Attacchi hacker in Italia nel 2022. Un report di CERT-AGID

CERT-AGID, ovvero il Computer Emergency Response Team italiano, ha diramato nei primi giorni del 2023 il report definitivo sull’andamento delle minacce cyber nel nostro paese durante tutto il 2022. Il rapporto inizia parlando del numero totale di minacce e di attacchi riscontrati utilizzando la metrica degli IoC, ovvero gli indicatori di compromissione, strumenti capaci di riscontrare un attacco avvenuto oltre che di carpirne le modalità.

Utilizzando questo metodo si nota fin da subito come il numero degli attacchi sia nettamente aumentato rispetto al 2021, si parla infatti di 1763 campagne contro 496, anche se viene spiegato che per il 2022 è stata utilizzata una nuova infrastruttura di monitoraggio che ha aumentato i numeri in modo eccessivo. Tuttavia, tornando al punto di partenza, la tendenza è sicuramente al rialzo e deve preoccupare la media di 5 campagne al giorno. L’obiettivo principale delle campagne veicolate in Italia è come sempre il furto di informazioni di ogni tipo ed in tutto sono stati riscontrati 56 tipi diversi di malware appartenenti ad altrettante famiglie.

Nella figura in basso è possibile vedere le famiglie più rilevanti riscontrate:

Fonte: Cert-AgID

Come si può vedere Emotet torna ad essere la principale minaccia riscontrata seguita da AgentTesla (stabilmente al secondo posto), a distanza, e da FormBook, una new entry rispetto al 2021. Al quarto posto ritroviamo Ursnif che scende di una posizione poi Qakbot, Brata e Lokibot. Nelle ultime quattro posizioni infine troviamo AveMaria, IcedId, Snake e sLoad. Tutti questi malware hanno in comune una certa tendenza al rinnovamento ed al miglioramento delle tecniche d’attacco e solitamente una volta rubate le informazioni necessarie le rivende agli agenti ransomware che provvederanno grazie ad esse al blocco dei sistemi delle vittime.

Tra le minacce più riscontrate entra di diritto anche lo smishing, ovvero il furto di informazioni e credenziali mediante SMS utilizzando messaggi contenenti principalmente falsi avvisi bancari o finanziari in generale. Esistono anche attacchi che mirano all’installazione di malware all’interno dei device, per queste campagne vengono utilizzati invece messaggi di tracking delle spedizioni e la motivazione è la presa di controllo del sistema SMS delle vittime per poi farsi recapitare le chiavi di coloro che utilizzano sistemi di autenticazione multifattore. Tra i malware più usati in questo caso troviamo Brata, già visto tra quelli generalmente più riscontrati nell’arco del 2022 e specificatamente creato per far breccia nei sistemi Android.

Il terzo vettore preso in considerazione per la diffusione delle campagne è la PEC, che però ancora resiste abbastanza bene rispetto agli SMS ed ovviamente alla Posta Elettronica Ordinaria, in vantaggio preponderante. La Posta Certificata rimane comunque un obiettivo per moltissime campagne malware, veicolate principalmente utilizzando sLoad ma sono stati riscontrati attacchi anche con Emotet, IcedId e WinGo, che però sono sempre partiti tramite posta ordinaria.

I temi più utilizzati per creare email fraudolente sono sempre quelli relativi a pagamenti ed ordini insieme ai falsi riferimenti a comunicazioni già intercorse. Anche lo scambio di documenti è una delle esche più popolari per l’ovvia tendenza all’invio di file nel contesto lavorativo. Gli hacker che invece creano campagne più mirate lo fanno utilizzando elementi grafici che rimandano alle PA o agli istituti previdenziali e bancari e fanno anche leva sul senso di urgenza o emergenza, come abbiamo visto più volte anche negli articoli di questo blog.

Fonte: Cert-AgID

L’ultima parte del report parla delle tipologie di file allegati contenenti malware che vengono inviati alle caselle mail delle vittime. In questo caso c’è ancora una grande predominanza dei file compressi .ZIP che al loro interno contengono file solitamente provenienti dalla suite di Office oltre che immagini, file montabili, collegamenti o script. I formati preferiti sono, quindi, i .ZIP ma anche altri tipi di file compresso come i .GZ ed i .RAR.

Tornando alla suite di Microsoft Office, si è notato anche come i programmi più utilizzati siano Word, Excel ed anche OneNote, mediante il quale sono stati veicolati diversi attacchi durante il 2022.

 

Fonte: 1