Che cos'è un attacco informatico?

Gli attori delle minacce lanciano attacchi informatici per svariati motivi, dai piccoli furti agli atti di guerra. Utilizzano una varietà di tattiche, come attacchi malware, truffe di ingegneria sociale e furto di password, per ottenere l'accesso non autorizzato ai sistemi interessati.

Gli attacchi informatici possono interrompere, danneggiare e persino distruggere le aziende. Il costo medio di una violazione dei dati è di 4,88 milioni di dollari. Questa cifra include i costi per l'individuazione e la risposta alla violazione, i tempi di inattività, la perdita di entrate e il danno alla reputazione di un'azienda e del suo marchio.

Ma alcuni attacchi informatici possono essere notevolmente più costosi di altri. Gli attacchi ransomware hanno richiesto il pagamento di riscatti fino a 40 milioni di dollari. Le truffe basate sul Business Email Compromise (BEC) hanno rubato fino a 47 milioni di dollari alle vittime in un singolo attacco. Gli attacchi informatici che compromettono le informazioni di identificazione personale (PII) dei clienti possono comportare una perdita di fiducia da parte dei clienti, sanzioni normative e persino azioni legali. Secondo una stima, il crimine informatico costerà all'economia mondiale 10,5 migliaia di miliardi di dollari all'anno entro il 2025.

Le motivazioni alla base degli attacchi informatici possono variare, ma ci sono tre categorie principali di attacchi:

1. Criminali
2. Politico
3. Personali

Gli autori degli attacchi con motivazioni criminali cercano di ottenere soldi attraverso il furto di denaro, il furto di dati o interruzioni del business. I criminali informatici possono introdursi in un conto bancario per sottrarre direttamente il denaro o utilizzare truffe di ingegneria sociale per indurre le persone a inviare loro denaro. Gli hacker possono rubare i dati e utilizzarli per commettere furti di identità, venderli sul dark web o per chiedere un riscatto.

L'estorsione è un'altra tattica molto utilizzata. Gli hacker possono utilizzare ransomware, attacchi DDoS o altre tattiche per tenere i dati o i dispositivi in ostaggio fino a quando l'azienda colpita non decide di pagare. Tuttavia, secondo il più recente X-Force Threat Intelligence Index, il 32% degli incidenti informatici ha comportato il furto e la vendita di dati piuttosto che la crittografia a scopo di estorsione.

Gli autori degli attacchi con motivazioni personali, ad esempio dipendenti scontenti, cercano principalmente ritorsioni per qualche offesa percepita. Potrebbero sottrarre denaro, rubare dati riservati o interrompere i sistemi di un'azienda.

Gli autori degli attacchi con motivazioni politiche sono spesso legati alla guerra informatica, al terrorismo informatico o all'"hacktivismo". Nella guerra informatica, gli attori statali spesso prendono di mira le agenzie governative o le infrastrutture critiche dei loro nemici. Ad esempio, dall'inizio della guerra Russia-Ucraina, entrambi i Paesi hanno subito una serie di attacchi informatici contro istituzioni vitali. Gli hacker attivisti, chiamati "hacktivisti", potrebbero non causare grossi danni ai loro bersagli. In genere cercano semplicemente di attirare l'attenzione sulle loro cause, rendendo noti al pubblico i loro attacchi.

Motivazioni meno comuni degli attacchi informatici includono lo spionaggio aziendale, in cui gli hacker sottraggono proprietà intellettuale per ottenere un vantaggio sleale sui concorrenti, e gli hacker vigilanti, che sfruttano le vulnerabilità di un sistema per avvisare gli altri della loro esistenza. Alcuni hacker operano per divertimento, traendo piacere dalla sfida intellettuale.

Gli attacchi informatici possono essere lanciati da organizzazioni criminali, attori statali e privati. Un modo per classificare gli attori delle minacce è classificarli come minacce esterne o come minacce interne.

Le minacce esterne sono utenti che cercano di ottenere l'accesso non autorizzato a reti o dispositivi. Gli attori delle minacce informatiche esterne includono gruppi criminali organizzati, hacker professionisti, attori finanziati dallo Stato, hacker dilettanti e hacktivisti.

Le minacce interne sono utenti che hanno un accesso autorizzato e legittimo alle risorse di un'azienda e abusano dei loro privilegi deliberatamente o accidentalmente. Questa categoria include dipendenti, partner commerciali, clienti, appaltatori e fornitori con accesso al sistema.

Sebbene un utente poco attento possa mettere a rischio la propria azienda, si può parlare di vero e proprio attacco informatico solo se l'utente utilizza intenzionalmente i propri privilegi per svolgere attività dannose. Un dipendente che archivia con noncuranza informazioni sensibili in un'unità non protetta non sta commettendo alcun attacco informatico; invece, un dipendente scontento che crea consapevolmente copie di dati riservati per guadagno personale lo sta facendo.

Gli attori delle minacce in genere irrompono nelle reti di computer perché cercano qualcosa di specifico. Gli obiettivi più comuni includono:

• Soldi
• Dati finanziari delle aziende
• Elenchi dei clienti
• Dati dei clienti, incluse informazioni che permettono l'identificazione personale (PII) o altri dati personali sensibili
• Indirizzi e-mail e credenziali di accesso
• Proprietà intellettuale, come segreti commerciali o progetti di prodotti

In alcuni casi, gli autori degli attacchi non intendono rubare nulla. Piuttosto, desiderano semplicemente interrompere i sistemi informatici o le infrastrutture IT per danneggiare un'azienda, un'agenzia governativa o un altro obiettivo.

In caso di successo, gli attacchi informatici possono danneggiare le aziende causando tempi di inattività, perdite di dati e perdite di denaro. Ad esempio:

• Gli hacker possono utilizzare malware o attacchi denial-of-service per causare arresti anomali dei sistemi o dei server. Questo periodo di inattività può portare a gravi interruzioni del servizio e perdite finanziarie. Secondo il report Cost of a Data Breach , le violazioni in media comportano una perdita di affari di 2,8 milioni di dollari.
  
  
• Gli attacchi SQL injection consentono agli hacker di alterare, eliminare o sottrarre dati da un sistema.
  
  
• Gli attacchi di phishing consentono agli hacker di indurre le persone a inviare denaro o informazioni sensibili.
  
  
• Gli attacchi ransomware possono disabilitare un sistema finché l'azienda colpita non paga un riscatto all'aggressore. Secondo un report, il pagamento medio del riscatto è di 812.360 dollari.
  

Oltre a danneggiare direttamente il bersaglio, gli attacchi informatici possono comportare una serie di costi e conseguenze secondarie legate al rilevamento, alla risposta e alla correzione delle violazioni. Tuttavia, le organizzazioni che hanno utilizzato l'AI e l'automazione hanno registrato un costo minore relativo alla violazione dei dati, con un risparmio medio di 2,22 milioni di dollari rispetto alle organizzazioni che non hanno implementato queste tecnologie.

Gli attacchi informatici possono anche avere ripercussioni sulle vittime al di là dell'obiettivo immediato. Nel 2021, la banda autrice di attacchi ransomware DarkSide attaccò la Colonial Pipeline, il più grande sistema di oleodotti degli Stati Uniti. Gli aggressori sono entrati nella rete aziendale utilizzando una password compromessa, e hanno poi chiuso l'oleodotto che trasporta il 45% del gas, del diesel e del carburante per aerei fornito alla costa orientale degli Stati Uniti, causando una diffusa carenza di carburante.

I criminali informatici hanno chiesto un riscatto di quasi 5 milioni di dollari in criptovaluta bitcoin, che Colonial Pipeline ha pagato. Tuttavia, con l'aiuto del governo statunitense, l'azienda è riuscita a recuperare 2,3 milioni di dollari persi con il riscatto.

I criminali informatici utilizzano diversi strumenti e tecniche sofisticate per avviare attacchi informatici contro sistemi IT aziendali, computer personali e altri obiettivi. Alcuni dei tipi più comuni di attacchi informatici includono:

Il malware è un software intenzionalmente dannoso che può rendere inutilizzabili i sistemi infetti. Il malware può distruggere dati, sottrarre informazioni o persino cancellare file critici per l'esecuzione del sistema operativo. Il malware è presente in molte forme:

• I Trojan horse si mascherano da programmi utili o si nascondono all'interno di un software legittimo per indurre gli utenti a installarli. Un Trojan di accesso remoto (RAT) crea una backdoor segreta sul dispositivo della vittima, mentre un Trojan dropper installa un ulteriore malware una volta che ha acquisito un punto d'appoggio.
  
  
• Il ransomware è un malware sofisticato che utilizza una crittografia complessa per tenere in ostaggio dati o sistemi. I criminali informatici richiedono quindi il pagamento in cambio della liberazione del sistema e del ripristino della funzionalità. Secondo l'X-Force Threat Intelligence Index di IBM, il ransomware è il secondo tipo di attacco informatico più comune, coinvolto nel 17% degli attacchi.
  
  
• Lo scareware utilizza messaggi falsi per spaventare le vittime, inducendole a scaricare malware o trasferire informazioni sensibili a un truffatore.
  
  
• Lo spyware è un tipo di malware che raccoglie segretamente informazioni sensibili, come nomi utente, password e numeri di carta di credito. Queste informazioni vengono poi inviate all'hacker.
  
  
• I rootkit sono pacchetti di malware che consentono agli hacker di ottenere l'accesso come amministratore al sistema operativo di un computer o ad altre risorse.
  
  
• I worm sono codici dannosi autoreplicanti che possono diffondersi automaticamente tra app e dispositivi.

Gli attacchi di ingegneria sociale manipolano le persone per indurle a compiere azioni improprie, ad esempio condividere informazioni che non dovrebbero condividere, scaricare software che non dovrebbero scaricare o inviare denaro ai criminali.

Il phishing è uno degli attacchi di ingegneria sociale più pervasivi. Secondo il report Cost of a Data Breach, si tratta della seconda causa più comune di violazione. Le truffe di phishing più elementari utilizzano e-mail o messaggi di testo falsi per appropriarsi delle credenziali degli utenti, estrapolare dati riservati o diffondere malware. I messaggi di phishing sono spesso progettati per sembrare provenienti da una fonte legittima. Di solito inducono la vittima a fare clic su un collegamento ipertestuale che la indirizza a un sito web dannoso o ad aprire un allegato e-mail che si rivela essere un malware.

I criminali informatici hanno sviluppato altri metodi di phishing più sofisticati. Lo spear phishing è un attacco altamente mirato che mira a manipolare un individuo specifico, spesso utilizzando i dettagli dei profili pubblici dei social media della vittima per rendere lo stratagemma più convincente. Il whale phishing è un tipo di spear phishing che prende di mira specificamente i funzionari aziendali di alto livello. In una truffa BEC (Business E-mail Compromise), i criminali informatici si fingono dirigenti, venditori o altri soci in affari per indurre le vittime a trasferire denaro o a condividere dati riservati.

Gli attacchi denial-of-service (DoS) e distributed denial-of-service (DDoS) ingolfano le risorse di un sistema con un traffico fraudolento. Questo traffico sovraccarica il sistema, impedendo risposte a richieste legittime e riducendo le prestazioni del sistema. Un attacco denial-of-service può essere fine a se stesso o la preparazione per un altro attacco.

La differenza tra attacchi DoS e attacchi DDoS è semplicemente che gli attacchi DoS utilizzano un'unica fonte per generare traffico fraudolento, mentre gli attacchi DDoS utilizzano ne utilizzano molteplici. Gli attacchi DDoS vengono spesso eseguiti con una botnet, una rete di dispositivi connessi a Internet e infettati da malware sotto il controllo di un hacker. Le botnet possono includere laptop, smartphone e dispositivi IoT (Internet of Things). Le vittime spesso non sanno quando una botnet ha violato i loro dispositivi.

Le compromissioni dell'account includono qualsiasi attacco in cui un hacker prende il controllo dell'account di un utente legittimo per attività dannose. I criminali informatici possono violare l'account di un utente in diversi modi: ad esempio possono sottrarre credenziali tramite attacchi di phishing o acquistare database di password rubate dal dark web; possono utilizzare strumenti per attaccare le password, come Hashcat e John the Ripper, per decifrare le password oppure mettere in atto attacchi brute force, in cui eseguono script automatizzati o bot per generare e testare potenziali password finché non trovano quella giusta.

In un attacco man-in-the-middle (MiTM), chiamato anche “attacco di intercettazione”, un hacker intercetta segretamente le comunicazioni tra due persone o tra un utente e un server. Gli attacchi MitM vengono comunemente eseguiti tramite reti Wi-Fi pubbliche non protette, dove è relativamente facile per gli attori delle minacce spiare il traffico.

Gli hacker possono leggere le e-mail di un utente o addirittura alterarle segretamente prima che raggiungano il destinatario. In un attacco di sottrazione di sessione, l'hacker interrompe la connessione tra un utente e un server che ospita asset importanti, come un database aziendale riservato. L'hacker scambia il proprio indirizzo IP con quello dell'utente, facendo credere al server che si tratti di un utente legittimo connesso a una sessione legittima. In questo modo, l'hacker è completamente libero di sottrarre dati o provocare danni.

Gli attacchi alla supply chain sono attacchi informatici in cui gli hacker violano un'azienda prendendo di mira i suoi fornitori di software, di materiali e di altri servizi. Poiché i fornitori sono spesso in qualche modo connessi alle reti dei loro clienti, gli hacker possono utilizzare la rete del fornitore come vettore di attacco per accedere a più obiettivi contemporaneamente.

Ad esempio, nel 2020, il fornitore di software SolarWinds ha subito una violazione e attori malintenzionati hanno distribuito malware ai propri clienti con il pretesto di un aggiornamento software. Il malware ha consentito l'accesso ai dati sensibili di varie agenzie di governo statunitensi che utilizzano i servizi di SolarWinds, tra cui il Tesoro, la Giustizia e i Dipartimenti di Stato.

Gli attacchi XSS (script cross-site) introducono un codice dannoso in una pagina o applicazione web legittima. Quando un utente visita il sito o l'applicazione, il codice viene eseguito automaticamente nel browser web dell'utente, rubando di solito informazioni sensibili o reindirizzando l'utente a un sito web dannoso. Gli autori degli attacchi utilizzano spesso JavaScript per gli attacchi XSS.

Gli attacchi SQL injection utilizzano l'SQL (Structured Query Language) per inviare comandi malevoli al database di backend di un sito web o di un'applicazione. Gli hacker inseriscono i comandi attraverso campi rivolti all'utente, come barre di ricerca e finestre di accesso. I comandi vengono quindi passati al database, richiedendo la restituzione di dati privati come numeri di carte di credito o dati dei clienti.

Il tunneling DNS nasconde il traffico dannoso all'interno di pacchetti DNS, consentendo di bypassare i firewall e altre misure di sicurezza. I criminali informatici utilizzano il tunneling DNS per creare canali di comunicazione segreti, che possono utilizzare per estrarre i dati o stabilire connessioni tra un malware e un server di comando e controllo (C&C).

Gli exploit zero-day sfruttano le vulnerabilità zero-day, ovvero delle vulnerabilità che sono ignote agli addetti alla sicurezza oppure che sono state identificate ma non ancora risolte. Queste vulnerabilità possono esistere per giorni, mesi o anni prima che gli sviluppatori ne vengano a conoscenza, rendendoli i bersagli principali degli hacker.

Gli attacchi senza file utilizzano le vulnerabilità nei programmi software legittimi per immettere un codice nocivo direttamente nella memoria di un computer. I criminali informatici spesso utilizzano PowerShell, uno strumento di scripting integrato nei sistemi operativi Microsoft Windows, per eseguire script malevoli che modificano le configurazioni o rubano le password.

Gli attacchi di spoofing DNS, chiamati anche "avvelenamento DNS", modificano segretamente i record DNS per sostituire il vero indirizzo IP di un sito web con uno falso. Quando le vittime tentano di visitare il sito reale, vengono inconsapevolmente indirizzate a una copia dannosa del sito stesso che sottrae i loro dati o diffonde malware.

Le organizzazioni possono ridurre gli attacchi informatici implementando sistemi e strategie di cybersecurity. La cybersecurity è la pratica di proteggere i sistemi critici e le informazioni sensibili dagli attacchi digitali utilizzando una combinazione di tecnologia, persone e processi.

Molte organizzazioni implementano una strategia di gestione delle minacce per identificare e proteggere gli asset e le risorse più importanti. La gestione delle minacce può includere diverse politiche e soluzioni di sicurezza, come quelle di seguito.

• Le piattaforme e le politiche di gestione delle identità e degli accessi (IAM) , tra cui l'accesso con minori privilegi, l'autenticazione a più fattori e politiche solide per le password, possono aiutare a garantire che solo le persone autorizzate abbiano accesso alle risorse pertinenti. Le aziende potrebbero anche richiedere ai dipendenti da remoto di utilizzare reti private virtuali (VPN) quando accedono a risorse sensibili tramite Wi-Fi non protetto.

• Una piattaforma completa per la sicurezza dei dati e strumenti di prevenzione della perdita di dati (DLP) possono crittografare i dati riservati, monitorarne l'accesso e l'utilizzo e inviare avvisi quando vengono rilevate attività sospette. Le organizzazioni possono inoltre eseguire data backup regolari per ridurre al minimo i danni in caso di violazione.
  
  
• I firewall possono aiutare a impedire innanzitutto agli autori delle minacce di accedere alla rete. I firewall possono anche bloccare il traffico dannoso che esce dalla rete, ad esempio malware che tentano di comunicare con un server di comando e controllo.
• La formazione sulla sicurezza può aiutare gli utenti a identificare ed evitare alcuni dei vettori di attacco informatico più comuni, come il phishing e altri attacchi di ingegneria sociale.
  
  
• Le politiche di gestione delle vulnerabilità, tra cui i programmi di gestione delle patch e i test di penetrazione regolari, possono aiutare a individuare e risolvere le vulnerabilità prima che gli hacker possano sfruttarle.
  
  
• Gli strumenti di gestione della superficie di attacco (ASM) possono identificare, catalogare e correggere gli asset potenzialmente vulnerabili prima che gli aggressori informatici li trovino.
  
  
• Gli strumenti di unified endpoint management (UEM) possono applicare politiche e controlli di sicurezza a tutti gli endpoint della rete aziendale, tra cui laptop, desktop e dispositivi mobili.

È impossibile prevenire tutti i tentativi di attacco informatico, pertanto le organizzazioni possono anche adoperare il monitoraggio continuo della sicurezza e processi di rilevamento precoce per identificare e segnalare gli attacchi informatici in corso. Ecco alcuni esempi:

• I sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM) centralizzano e tengono traccia degli avvisi di vari strumenti interni di cybersecurity, tra cui sistemi di rilevamento delle intrusioni (IDS), sistemi di rilevamento e risposta degli endpoint (EDR) e altre soluzioni di sicurezza.
  
  
• Le piattaforme di threat intelligence arricchiscono gli avvisi di sicurezza per aiutare i team addetti alla sicurezza a conoscere i tipi di minacce alla cybersecurity che potrebbero dover affrontare.
  
  
• I software antivirus possono scansionare regolarmente i sistemi informatici alla ricerca di programmi dannosi ed eliminare automaticamente i malware identificati.
  
  
• I processi proattivi di individuazione delle minacce possono rintracciare le minacce informatiche segretamente in agguato nella rete, come le minacce persistenti avanzate (Advanced Persistent Threat, APT).

Le organizzazioni possono anche adottare misure per garantire una risposta adeguata agli attacchi informatici in corso e ad altri eventi di sicurezza informatica. Ecco alcuni esempi:

• I piani di risposta agli incidenti possono aiutare a contenere ed eliminare vari tipi di attacchi informatici, ripristinare i sistemi interessati e analizzare le cause principali per prevenire attacchi futuri. È dimostrato che i piani di risposta agli incidenti riducono i costi complessivi degli attacchi informatici. Secondo il report Cost of a Data Breach, le organizzazioni con team e piani formali di risposta agli incidenti riducono i costi delle violazioni con una media del 58%.
  
  
• Le soluzioni di orchestrazione della sicurezza, automazione e risposta (SOAR) possono consentire ai team addetti alla sicurezza di coordinare diversi strumenti di sicurezza in playbook parzialmente o completamente automatizzati per rispondere agli attacchi informatici in tempo reale.
  
  
• Le soluzioni di rilevazione e risposta estese (XDR) integrano strumenti e operazioni di sicurezza in tutti i livelli di sicurezza: utenti, endpoint, e-mail, applicazioni, reti, carichi di lavoro cloud e dati. Le soluzioni XDR possono aiutare ad automatizzare complessi processi di prevenzione, rilevamento, indagine e risposta agli attacchi informatici, inclusa l'individuazione proattiva alle minacce.