Nell’articolo Cyber Crime 1 – Organizzazione dei Threat Actors (Attori del Crimine) abbiamo parlato dell’aspetto organizzativo del crimine informatico, che ad oggi si struttura spesso in vere e proprie aziende, con tanto di servizio di Customer Care!
In questo secondo articolo dedicato all’argomento, analizziamo invece COME agiscono i Threat Actors del Cyber Crime e quali sono le principali CONSEGUENZE dovute agli attacchi informatici.
Fasi organizzative di un attacco
1) Business Plan (criminale)
Non deve stupire che gli hacker contemporanei agiscano come, e spesso meglio, di un’azienda impegnata in un business legale. Laddove il flusso di denaro si mostra più importante e intercettabile, il crimine organizzato non tarda mai a rendersi protagonista, portando risorse, struttura e visione a breve, medio e lungo termine.
Alla base di un crimine informatico organizzato troviamo la definizione chiara di un obiettivo, ad ESEMPIO furto di Dati (Data Breach) o hackeraggio di una rete IT aziendale. A cui segue la definizione delle risorse e delle competenze necessarie all’attuazione del piano.
Il Cyber Crime si distingue per un altissimo livello di “freddezza” di calcolo e di gestione, facilitati dalla distanza fisica dalla vittima, la quale, per citare il compianto giurista Stefano Rodotà, è spesso ridotta a un’entità disincarnata nel proprio corpo elettronico. Ciò fa sí che gli attacchi informatici a scopo di lucro siano quasi sempre incentrati sull’ottimizzazione del rapporto effort-guadagno: spendere la minor quantità di risorse possibile, a fronte del maggior riscontro ottenibile.
2) Reclutamento
Nella seconda fase vengono raccolte, se non già presenti internamente, le competenze necessarie: Forum nel dark web e Chat dedicate sono il canale prediletto dai criminali informatici. In questi ambienti non normati dalla legge la reputazione è tutto, per dimostrare di essere capaci ed affidabili. Per questa ragione vediamo spesso rivendicazioni di attacchi informatici. Se ci pensiamo è assurdo che un criminale si faccia pubblicità, ma in questo ambiente, farsi conoscere è fondamentale per continuare le attività criminali.
3) Acquisizione della strumentazione
Per attuare un attacco possono essere necessari strumenti tecnici. Questi strumenti possono essere auto prodotti, laddove non sia un problema o sia più vantaggioso reperire le competenze necessarie. Ma possono essere anche acquistati in quelli che sono veri e propri market place online.
4) Attuazione
A questo punto l’attacco viene sferrato, con tempi e modalità proprie dell’obiettivo e della complessità (ad esempio della rete IT da compromettere se più o meno protetta). Però, ricorda che un attacco informatico può essere attuato nell’arco di mesi anche dopo che la rete è già stata compromessa. Questo avviene perché gli hacker possono muoversi all’interno della rete (il cosiddetto Lateral Movement) alla ricerca di ulteriori vulnerabilità e accessi con privilegi elevati alle risorse aziendali.
“Non c’è nulla di eticamente riprovevole nelle conoscenze che hanno gli hacker, malgrado le loro potenziali applicazioni.” JON ERICKSON – Crittologo ed esperto di sicurezza
Armi, metodi e conseguenze di un attacco
Le armi dei Threat Actors
Possiamo schematizzare le sue due armi principali in:
-
Malware
L’arma tecnologica, ovvero il vastissimo panorama dei programmi malevoli. Malware è infatti la contrazione fra MALicious (malevolo) e softWARE (programma). I più noti sono indubbiamente i Ransomware, software programmati per criptare i Dati e portare alla richiesta di riscatti per il loro decrittaggio. Ma abbiamo anche keylogger, spyware ed altri ancora.
Eppure, non è più solo la tecnologia ad armare la mano dei Threat Actors:
-
Social Engineering
L’arma psicologica, e cioè le svariate tecniche di manipolazione e intimidazione basate sulla conoscenza dei comportamenti umani. Una conoscenza che coinvolge in primis i campi delle neuroscienze e della psicologia comportamentale.
Metodologie d’attacco
L’uso che si fa di queste armi è affidato ad alcune metodologiechiave:
- Phishing: la pesca illegale informatica, che veicola frodi di vario genere (Scam) o contenuti malevoli (i Malware appunto)
- Man in the Middle: l’inserimento di una terza figura (criminale) in una comunicazione tra due soggetti. In questa metodologia l’attaccante è occulto e perfettamente confondibile con il mittente o il destinatario del tuo messaggio. Ad esempio collegandoti a una rete WiFi compromessa, l’attore di un attacco Man in the Middle può intercettare tutti i tuoi messaggi e rispondere assumendo l’identità del destinatario, che sia una persona fisica oppure un’azienda o un ente.
- Sfruttamento di Vulnerabilità: in alcuni casi l’attacco viene portato direttamente sulla rete dopo aver riscontrato, tramite un Assessment criminale della rete aziedale, la presenza di vulnerabilità non note o non risolte.
Conseguenze di un attacco
Le conseguenze di un colpo d’arma Cyberpossono essere, proprio come nel corrispettivo fisico, di varia entità. Possono causare un danno economico e/o reputazionale da cui l’azienda si riprende, ma possono anche causarne la chiusura.
Citando il Rapporto CLUSIT 2024 sulle analisi dell’impatto degli attacchi informatici dell’anno precedente: “Nel 2023, gli attacchi classificati come critici o gravi rappresentano ormai oltre l’81% del totale (erano il 47% nel 2019)”
Principali conseguenze del Cyber Crime:
- Data Breach: furto di Dati Sensibili personali e/o aziendali. Questi Dati vengono spesso utilizzati per attuare attacchi a persone e reti, ma vengono anche usati come merce rivendibile nel Dark Web.
- Furto di Denaro: tramite operazioni finanziarie online perpetrate dall’attaccante stesso o fatte eseguire direttamente dalla vittima attraverso azioni di Scam (truffa informatica attraverso la simulazione di un’identità fasulla)
- Richieste di Riscatto: tramite Ransomware, il software che cripta i Dati, o tramite manipolazioni o intimidazioni indotte dall’arma psicologica del Social Engineering.
- Danno reputazionale:le aziende colpite da attacchi informatici rischiano di compromettere i propri rapporti nella catena commerciale (Supply Chain), a causa della perdita di operatività e/o di credibilità nei confronti di partner e clienti.
- Sanzioni amministrative: le Normative sulla Privacy (come GDPR europeo e nLPD svizzero) e le Linee Guida in campo commerciale (come la nuova Direttiva NIS2) obbligano le aziende ad adottare misure di Cyber Security per la protezione dei Dati e della Rete IT. In caso di attacco, che lo ricordiamo va per legge sempre comunicato alle autorità competenti, l’eventuale rilevazione di diffetto rispetto alle misure ed alle procedure indicate dalla legge, porta l’azienda incontro a un ulteriore danno dovuto a sanzioni, anche ingenti.
Come difendersi?
Due suggerimenti di base per un’azienda che comprende il bisogno di proteggersi e di aggiornarsi rispetto al rischio derivante dal Cyber Crime:
- Svolgere una valutazione di rischio (che comprende anche Vulnerability Assessment e Pentest) che, oltre ad essere un passaggio chiave della Direttiva NIS2 e di altre Linee Guida, permette di valutare eventuali investimenti in termini di risorse e servizi di sicurezza, laddove necessari ad aumentare il livello di sicurezza aziendale di fronte al Cyber Crime ed alle conseguenze sopra elencate.
- Formare il personale, con un programma continuo di Cyber Security Awareness. Anche in questo caso, oltre che a migliorare di molto (la maggior parte degli attacchi ha una causa dettata da errori umani) la postura di sicurezza, permette di adeguarsi alle Normativesu Privacy e Cyber Security per le aziende.
