Le 10 peggiori forme d’attacco del 2023, da un capo all’altro del mondo.

Come già anticipato nella seconda parte di questo contributo, il 2023 si è distinto dai precedenti per l’elevato grado di raffinatezza e l’alto livello di personalizzazione degli attacchi. I criminali informatici hanno infatti saputo condurre su larga scala e con enorme successo le proprie aggressioni, mostrando a tutto il mondo una rinnovata capacità di adattamento e le abilità necessarie per sfruttare al meglio nuove vulnerabilità.

Di seguito repilogherò i dieci tipi di attacco più severi che hanno segnato il 2023, fornendo una breve panoramica su ciascuno di essi e sulle relative implicazioni.

1. Attacchi “SEO-Boosted“.

Uno dei primi attacchi informatici che è stato possibile osservare nel 2023 è stata lo sfruttamento delle tecniche di ottimizzazione per i motori di ricerca (si tratta delle tecniche di Search Engine Optimization, il cui acronimo è SEO) da parte dei cybercriminali. Proprio come le aziende legittime utilizzano tali sistemi per migliorare sui motori di ricerca il posizionamento dei propri siti web, così anche gli aggressori hanno intravisto nei medesimi strumenti il metodo ideale per accrescere la visibilità delle proprie pagine web dannose e sferrare quindi in maniera più efficace e più ampia i propri attacchi. Di fatto, anche gli attaccanti hanno iniziato a utilizzare parole chiave e altre tecniche SEO per garantire ai propri siti i primi posti, facendoli comparire in cima ai risultati delle ricerche effettuate dagli utenti.

Emblematico è in tal senso l’attacco GootLoader, in cui i criminali hanno tratto vantaggio dall’ottimizzazione dei motori di ricerca, manipolando i primi risultati di ricerca, per tutte quelle espressioni contenenti ad esempio, quali parole chiave, “accordi legali” o “contratti”. Gli utenti che erano in cerca di un modello di documento legale da scaricare sono stati in questo modo indotti a cliccare e a visitare quei siti.

Tale azione criminosa testimonia come gli attaccanti si adeguino alle misure di sicurezza che gli utenti sono ormai in grado di attivare e sappiano avvantaggiarsi di metodi più affinati per far cadere in trappola le vittime, andando così oltre le comuni e note tecniche di phishing.

2. Malvertising.

Un altro tipo di attacco del tutto rappresentativo del 2023 è stato il malvertising, con cui i cybercriminali hanno saputo combinare le tecniche di ottimizzazione per i motori di ricerca con campagne pubblicitarie malevole. In questo caso gli aggressori hanno utilizzato annunci pubblicitari malevoli per far crescere artatamente il posizionamento dei propri siti web sui motori di ricerca, per determinate keywords. Il malvertising è stato così diffuso da essere stato recentemente incluso fra le nuove tecniche di attacco nella lista MITRE ATT&CK.

Un esempio concreto di malvertising può essere fatto con riferimento alla campagna di annunci pubblicitari malevoli che promuoveva un software grafico 3D di nome Blender. I cybercriminali in questo caso hanno creato siti web del tutto simili all’originale, ma contenenti malware e li hanno posizionati in alto, nei risultati di ricerca, per le parole chiave correlate al software in questione.

Ciò ha indirizzato gli utenti verso i siti degli attaccanti, anziché sul sito legittimo di Blender.

3. Attacchi agli sviluppatori di software.

Un trend preoccupante cui si è assistito nel 2023 è stato l’incremento degli attacchi informatici mirati agli sviluppatori di software e applicazioni. I criminali informatici stanno prendendo sempre di più di mira gli sviluppatori in quanto “punto d’ ingresso” ideale per compromettere i sistemi delle organizzazioni economiche.

Gli sviluppatori di software sono un bersaglio alquanto allettante, poiché generalemente godono di privilegi elevati nei sistemi IT e in particolre di quelli aziendali. Inoltre, gli sviluppatori si servono di sistemi suscettibili di essere sfruttati per danneggiare l’intera supply chain.

Non bisogna infatti dimenticare che i developer operano per lo più su macchine meno protette rispetto a quelle in uso agli utenti comuni, proprio perché in virtù del lavoro che sono chiamati a svolgere hanno bisogno di sperimentare e sviluppare software quotidianamente.

La protezione dei sistemi degli sviluppatori rappresenta dunque una sfida unica, in quanto la maggior parte dei software di protezione degli endpoint è progettata per le macchine aziendali standard e non tiene conto delle esigenze degli sviluppatori. Le organizzazioni dovrebbero quindi riflettere sull’adozione di misure specifiche per garantire la sicurezza dei sistemi degli sviluppatori e proteggere meglio la catena di approvigionamento del software.

4. Utilizzo offensivo dell’intelligenza artificiale.

Con l’avvento dei modelli linguistici di grandi dimensioni (i Large Language Model, il cui acronimo è LLM), come ChatGPT, ad esempio, gli attaccanti hanno dato il via all’utilizzo dell’intelligenza artificiale per sviluppare exploit, scovare vulnerabilità zero-day ed eseguire attacchi mirati.

Steven Sims della SANS ha dimostrato come ChatGPT potesse essere sfruttata anche per scrivere codici malware di tipo ransom e dunque preconfezionare codice ransomware. Sebbene ChatGPT sia stata sviluppata con alcune protezioni in grado d’inibire lo sviluppo di testi algoritmici di tal natura, Sims è riuscito ugualmente a convincerla, suddividendo le istruzioni in parti discrete.

Dal punto di vista difensivo quindi, l’utilizzo offensivo dell’intelligenza rappresenta una sfida assai temibile con cui le organizzazioni debbono iniziare fare i conti, immaginando i possibili scenari per tutelarsi in maniera adeguata e nuova.

5. Intelligenza artificiale e ingegneria sociale.

Oltre all’impiego tecnico dell’IA a fini offensivi, gli attaccanti stanno intensificando l’utilizzo dell’inteligenza artificiale per attività d’ingegneria sociale e rendere perciò le proprie azioni d’ impersonificazione estremamente convincenti. I messaggi fraudolenti creati tramite l’I.A. sono risultati così credibili da spingere gli utenti a condividere informazioni sensibili o indurli a compiere azioni indesiderate, come alcuni esperimenti condotti tramite GPT hanno permesso di appurare.

Le organizzazioni economiche devono diventare consapevoli della severità dei rischi che l’intelligenza artificiale sottintende anche da questo punto di vista e dovrebbero affrettarsi ad attuare tutte le misure necessarie alla migliore formazione possibile per i propri dipendenti contro queste sofisticate e nuove forme di social engineering, aggiornando i contenuti dei propri corsi aziendali.

6. Attacco alla rete di ospedali degli Stati Uniti.

Una delle maggiori sfide affrontate nel 2023 è stata sicuramente quella relativa all’attacco ransomware contro una rete di ospedali americani gestiti da Prospect Medical Holdings, con sede in California e avente centri anche in Texas, Connecticut, Rhode Island e Pennsylvania. L’attacco ha provocato interruzioni nella rete ospedaliera, costringendo alcuni nosocomi a sospendere le operazioni e a dirottare i pazienti verso altre strutture.

L’aggressione ha ulteriormente dimostrato come gli incidenti informatici possano causare gravi conseguenze alla sicurezza e alla vita stessa delle persone, nonché incidere profondamente sulla fornitura di servizi essenziali.

7. Attacco al sistema elettorale del Regno Unito.

Il 2023 è stato testimone anche dell’ attacco di lunga durata contro il sistema elettorale del Regno Unito. Nonostante l’incidente fosse stato scoperto nell’ottobre 2022, solo nel 2023 sono emerse le dimensioni e le implicazioni della violazione: si è stimato infatti che i dati personali di oltre 40 milioni di elettori siano stati potenzialmente compromessi.

L’attacco informatico in question risulta particolarmente serio perché mette in luce i seguenti fattori di rischio:

  1. Vulnerabilità delle democrazie: L’attacco evidenzia l’a’estrema vulnerabilità delle democrazie all’interferenza online nelle elezioni. L’abbiamo già visto, soprattutto in prevalenza con riferimento agli USA, per via della sua storia, ma non solo.
  2. Mancata divulgazione tempestiva: l’attacco è rimasto non rilevato per un anno e non è stato divulgato al pubblico per altri 10 mesi. Ciò ha sollevato preoccupazioni sulla trasparenza e l’integrità del sistema elettorale.
  3. Mancanza di conoscenza sull’accesso ai dati: non è stato possibile determinare quali informazioni siano state effettivamente accessibili dagli aggressori. Non è noto se gli attaccanti fossero legati a uno Stato ostile o a un’organizzazione criminale informatica. Gli esperti hanno finito per propendere verso la Russia quale principale sospettato, in termini di attribuzione.
  4. Danno reputazionale: la violazione ha minato la fiducia delle persone nel processo democratico e ha causato danni reputazionali alla Commissione Elettorale del Regno Unito.
  5. Importanza della difesa dei processi democratici: L’attacco sottolinea l’importanza di proteggere adeguatamente i sistemi elettorali, in quanto infrastruttute critiche e di agire tempestivamente per contrastare gli attacchi informatici.

8. Attacco alla Polizia dell’Irlanda del Nord.

L’attacco informatico alla polizia dell’Irlanda del Nord ha messo a repentaglio la sicurezza di migliaia di individui, in particolare degli agenti di polizia che operano in un’area ad altissimo rischio come l’Irlanda del Nord.

La pubblicazione accidentale dei dati personali di tutti gli agenti di polizia online per alcune ore è stata descritta come “la peggiore violazione nella storia della polizia irlandese”.

Questo incidente dimostra la vulnerabilità delle istituzioni ai cyber-attacchi, anche in contesti e realtà in cui la sicurezza è al primo posto.

9. Violazione dei dati dei clienti di Alberta Dental Service Corporation.

La violazione dei dati dei clienti dell’Alberta Dental Service Corporation è sicuramente uno degli incidenti più severi del 2023. L’attacco ha avuto un impatto su circa 1 milione e mezzo di clienti, ovvero su circa un terzo dell’intera popolazione dell’Alberta.

I dati personali, inclusi i dettagli delle carte di pagamento, sono stati esfiltrati seguito di questo attacco ransomware che ha crittografato alcuni dei sistemi dell’azienda. Le minacce conseguenti alla compromissione delle informazioni personali di milioni di individui vanno dalle truffe e frodi al furto di identità fino agli attacchi di phishing per gli utenti colpiti.

L’attacco all’Alberta Dental Service Corporation dimostra che tutte le organizzazioni siano vulnerabili ed evidenzia l’importanza di implementare misure di sicurezza informatica robuste e di essere in grado di rispondere prontamente ad aggressioni informatiche di siffatta natura.

10. Esposizione dei dati degli utenti di Discord.io.

Infine, un’altra violazione degna di nota e che si presta a caratterizzare il 2023 è quella avvenuta ai danni di Discord.io, la piattaforma che offre URL d’ invito personalizzati per i singoli server Discord.

L’attacco ha portato al furto delle informazioni personali di circa 760.000 utenti, messe in vendita sul Dark Web all’interno di un forum chiamato “Breach Forums”. L’autore del data breach, noto come “Akhirah”, è riuscito a ottenere nomi utente, ID Discord, e-mail e password con hashtag.

Sebbene sembrerebbe che i dati finanziari non siano stati oggetto di compromissione, permane ad oggi il rischio di ulteriori esfiltrazioni di dati, soprattutto per coloro che utilizzano la stessa password altrove. Discord.io ha deciso di interrompere temporaneamente le attività in risposta alla violazione. Va notato, che a differenza di altri casi, nonostante la gravità e la serietà dell’attacco, l’azienda è stata trasparente in merito all’incidente occorso e ha provveduto a notificare ai propri utenti quali informazioni erano state compromesse.

Questo incidente permette di sottolineare ancora una volta la necessità di password forti e la messa in campo di misure proattive per garantire la sicurezza in Rete, poiché nessuna realtà ne è immune.

Conclusioni.

Le implicazioni degli attacchi informatici verificatisi nel 2023 e che ho poc’anzi ricapitolato sono di grande impatto e assumono massimo rilievo in un’ottica più generale. Esse esigono pertanto risposte tempestive e mirate. Gli attacchi SEO-boosted dimostrano come i criminali vadano adattandosi alla maggior consapevolezza dell’utente medio, in questo caso sfruttando le tecniche di ottimizzazione dei motori di ricerca per migliorare il posizionamento dei loro siti web dannosi e innovando nuove metodologie ad oggi efficaci.

Ugualmente, il malvertising evidenzia come le campagne pubblicitarie siano utilizzate per aumentare la visibilità di siti malevoli, minacciano oltre misura la sicurezza degli utenti online, anche dei meno sprovveduti.

Gli attacchi agli sviluppatori di software pongono in luce la vulnerabilità di coloro che lavorano per professione su macchine meno sicure mentre hanno privilegi elevati, rappresentando in questo modo il punto di accesso perfetto per gli aggressori.

L’utilizzo malevolo dell’intelligenza artificiale, in particolare dei grandi modelli di linguaggio, permette agli attaccanti di sviluppare exploit e scoprire vulnerabilità zero-day in maniera assai efficiente e rapida.

Infine, gli attacchi alla polizia dell’Irlanda del Nord, al sistema elettorale del Regno Unito, alla rete di ospedali americana e all’Alberta Dental Service Corporation dimostrano l’ampiezza della portata e l’impatto devastante che possono avere sulla sicurezza fisica, in particolare quelli basati su ransomware.

Ne deriva che risulta quanto mai essenziale indirizzarsi verso misure di sicurezza avanzate con un un quid novum e investire in soluzioni diversificate per far fronte a un quadro di minacce sempre più sofisticato e in continua e rapidissima evoluzione.

Leave a Reply