gruppi di stati nazionali che condividono strumenti e tecniche.
Gli attori affiliati allo Stato fanno sempre più ricorso ai criminali informatici e ai loro strumenti.
Nell’ultimo anno, Microsoft ha osservato che gli attori degli stati nazionali hanno condotto operazioni per ottenere guadagni finanziari, arruolato criminali informatici per raccogliere informazioni, in particolare sull’esercito ucraino, e fatto uso degli stessi infostealer, framework di comando e controllo e altri strumenti preferiti dalla comunità dei criminali informatici. In particolare:
- Gli attori delle minacce russe sembrano aver esternalizzato alcune delle loro operazioni di cyberspionaggio a gruppi criminali, in particolare operazioni che hanno come obiettivo l’Ucraina. A giugno 2024, un presunto gruppo di criminalità informatica ha utilizzato malware di base per compromettere almeno 50 dispositivi militari ucraini.
- Gli attori dello stato nazionale iraniano hanno utilizzato un ransomware in un’operazione di influenza informatica, commercializzando dati rubati di siti di incontri israeliani. Si sono offerti di rimuovere profili individuali specifici dal loro archivio dati a pagamento.
- La Corea del Nord sta entrando nel gioco del ransomware. Un attore nordcoreano appena identificato ha sviluppato una variante personalizzata del ransomware chiamata FakePenny, che ha distribuito alle organizzazioni del settore aerospaziale e della difesa dopo aver esfiltrato dati dalle reti interessate, dimostrando sia motivazioni di raccolta di informazioni che di monetizzazione.
L’attività degli stati nazionali era fortemente concentrata attorno a siti di conflitto militare attivo o di tensione regionale
A parte gli Stati Uniti e il Regno Unito, la maggior parte delle attività di minaccia informatica affiliata allo stato-nazione che abbiamo osservato si è concentrata attorno a Israele, Ucraina, Emirati Arabi Uniti e Taiwan. Inoltre, Iran e Russia hanno utilizzato sia la guerra Russia-Ucraina sia il conflitto Israele-Hamas per diffondere messaggi divisivi e fuorvianti attraverso campagne di propaganda che estendono la loro influenza oltre i confini geografici delle zone di conflitto, dimostrando la natura globalizzata della guerra ibrida.
- Circa il 75% degli obiettivi russi si trovavano in Ucraina o in uno Stato membro della NATO, poiché Mosca cercava di raccogliere informazioni sulle politiche occidentali in materia di guerra.
- Gli sforzi degli attori cinesi responsabili delle minacce rimangono simili a quelli degli ultimi anni in termini di aree geografiche prese di mira (Taiwan in primo piano, così come i paesi del Sud-Est asiatico) e di intensità degli attacchi per località.
- L’Iran ha posto una notevole attenzione su Israele, soprattutto dopo lo scoppio della guerra tra Israele e Hamas. Gli attori iraniani hanno continuato a prendere di mira gli Stati Uniti e i paesi del Golfo, tra cui gli Emirati Arabi Uniti e il Bahrein, in parte a causa della loro normalizzazione dei legami con Israele e della percezione di Teheran che entrambi stiano consentendo gli sforzi bellici di Israele.
Russia, Iran e Cina puntano l’attenzione sulle elezioni americane
Russia, Iran e Cina hanno tutti sfruttato le questioni geopolitiche in corso per alimentare la discordia su questioni interne delicate che hanno preceduto le elezioni negli Stati Uniti, cercando di influenzare il pubblico negli Stati Uniti verso un partito o un candidato rispetto a un altro, o di indebolire la fiducia nelle elezioni come fondamento della democrazia. Come abbiamo riportato, Iran e Russia sono stati i più attivi e ci aspettiamo che questa attività continui ad accelerare nelle prossime due settimane prima delle elezioni negli Stati Uniti.
Inoltre, Microsoft ha osservato un aumento dei domini omoglifici correlati alle elezioni, o link falsificati, che forniscono payload di phishing e malware. Riteniamo che questi domini siano esempi sia di attività di criminalità informatica guidata dal profitto sia di ricognizione da parte di attori di minacce di stati nazionali nel perseguimento di obiettivi politici. Al momento, stiamo monitorando oltre 10.000 omoglifici per rilevare possibili impersonificazioni. Il nostro obiettivo è garantire che Microsoft non ospiti infrastrutture dannose e informare i clienti che potrebbero essere vittime di tali minacce di impersonificazione.
I reati informatici e le frodi motivati finanziariamente restano una minaccia persistente
Mentre gli attacchi agli stati nazionali continuano a essere una preoccupazione, lo sono anche gli attacchi informatici motivati finanziariamente. L’anno scorso Microsoft ha osservato:
- Un aumento di 2,75 volte anno su anno negli attacchi ransomware. È importante notare, tuttavia, che c’è stata una diminuzione di tre volte negli attacchi ransomware che hanno raggiunto la fase di crittografia. Le tecniche di accesso iniziale più diffuse continuano a essere l’ingegneria sociale, in particolare phishing via e-mail, SMS e voice phishing, ma anche la compromissione dell’identità e lo sfruttamento delle vulnerabilità in applicazioni pubbliche o sistemi operativi non patchati.
- Le truffe tecnologiche sono salite alle stelle del 400% dal 2022. L’anno scorso, Microsoft ha osservato un aumento significativo del traffico di truffe tecnologiche con una frequenza giornaliera in aumento da 7.000 nel 2023 a 100.000 nel 2024. Oltre il 70% delle infrastrutture dannose è stato attivo per meno di due ore, il che significa che potrebbero essere scomparse prima ancora di essere rilevate. Questo rapido tasso di turnover sottolinea la necessità di misure di sicurezza informatica più agili ed efficaci.
Gli autori delle minacce stanno sperimentando l’intelligenza artificiale generativa
L’anno scorso, abbiamo iniziato a vedere gli attori delle minacce, sia criminali informatici che stati nazionali, sperimentare con l’intelligenza artificiale. Proprio come l’intelligenza artificiale è sempre più utilizzata per aiutare le persone a essere più efficienti, gli attori delle minacce stanno imparando come possono usare l’efficienza dell’intelligenza artificiale per colpire le vittime. Con le operazioni di influenza, gli attori affiliati alla Cina prediligono le immagini generate dall’intelligenza artificiale, mentre gli attori affiliati alla Russia usano l’intelligenza artificiale focalizzata sull’audio su tutti i media. Finora, non abbiamo osservato che questo contenuto sia efficace nell’influenzare il pubblico.
Ma la storia dell’IA e della sicurezza informatica è anche potenzialmente ottimistica. Sebbene sia ancora ai suoi albori, l’IA ha mostrato i suoi vantaggi per i professionisti della sicurezza informatica agendo come uno strumento per aiutare a rispondere in una frazione del tempo che una persona impiegherebbe per elaborare manualmente una moltitudine di avvisi, file di codice dannoso e analisi di impatto corrispondenti. Continuiamo a innovare la nostra tecnologia per trovare nuovi modi in cui l’IA può avvantaggiare e rafforzare la sicurezza informatica.
La collaborazione resta fondamentale per rafforzare la sicurezza informatica.
Con oltre 600 milioni di attacchi al giorno mirati ai soli clienti Microsoft, è necessario un contrasto per ridurre il numero complessivo di attacchi online. Una deterrenza efficace può essere ottenuta in due modi: negando le intrusioni o imponendo conseguenze per comportamenti dannosi. Microsoft continua a fare la sua parte per ridurre le intrusioni e si è impegnata ad adottare misure per proteggere noi stessi e i nostri clienti attraverso la nostra Secure Future Initiative .
Mentre l’industria deve fare di più per negare gli sforzi degli aggressori tramite una migliore sicurezza informatica, questo deve essere abbinato all’azione del governo per imporre conseguenze che scoraggino ulteriormente gli attacchi informatici più dannosi. Il successo può essere raggiunto solo combinando la difesa con la deterrenza. Negli ultimi anni, è stata data molta attenzione allo sviluppo di norme internazionali di condotta nel cyberspazio. Tuttavia, tali norme finora non hanno avuto conseguenze significative per la loro violazione e gli attacchi degli stati nazionali sono stati imperterriti, aumentando in volume e aggressività. Per cambiare il campo di gioco, ci vorranno coscienziosità e impegno da parte sia del settore pubblico che di quello privato in modo che gli aggressori non abbiano più un vantaggio.
Cosa pensate di questi dati sulla sicurezza? Avete fiducia o temete di essere vulnerabili alle possibili minacce nascoste nel web? Diteci la vostra nei commenti.
Articolo di Windows Blog Italia