Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Intelligence Report
Italia – 1Q2023
Relazione finanziaria semestrale al 30 giugno 2016
Sommario
Introduzione 5
Executive Summary 6
Attacchi, incidenti e violazioni privacy 7
Motivazione degli attaccanti 11
Distribuzione geografica 12
Distribuzione vittime per Industria 13
Finance 14
Software/Hardware 15
Industria 16
Pubblica Amministrazione 17
Tipo di danno 18
Tecniche di attacco 20
Nome e tipo di malware 22
Sicurezza dei dispositivi IoT 1Q2023 27
Stato della sicurezza dei dispositivi IoT 1Q2023 35
Stato della sicurezza dei settori economici italiani 1Q2023 40
Stato delle vulnerabilità sul territorio nazionale 1Q2023 43
Malware 1Q2023 47
Dark Power 47
FakeCalls 47
HinataBot 47
Laplas Clipper 48
Modiloader 48
NAPLISTENER 49
Nexus 49
SYS01 49
Autori 50
Sorgenti di Informazioni 56
Figura 38 - Unsecurity IoT Index nel 2Q2022, 3Q2022, 4Q2022 e 1Q2023 .............................................................................................. 35
Figura 39 - Unsecurity IoT Index per Area Geografica 2Q2022, 3Q2022, 4Q2022 e 1Q2023 .................................................................... 36
Figura 40 - Unsecurity IoT Index per dispositivo 2Q2022, 3Q2022, 4Q2022 e 1Q2023 ............................................................................ 37
Figura 41 - IoT Vulnerability Entropy Index 2020, 2021, 2022 e 2023 ...................................................................................................... 38
Figura 42 - Rappresentazione grafica dell'Investment Index media per ogni settore economico analizzato ............................................ 41
Figura 43 - Investment Index per Area Geografica 2Q2022, 3Q2022, 4Q2022 e 1Q2023 ......................................................................... 42
Figura 44 - Tipologia Vittima 1Q2023 .................................................................................................................................................... 44
Figura 45 - Tipologia vittima 4Q2022 e 1Q2023 ..................................................................................................................................... 44
Figura 46 - Tipologia danno 1Q2023 ...................................................................................................................................................... 45
Figura 47 - Tipologia danno 4Q2022 e 1Q2023 ...................................................................................................................................... 46
Figura 48 - Severity vulnerabilità 1Q2023 ............................................................................................................................................... 46
Introduzione
La CyberSecurity si distingue da molte altre scienze in quanto i reali competitor non sono coloro che
forniscono soluzioni migliori, ma gli attaccanti che ogni giorno sviluppano tecniche e metodologie per
compromettere i servizi utilizzati da coloro che si difendono per averne un beneficio. Exprivia crede nel
valore della condivisione e mette a disposizione i dati rilevati su attacchi, incidenti e violazioni privacy dal suo
Osservatorio a beneficio di chi lavora nel mondo della CyberSecurity.
L’Osservatorio colleziona informazioni pubbliche e non, anche se abbiamo deciso di condividere e creare
statistiche solo utilizzando informazioni pubbliche. Questa decisione si basa sulla volontà di non
compromettere in alcun modo la confidenzialità delle informazioni consegnateci dai nostri clienti e per avere
un insieme di dati statisticamente validi e il più possibile solidi. Le statistiche vengono aggiornate
modificando il numero di sorgenti. Nuove sorgenti vengono inserite solo e soltanto se i dati acquisti sono
rilevanti dal punto di vista statistico e integrabili.
A ogni record inserito nel rapporto corrisponde una precisa informazione sulla sorgente da cui questo record
è stato preso.
Al fine di ottenere e condividere dati statisticamente rilevanti, si è attuato un restringimento del perimetro
all’Italia. I valori della ricerca hanno però valenza a livello globale in quanto indicatori di tendenze
consolidate.
In caso di scostamenti da cosa è stato osservato a livello globale, questo scostamento verrà discusso e
analizzato ulteriormente nel rapporto.
I record registrati relativamente ad attacchi, incidenti e violazioni privacy sono consolidati al 31/03/2023.
Eventuali dati la cui evidenza è successiva a questa data possono non essere oggetto dell’analisi in
questione.
Executive Summary
Nel primo trimestre del 2023 (1Q2023) si continua a registrare una diminuzione degli attacchi, fenomeno
iniziato un anno fa (1Q2022). Meno lineare è invece il numero di incidenti rilevati che comunque sembrano in
generale diminuzione. Per avere un dato inferiore dobbiamo andare a ritroso fino al 3Q2021. Restano invece
pressoché costanti le violazioni della privacy. Anche la forbice tra attacco e difesa sembra riaprirsi dopo un
4Q2022 in cui addirittura avevamo registrato un numero di incidenti superiore rispetto agli attacchi. Una
forbice tra attacco e difesa così ampia non la si vedeva da tantissimo tempo. Uno scenario pertanto che
sembrerebbe positivo, una naturale conseguenza degli investimenti fatti nel 3Q2022 in tema di cybersecurity
su tutto il territorio italiano. I risultati positivi non devono però far credere che si è fatto tutto e neanche
abbastanza. La sicurezza è un viaggio che non consente soste, richiede metodo e attenzione continua. Da
questo punto di vista notiamo una diminuzione dell’indice di investimento, questo implica un peggioramento
del rapporto sulla sicurezza dei servizi esposti in rete negli ultimi sei mesi. Non investire in sicurezza oggi,
vuol dire aumentare la superfice di un attacco con conseguenze prevedibili. Se la sicurezza dei servizi
sembra in leggera flessione, invece resta pressoché costante la sicurezza dei dispositivi IoT su tutto il
territorio italiano. Fanno eccezione i dispositivi medici la cui sicurezza sembra in decisa flessione.
Figura 1 - Tematiche riscontrate di attacchi, incidenti e violazioni privacy nel 1Q2023 in Italia
La ricerca degli eventi del 1Q2023 evidenza un andamento in costante crescita di attacchi, incidenti e
violazioni privacy, registrando il picco nel mese di marzo 2023.
Marzo è infatti il mese peggiore in termini di casi di sicurezza registrati, ben 137. Questo aumento è da
associare ad un’evoluzione della sofisticatezza degli attacchi, degli incidenti e delle violazioni privacy, infatti,
attraverso l’utilizzo di tecniche sempre più complesse, continua ad essere sempre più difficile identificare in
maniera efficace i cybercriminali.
Figura 2 - Numero di attacchi, incidenti e violazioni privacy suddivisi in mesi in Italia nel 1Q2023
Dal grafico sottostante si può osservare di come il numero di attacchi, incidenti e violazioni privacy registrati
nel corso dei quarti 2021-2022 abbia subito un andamento variabile, con un picco evidente nel 1Q2022.
Ponendo l'attenzione verso il 1Q2023, in particolare, si può affermare che, rispetto al 4Q2022, le evidenze
raccolte presentano un calo di circa il 44%, passando da un numero totale di casi di 547 (4Q2022) ad un
numero pari a 308 (1Q2023).
Figura 3 - Numero di attacchi, incidenti e violazioni privacy nel 3Q2021, 4Q2021, 1Q2022, 2Q2022, 3Q2022, 4Q2022 e
1Q2023 in Italia
Nel corso del 1Q2023 sono stati registrati precisamente 192 attacchi, 104 incidenti di sicurezza e 12
violazioni privacy.
Rispetto al 1Q2022 per attacchi, incidenti e violazioni privacy si evidenzia un calo (-53% attacchi, -72%
incidenti di sicurezza e -37% per le violazione privacy).
Questa battuta d’arresto non deve fare pensare ad una inversione del trend in uno scenario che rimane
sempre insidioso e aggressivo.
Analizzando i dati raccolti nel 1Q2023 e confrontandoli con il trimestre precedente, il trend di attacchi,
incidenti e violazioni privacy sembra essere ritornato all’andamento osservato alla fine del 2021 superando il
picco riscontrato nei primi due trimestri del 2022. Inoltre, è stata rilevato un calo degli attacchi già
riscontrabile nell’ultimo quarto del 2022.
Nello specifico, i dati degli incidenti registrano una percentuale del -67% rispetto al 4Q2022 e -49% rispetto
al 3Q2022. Quanto alle violazione privacy si osserva un calo del 61% rispetto al 4Q2022.
Figura 5 - Numero di attacchi, incidenti e violazioni privacy nel 3Q2021, 4Q2021, 1Q2022, 2Q2022,
3Q2022, 4Q2022 e 1Q2023 in Italia
Prendendo in analisi il triennio 2021 – 2023, e confrontando il 1Q2023 con l’equivalente trimestre dei due
anni precedenti, si può notare che:
▪ 1Q2023 rispetto al 1Q2021 registra un -38% degli attacchi, -29% delle violazioni della
privacy ma un aumento del 373% degli incidenti di sicurezza.
▪ 1Q2023 rispetto al 1Q2022 registra una diminuzione considerevole degli attacchi con un
valore -53%, un -72% relativo agli incidenti di sicurezza ed un -37% delle violazioni della
privacy.
Nel grafico sotto riportato, ottenuto dai dati registrati e relativi al 1Q del triennio 2021 - 2023, possiamo
notare un picco degli attacchi nel 1Q2021, un picco degli attacchi e degli incidenti nel 1Q2022, mentre
riscontriamo una diminuzione relativi ad attacchi ed incidenti nel 1Q2023 se confrontato con gli equivalenti
quarter dei due anni precedenti.
Figura 6 - Numero di attacchi, incidenti e violazioni privacy nel 1Q2021, 1Q2022 e 1Q2023 in Italia
Figura 7 - Conteggio motivazione attacchi, incidenti e violazioni privacy per tipologia nel 1Q2023 in Italia
Come si evince dal grafico sottostante, il Cybercrime detiene il primato tra le motivazioni degli attaccanti, il
cui trend ha raggiunto il picco nel primo trimestre del 2022. Nello specifico, rispetto al 4Q2022, nel primo
trimestre del 2023 si evidenzia una diminuzione del 47%. A partire dal 2022, a seguito dei nuovi conflitti
bellici dei quali la Russia si è fatta protagonista, si è aggiunto alla lista delle motivazioni il Cyber warfare e
hacktivism. Nel 1Q2023 si evidenzia un aumento considerevole di hacktivism pari al 135% rispetto al
4Q2022.
Figura 8 - Conteggio motivazione attacchi, incidenti e violazioni privacy nel 3Q2021, 4Q2021, 1Q2022,
2Q2022, 3Q2022, 4Q2022 e 1Q2023 in Italia
Distribuzione geografica
I casi di sicurezza registrati nel 1Q2023 mostrano una omogeneità su tutta l’Italia, con una leggera
preponderanza nelle regioni del centro-nord. Poco distaccato il sud Italia che registra un numero
leggermente inferiore.
Nella zona settentrionale sono stati rilevati 293 eventi, nel centro 281 ed infine nella zona meridionale 276.
La distribuzione in tutta la nazione risulta piuttosto uniforme ma è evidente come nel Nord Italia se ne
verifichino in quantità maggiore, nello specifico circa il 6% in più rispetto al Sud e il 4% in più del Centro
Italia.
Figura 9 - Distribuzione geografica attacchi, incidenti e violazioni privacy nel 1Q2023 in Italia
Il settore Pubblica Amministrazione è il secondo settore più colpito per numero di vittime (89), in crescita
considerando il 4Q2022 (59%).
Sono 31 gli attacchi registrati per il settore Finance nel corso del 1Q2023, seguito dal settore Industria (22) e
dal settore Retail (14).
In particolare, il settore Finance, a discapito delle precedenti rilevazioni, è stato interessato da un numero
decisamente inferiore di attacchi relativamente al 4Q2022 (-78%).
Escludendo i settori precedentemente citati, per i restanti evidenziati si riscontra un numero che per ognuno
di essi risulta basso e livellato. Inoltre, per tutti questi altri settori il numero di attacchi non ha incrementi
significativi rispetto al passato.
Figura 10 - Tipologia vittime di attacchi, incidenti e violazioni privacy nel 1Q2023 in Italia
Finance
L’andamento degli attacchi registrati nel settore finanziario nel 1Q2023 presenta dei picchi nel primo mese
del 2023.In dettaglio, sono stati registrati nel mese di gennario (17), nel mese di febbraio (10) e nel mese di
marzo (4). I target particolarmente colpiti dal cybercrime tendono ad essere istituti bancari, istituiti
assicurativi e pagamenti digitali.
Figura 11 - Attacchi, incidenti e violazione privacy del settore Finance nel 1Q2023 in Italia
Software/Hardware
Il numero di attacchi informatici contro le aziende di sviluppo software sembra essere stato concentrato nei
mesi di febbraio e marzo considerando il primo trimestre dell'anno. Nel mese di gennaio sono stati registrati
4 tentativi di attacco, mentre a febbraio il numero è aumentato a 47 per poi avere a marzo 48 casi. Ciò
potrebbe essere dovuto alla crescente pressione degli attaccanti sul mercato globale ed alla non sempre
istantanea risposta di chi crea e gestisce i software. È importante che le aziende di sviluppo software, più di
altre, lavorino attentamente su un piano orientato alla sicurezza informatica per evitare di compromettere le
informazioni sensibili dei propri clienti.
Figura 12 - Attacchi, incidenti e violazioni privacy del settore Software/Hardware nel 1Q2023 in Italia
Industria
Il settore dell’industria risulta essere il quarto settore maggiormente colpito nel primo trimestre del 2023 con
22 casi di sicurezza informatica. Rispetto all’ultimo quarto del 2022 è stata registrata una importante
diminuzione delle attività da parte dei cybercriminali, infatti, mentre nel 4Q2022 sono stati registrati ben 79
casi, nel 1Q2023 si osserva un forte calo del numero di attacchi, incidenti e violazioni privacy pari al 72%
rispetto ai mesi di ottobre-novembre-dicembre del 2022.
Nel 2023 registriamo un picco del numero dei fenomeni di sicurezza informatica nel mese di gennaio con 11
attacchi, incidenti e violazioni privacy. Nei mesi successivi vi è un trend in forte calo del numero di casi di
sicurezza informatica, a febbraio se ne registrano 6 mentre a marzo 5, con una riduzione del 54% a fine
trimestre rispetto ai fenomeni di sicurezza del mese di gennaio.
Questa tendenza, seppur positiva, non deve far abbassare la guardia di chi lavora in questo settore perché
le conseguenze legate ad ogni singolo evento possono avere impatti devastanti sul nostro territorio, basti
pensare a quanto possa essere critico il blocco delle catene di approvvigionamento o dell’industria
manufatturiera.
Figura 13 - Attacchi, incidenti e violazioni privacy del settore industria nel 1Q2023 in Italia
Pubblica Amministrazione
I numeri del primo quarto del 2023, per il settore della Pubblica Amministrazione (PA), mostrano un totale di
89 casi di sicurezza, segnando un calo rispetto allo stesso periodo relativo allo scorso anno, che ne contava
109 (-18%), e un incremento importante rispetto al 4Q2022 (59%).
Nel dettaglio sono stati registrati 7 casi a gennaio, 17 casi a febbraio, per poi avere un picco a marzo con 65
casi.
Il trend, quindi, si mostra abbastanza in crescita rispetto al trimestre precedente. Resta da aspettare il
prossimo quarto per capire se questa tendenza sarà confermata o meno.
Figura 14 - Attacchi, incidenti e violazioni privacy del settore PA nel 1Q2023 in Italia
Tipo di danno
Le tipologie di attacco perpetrate da criminali informatici nel corso del 1Q2023 proseguono il filone dei mesi
precedenti. La principale tipologia di danno causato da attacchi informatici, incidenti e violazioni privacy nel
corso del 1Q2023 è senza dubbio il furto dati che caratterizza il 65% circa della totalità delle evidenze
acquisite. Si registra infatti, rispetto al 4Q2022, nuovamente al primo posto il furto di dati, anche se con un
valore in discesa pari del 53% circa sugli attacchi totali. Il furto dati consiste nell'archiviazione o il
trasferimento illegale di informazioni personali, finanziarie o proprietarie. Ciò può includere password, codici
software, algoritmi e processi. Inoltre, può avere gravi conseguenze per le persone coinvolte e le
organizzazioni interessate. Ex aequo al secondo posto ove spiccano service interruption che costituiscono il
15%, i quali non permettono la reperibilità e disponibilità dei servizi, furto di denaro (13%) e al terzo posto
privacy (4%). Infine, di minor rilevanza si osservano pochi casi di reputation (2%).
Figura 15 - Tipologia danno di attacchi, incidenti e violazioni privacy nel 1Q2023 in Italia
I dati relativi al 1Q2023 confermano il primato del furto dati, relativamente a tutte le altre categorie di danni
cagionabili da un attacco informatico, come accaduto nei quarti degli anni precedenti. Nonostante ciò, per il
furto dati, si riscontra una riduzione complessiva di circa il 53% rispetto al 4Q2022.
Tale tipologia di danno, che consiste nella sottrazione non autorizzata di informazioni più o meno sensibili,
da sistemi informatici di privati ed organizzazioni, può causare danni finanziari e reputazionali significativi, ed
è per sue stesse caratteristiche considerabile “capofila” della categorizzazione.
Per prevenire l'esfiltrazione dei dati, è importante adottare misure di sicurezza come l'implementazione di
politiche di accesso ai dati basate sui ruoli, l'uso di crittografia dei dati, la formazione del personale sulla
sicurezza informatica e l'adozione di soluzioni di sicurezza avanzate come i sistemi di rilevamento delle
intrusioni.
Come già specificato, le altre categorie seguono il trend mostrato dal furto dati: ad esempio, i fenomeni di
sicurezza che hanno causato perdite in termini di denaro, hanno subito un picco nel 1Q2022 e un
decremento del 73% nel 1Q2023, sempre ponendolo in confronto con il 1Q2022. Per i casi di privacy nel
1Q2023 vi è un decremento del 77% rispetto al 1Q2022.
Figura 16 - Tipologia danno di attacchi, incidenti e violazioni privacy nel 3Q2021, 4Q2021, 1Q2022, 2Q2022, 3Q2022,
4Q2022 e 1Q2023 in Italia
Tecniche di attacco
Principalmente, gli attacchi informatici si verificano poiché organizzazioni, rappresentanti per conto di stati o
semplicemente individui del settore privato hanno come obiettivo un determinato target da cui trarne un
qualche tipo di vantaggio, spesso dal punto di vista economico. Ad esempio, sottraendo i dati finanziari di
un’azienda, dati personali sensibili, ricavando l’accesso all’infrastruttura, estorcendo denaro, interrompendo i
servizi critici e molto altro.
Tutto questo è possibile usufruendo di diverse tecniche di attacco, che variano a seconda del fine ultimo
dell’attaccante. Infatti, nel grafico sottostante è possibile osservare la distribuzione dei casi di sicurezza
inerenti alle tecniche di attacco, relativi ai primi tre mesi del 2023, in Italia.
Il 1Q2023 è caratterizzato da un totale di 308 casi di sicurezza, classificati per diverse tipologie di attacco. Al
primo posto, si ritrovano gli attacchi legati al Phishing/Social Engineering che costituiscono il 47% del totale,
con 145 casi di sicurezza.
A seguire, i casi relativi all’esecuzione di Malware rappresentano il 34% del totale, con 104 fenomeni, ed
infine per gli attacchi che sfruttano delle vulnerabilità note (Known Vulnerabilities) sono stati registrati 35
evidenze (circa l’11% del totale).
In numero poco significativo, invece, restano gli attacchi DDoS, Unknown, Brute Froce, Account Craking e
Vishing, cui numero di eventi sommati di ognuno compone circa l’8% del totale, a prova del fatto che
probabilmente è aumentata la consapevolezza degli utenti verso l’utilizzo delle corrette best practices di
sicurezza per mitigare tali attacchi.
Figura 17 - Tecniche di attacco relative ad attacchi, incidenti e violazioni privacy nel 1Q2023 in Italia
Durante il 1Q2023, in confronto al primo quarto dell’anno precedente, si rileva una generica riduzione del
numero di attacchi registrati dall’Osservatorio CyberSecurity di Exprivia.
Gli attacchi veicolati tramite Malware, rispetto allo stesso periodo dello scorso anno, sono calati da 372 casi
a 104 (-72%), mentre si registrano 145 casi di attacchi riguardanti Phishing/Social Engineering (in calo da
389 casi del 1Q2022).
Nonostante abbiano un ordine di grandezza decisamente più limitato rispetto alle tecniche di attacco come
Malware e Phishing/Social Engineering, gli attacchi DDoS rilevati sono aumentati, superando il numero di
casi della stessa tipologia registrati nel primo quarto de 2022.
Rimangono a singola cifra gli attacchi di tipo Brute Force e quelli commessi tramite mezzi sconosciuti
(“Unknown”).
Figura 18 - Tecniche di attacco relative ad attacchi, incidenti e violazioni privacy nel 3Q2021, 4Q2021, 1Q2022, 2Q2022,
3Q2022, 4Q2022 e 1Q2023 in Italia
Figura 19 - Tipologie di malware relative ad attacchi e incidenti registrate nel 1Q2023 in Italia
A seguito di una dettagliata analisi, è possibile notare, eseguendo una comparazione, il costante
decremento delle tipologie di malware utilizzate tra 1Q2022 e 1Q2023.
In particolare, si osserva una diminuzione per i Trojan, botnet e Banking Trojan fra il 4Q2022 e il 1Q2023.
Tuttavia, tra i principali malware protagonisti dei primi tre mesi del 2023 si ritrovano:
• Qbot, un banking trojan comparso per la prima volta nel 2008, progettato per sottrarre credenziali
bancarie e sequenze di tasti di un utente finale. Viene distribuito mediante e-mail di Spam, e fa uso
di diverse tecniche anti-VM, anti-debug e anti-sandbox per ostacolare l’analisi ed eludere il
rilevamento. Successivamente, si riscontra
• Formbook, un infostealer cui principale vesso è il sistema Windows e fu rilevato per la prima volta
nel 2016. Formbook raccoglie le credenziali da vari browser, screenshot, monitora, registra le
sequenze di tasti, scarica ed esegue file in base agli ordini impartiti dal suo C&C.
• Emotet, un Trojan avanzato, autopropagante e modulare. Il suo utilizzo dominante è come banking
trojan, ma di recente è stato impiegato come distributore di altri malware o campagne dannose.
Utilizza diverse tecniche per mantenere la persistenza ed eludere il rilevamento.
È doveroso implementare un’adeguata security awareness nelle istituzioni al fine di rendere consapevoli gli
utenti, sia del tipo di attacco di cui potrebbero essere vittime, sia delle loro eventuali conseguenze.
Figura 20 - Tipologie di malware relative attacchi e incidenti registrate nel 3Q2021, 4Q2021, 1Q2022, 2Q2022, 3Q2022,
4Q2022 e 1Q2023 in Italia
Ransomware
L'andamento degli attacchi ransomware in Italia sembra essere in linea con quello di altri paesi. Come si
evince dal grafico, il numero di attacchi ransomware è aumentato ogni mese nel primo trimestre dell'anno,
con 4 attacchi a gennaio, 8 a febbraio e 11 a marzo. Questa tendenza potrebbe essere relativa alla
crescente dipendenza dalle tecnologie informatiche e la mancata formazione su un corretto utilizzo di tali
dispositivi.
Una possibile spiegazione di questi numeri preoccupanti è l'aumento della quantità di dati sensibili che le
organizzazioni gestiscono, il che le rende bersagli appetibili per i criminali informatici. Inoltre, gli attaccanti
stanno diventando sempre più sofisticati nella loro capacità di eludere le misure di sicurezza informatica e
questo aumenta il rischio di attacchi riusciti.
Trojan
Dall’analisi svolta emerge la tendenza dei casi di sicurezza in cui si è usufruito di mezzi di attacco che
comprendono un trojan.
Nel 1Q2023, in Italia, si registrano complessivamente 25 casi di malware di tipo trojan, il più basso valore
registrato rispetto al 1Q2022 con 124 casi (-80%) e al 1Q2021 con 52 casi (-52%). Dal grafico si evince un
picco nel mese di gennaio caratterizzato da 16 casi, seguito da un andamento decrescente, da febbraio (6) e
marzo (3).
Nonostante il trend del 1Q2023 dimostri un calo verso l’utilizzo di malware di tipo trojan, non è un dato da
sottovalutare. L’incessante sviluppo tecnologico e l’implementazione di tecniche di attacco più performanti
permette ai cybercriminali di poter causare danni ad alto impatto con i trojan.
Banking Trojan
Una delle caratteristiche fondamentali dei trojan bancari è la loro specializzazione nel riconoscere e ricavare
informazioni legate al settore finanziario.
Il 1Q2023 è caratterizzato da un totale di 14 casi che coinvolgono i malware di tipo banking trojan, circa il
68% in meno rispetto al 1Q2021 (44) e l’82% in meno considerando il 1Q2022 (78).
Il grafico mette in evidenza dei picchi per i mesi di gennaio e febbraio (6 casi) e un decremento relativo al
mese di marzo con soli 2 casi.
Sebbene il numero di casi riguardanti i banking trojan ricopra solo il 16% della totalità di casi di sicurezza
registrati per tipologia di malware (88) e la tendenza si dimostra in calo rispetto agli anni precedenti, è
doveroso ricordare che attualmente ogni operazione è digitalizzata in rete, dunque non si è mai immuni da
questa tipologia di attacchi. Si pensi che nella maggioranza dei casi questi malware vengono scaricati e
installati direttamente dagli utenti: motivo per il quale il target dei trojan bancari non è specifico, bensì
variegato.
Figura 24 - Situazione italiana dei dispositivi IPv4 3Q2020, IPv4, 4Q2020, IPv4 1Q2021, 2Q2021, 3Q2021,4Q2021 e
1Q2022, 2Q2022, 3Q2022, 4Q2022 e 1Q2023
• smart car;
• smart home;
• industrial IoT;
• smart health;
• smart metering;
• smart building.
In questa rubrica è presente una distinzione tra dispositivi IT e dispositivi Operational Technology (OT). Nella
figura 25, è mostrato il numero dei dispositivi specifici IoT sottoelencati, rilevati nel 1Q2023. Attualmente,
sono stati individuati 7.989.689 indirizzi IPv4 di cui 105.677 riferiti a:
• telecamere;
• stampanti;
• firewall;
• router;
• VoIP;
• Dispositivi medicali.
Oltre ai dispositivi IoT sono stati individuati 6.370 dispositivi OT. Nel seguente grafico si mostra il numero di
dispositivi IT e OT individuati, facenti parte dei 7.989.689.
Si ricorda che l’esposizione delle informazioni fornite da questi dispositivi potrebbero essere cruciali per la
sicurezza del dispositivo stesso e in modo indiretto, per tutta l’infrastruttura IT che li ospita.
L’analisi è focalizzata sulle tecnologie ICS (Industrial Control System) che includono sistema di controllo per
la supervisione e acquisizione dati (SCADA), sistemi di controllo distribuiti (DCS), sistemi di automazione
industriale e controllo (IACS), controllori logici programmabili (PLC), controllori di automazione
programmabili (PAC), unità terminali remote (RTU), server di controllo, dispositivi elettronici intelligenti (IED)
e sensori.
L’analisi è focalizzata anche sui PLC (Programmable Logic Controller), ovvero computer specializzati nella
gestione dei processi industriali. Nel 1Q2023 sono stati rilevati 970 dispositivi, in aumento rispetto agli 821
rilevati nel 4Q2022.
Tra i vari PLC analizzati rientrano quei dispositivi riconducibili ai sistemi ICS e che comunicano con
protocollo TCP utilizzando la porta 102 (comunicazione con note vulnerabilità).
Questo è un dato che continua ad essere allarmante, poiché tali dispositivi risultano essere poco protetti: per
molti di essi vengono mostrate informazioni come “riferimenti hardware” e “versione firmware”
semplicemente interrogandoli. Esse sono informazioni molto utili nella prima fase di un attacco, ovvero
quella della ricognizione, consentendo di ricercare vulnerabilità note o specifici exploit facilmente applicabili.
Con riferimento al grafico sottostante, si nota un incremento dei sistemi industriali rispetto al 4Q2022 di circa
il 14% del numero di dispositivi connessi riconducibili alla categoria OT (insieme dei sistemi utilizzati
tipicamente in ambito industriale per il monitoraggio e/o il controllo automatizzato degli impianti).
Figura 28 - Sistemi industriali 3Q2020, 4Q2020, 1Q2021, 2Q2021, 3Q2021, 4Q2021, 1Q2022, 2Q2022, 3Q2022,
4Q2022 e 1Q2023
La distribuzione dei circa otto milioni di dispositivi IoT rilevati nel nostro Paese mostra una relazione piuttosto
stretta con i livelli di industrializzazione attribuibili alle differenti regioni. La Lombardia si conferma la regione
con il più elevato numero di dispositivi IoT connessi, 24.394 i dispositivi individuati, seguita da Lazio
(12.252), Campania (9.838) e Veneto (9.253). In fondo a questa particolare classifica la Valle D’Aosta con
88 dispositivi. Come si può notare, rispetto al 4Q2022, il numero totale di dispositivi esposti è notevolmente
diminuito. Si è, infatti, passati da 107.355 a 99.307 (un decremento pari al 7%). Questo risultato deve essere
accolto positivamente poiché si riflette in un aumento della difficolta da parte di un attaccante nel riuscire ad
accedere ai dispositivi esposti.
Sono stati analizzati anche i dispositivi che utilizzano protocolli privi di autenticazione. In Italia ne sono stati
rilevati 4.907 (un incremento di circa il 5% rispetto ai 4.656 rilevati nel 4Q2022) come si evince in Figura 30:
È opportuno far osservare che attraverso i dispositivi privi di protocolli di autenticazione è possibile accedere
alla rete aziendale e ciò potrebbe essere utilizzata come backdoor indesiderata nella propria rete o
comportare una perdita di dati sensibili, che esporrebbe l’azienda al pagamento di sanzioni previste dal
GDPR, oltre che provocare importanti danni di immagine.
Figura 31 - Distribuzione protocolli senza autenticazione in Italia per area geografica 3Q2020, 4Q2020, 1Q2021,
2Q2021, 3Q2021, 4Q2021, 1Q2022, 2Q2022, 3Q2022, 4Q2022 e 1Q2023
Quanto ai grafici relativi alla distribuzione dei dispositivi IoT, si nota che tutti i numeri sono in decremento.
Dai dati analizzati, infatti, risulta un decremento di 12.837 firewall e 4.687 router ed un incremento di 9.164
telecamere, 119 dispositivi medicali, 189 stampanti e 4 VoIP per un totale di 8.048 dispositivi in meno.
Secondo l’Osservatorio CyberSecurity di Exprivia, questo decremento dei dispositivi esposti rispetto al
4Q2022, è un bene in quanto si riduce la superfice di attacco. Per quanto riguarda la distribuzione delle
telecamere individuate, il primato resta al nord Italia.
Nel 1Q2023 sono riportate le analisi effettuate sui sistemi VoIP, iniziate nell’ultimo trimestre del 2021. È
possibile osservare un lievissimo incremento del numero dei dispositivi rispetto al 4Q2022, rilevando
attualmente 338 dispositivi rispetto ai precedenti 334. Si nota, inoltre, come la presenza di questi dispositivi è
particolarmente significativa al centro Italia rispetto al nord e sud Italia, nonostante le oscillazioni osservate
nei trimestri analizzati.
Figura 32 - Distribuzione dispositivi VoIP in Italia per area geografica 4Q2021, 1Q2022, 2Q2022, 3Q2022, 4Q2022 e
1Q2023
La distribuzione delle telecamere mantiene sempre il primato nel nord Italia con un incremento rispetto al
4Q2022.
Figura 33 - Distribuzione telecamere in Italia per area geografica 3Q2020, 4Q2020, 1Q2021, 2Q2021, 3Q2021, 4Q2021
e 1Q2022, 2Q2022, 3Q2022, 4Q2022 e 1Q2023
La distribuzione delle stampanti mantiene sempre il primato nel nord Italia con un incremento da 118 a 258
rispetto al 4Q2022. Anche nelle aeree del centro e sud Italia il numero di stampanti rilevate aumenta.
Figura 34 - Distribuzione stampanti in Italia per area geografica 3Q2020, 4Q2020, 1Q2021, 2Q2021, 3Q2021, 4Q2021 e
1Q2022, 2Q2022, 3Q2022, 4Q2022 e 1Q2023
Per quanto riguarda i firewall è evidente un forte decremento dei dispositivi totali, in particolare nel sud Italia.
Figura 35 - Distribuzione firewall in Italia per area geografica 3Q2020, 4Q2020, 1Q2021, 2Q2021, 3Q2021, 4Q2021 e
1Q2022, 2Q2022, 3Q2022, 4Q2022 e 1Q2023
Anche per i router, si registra un forte decremento dei dispositivi individuati per quanto riguarda nord (da
6.883 a 6087), centro (da 2.873 a 2075) e sud (da 4.822 a 1729) per un totale di 4.687 dispositivi in meno
rispetto al 4Q2022.
Figura 36 - Distribuzione router in Italia per area geografica 3Q2020, 4Q2020, 1Q2021, 2Q2021, 3Q2021, 4Q2021 e
1Q2022, 2Q2022, 3Q2022, 4Q2022 e 1Q2023
Nel 1Q2023 sono riportate le analisi effettuate sui dispositivi medicali, iniziate nel 3Q2022. Come si osserva
dalla figura sottostante si nota un aumento di tali dispositivi, che passa dai 673 rilevati nel 4Q2022 ai 792
rilevati nel 1Q2023. Si può notare, inoltre una maggiore presenza di questi dispositivi a nord, seguiti da sud
e centro Italia.
1Q2023
N°Protocolli Vulnerabili 4.907
Unsecurity_IoT_Index 0,01096
Come si può osservare dalla figura 38 il valore dell’UII nel 1Q2023 è superiore di circa il 4% a quello del
4Q2022. Ciò è dovuto ad un lieve incremento del tasso di vulnerabilità dei protocolli che passa dal 3,6% nel
4Q2022 a circa il 4% nel 1Q2023.
È stato ritenuto opportuno mostrare l’incidenza dell’Unsecurity IoT Index nelle tre aree geografiche del
nostro Paese, al fine di evidenziare l’area che presenta il maggiore rischio dovuto alla rilevazione di questi
dispositivi.
Figura 39 - Unsecurity IoT Index per Area Geografica 2Q2022, 3Q2022, 4Q2022 e 1Q2023
L’indice calcolato ci consente di stabilire il livello di rischio cyber per area geografica. Il valore calcolato per
l’Unsecurity IoT Index delle varie aree geografiche, rapportato a quello totale, deve essere considerato come
valore pesato in base sia al numero dei dispositivi osservati e protocolli totali utilizzati, sia all’insieme dei
sistemi che presentano vulnerabilità di protocollo e di autenticazione.
Se il valore dell’indice per area geografica è inferiore al valore dell’indice totale italiano il rischio è minimo,
come accade per il nord Italia. Al contrario, se tale valore supera l’indice totale, il rischio di esposizione ad
attacchi cyber per i dispositivi IoT in questa area geografica è alto, come accade, ad esempio al sud Italia.
Per quanto riguarda il centro Italia, il valore dell’UII supera di pochissimo quello totale, per cui possiamo dire
che in tale area geografica il rischio di esposizione è medio.
È evidente come l’incremento del valore dell’UII nazionale si riflette anche sulle varie aree geografiche
italiane.
A questo punto dello studio sono stati valutati quali dispositivi analizzati presentavano il maggior rischio
procedendo con il calcolo dell’UII per ogni dispositivo IoT considerato. A partire dal 3Q2022 sono stati
aggiunti all’analisi anche i dispositivi medicali. I risultati ottenuti sono di seguito riportati in tabella:
Dispositivi
Stampanti Telecamere VoIP ICS PLC Totale
medicali
Figura 40 - Unsecurity IoT Index per dispositivo 2Q2022, 3Q2022, 4Q2022 e 1Q2023
Dall’analisi si evince che i dispositivi a maggior rischio sono le telecamere. Questo è evidente se si
considera che 26.404 telecamere su un totale di 84.634 sono vulnerabili (circa il 31%).
Per quanto riguarda i dispositivi medicali e i PLC si ha che solo il 20% ed il 19% dei dispositivi è vulnerabile.
Una considerazione analoga può essere fatta per i dispositivi ICS e per i VoIP che presentano un rischio
molto basso poiché rispettivamente circa l’1% ed il 2% dei dispositivi risulta essere vulnerabile.
Rispetto al 4Q2022 si evidenzia, inoltre, un notevole miglioramento dell’UII delle stampanti; infatti, tali
dispositivi in questo trimestre presentano un rischio molto basso in quanto il valore dell’indice è inferiore del
33% rispetto a quello totale.
Oltre all’analisi dei grafici ricavati dal calcolo dell’indice UII, viene introdotto un nuovo valore adimensionale
detto IoT Vulnerability Entropy Index (IVEI), dato dal rapporto tra il numero di vulnerabilità dei dispositivi IoT
ed il numero totale delle vulnerabilità. I risultati ottenuti sono riportati in tabella 4:
IoT_Vulnerability_Entropy_Index
Data
(IVEI)
01/09/2020 0,00096
01/12/2020 0,02032
01/03/2021 0,00045
01/06/2021 0,01898
01/09/2021 0,00108
01/12/2021 0,00173
01/03/2022 0,00050
01/06/2022 0,00042
01/09/2022 0,00084
01/12/2022 0,00064
01/03/2023 0,00106
Dall’analisi delle vulnerabilità correlate a tali dispositivi sono emerse delle criticità che hanno fatto registrare
un picco dell’indice nei periodi compresi tra settembre e dicembre 2020 e tra marzo e giugno 2021, dovuti
principalmente alla scoperta di vulnerabilità di uno specifico componente hardware utilizzato su numerosi
dispositivi IoT.
Si è potuto osservare che delle 1.064 vulnerabilità IoT rilevate nel periodo preso in esame (settembre e
dicembre 2020 e tra marzo e giugno 2021), 901 erano dovute a potenziali rischi nell’utilizzo di tali
componenti in ambito mobile su dispositivi quali smartphone, tablet e smartbook, con un’incidenza di circa
l’85%. A partire da giugno 2021 il numero di vulnerabilità correlate a tali componenti è tendenzialmente
diminuito, pertanto, da questa data in poi, è stato possibile notare come l’IVEI tenda a diminuire fino a
raggiungere un andamento quasi costante a partire da settembre 2021.
Nel settore IoT resta comunque costante la minaccia di nuove vulnerabilità rilevate, così come è stato
osservato nel 4Q2022 e nel 1Q2023. Di seguito sono riportate le CVE che hanno presentato la maggiore
criticità o causato un significativo impatto sulla sicurezza:
• CVE-2023-28116: quando si utilizza il modulo BLE L2CAP con la configurazione predefinita, il valore
PACKETBUF_SIZE diventa maggiore della dimensione effettiva del packetbuf. Quando i pacchetti di
grandi dimensioni vengono elaborati dal modulo L2CAP, può quindi verificarsi un overflow del buffer
durante la copia dei dati del pacchetto nel packetbuf;
• CVE-2023-27917: La vulnerabilità di OS Command Injection consente a un utente malintenzionato
autenticato in remoto, che può accedere alla pagina di manutenzione della rete, di eseguire comandi
del sistema operativo arbitrari con un privilegio di root;
• CVE-2023-27389: Questa vulnerabilità consente a un utente malintenzionato autenticato in remoto
con privilegi amministrativi di applicare un file di aggiornamento del firmware appositamente
predisposto, alterare le informazioni, causare una condizione di negazione del servizio (DoS) e/o
eseguire codice arbitrario.
• CVE-2023-25018: Questa vulnerabilità consente a un utente malintenzionato, autenticato in remoto
con privilegi di utente generico, di iniettare codice JavaScript per eseguire un attacco Reflected XSS
(Reflected Cross-site scripting);
• CVE-2023-25017: Un utente malintenzionato remoto autenticato con privilegi di utente generico può
eseguire specifiche funzioni privilegiate per accedere e modificare tutti i dati sensibili;
• CVE-2023-23379: Vulnerabilità relativa all'acquisizione di privilegi più elevati di Microsoft Defender
per IoT;
• CVE-2023-23575: consente a un utente malintenzionato autenticato in remoto di aggirare la
restrizione di accesso e accedere alla pagina di manutenzione della rete, che può comportare
l'ottenimento delle informazioni di rete del prodotto.
• Automotive
• Consulting
• Critical Infrastructure
• Educational
• Entertainment
• Finance
• Healthcare
• Hospitality
• Industrial
• ONG
• Public Administration
• Religion
• Retail
• Security
• Software
• Telco
Per ognuna delle cinque aziende di ogni settore economico sono state valutate tutte le vulnerabilità, è stata
applicata la formula vista precedentemente e successivamente è stata fatta una media per calcolare l’II del
settore economico analizzato.
In tabella 5 vengono riportati i risultati ottenuti nel 1Q2023 comparati con quelli del 2Q2022, 3Q2022 e
4Q2022:
Critical
9,5781 9,5427 9,4993 9,3157
Infrastructure
Tabella 5 - Investment Index media di ogni settore economico analizzato nel 2Q2022, 3Q2022, 4Q2022 e 1Q2023
Figura 42 - Rappresentazione grafica dell'Investment Index media per ogni settore economico analizzato
Dalla figura precedente risulta che il settore avente il minor numero di vulnerabilità, ovvero la minor
esposizione al rischio, è il settore Religion con il valore di II più alto (pari a 9,9991), in lieve decremento
rispetto a quello del 4Q2022.
Il settore con il più alto numero di vulnerabilità, ovvero la più alta esposizione al rischio, è il settore
dell’Entertainment presentando un II pari a 8,0646 (in incremento rispetto a quello del 4Q2022 in cui era
stato rilevato un II pari a 7,6799).
Rispetto al trimestre precedente è evidenziabile un impercettibile miglioramento nell’efficienza degli
investimenti in tutti i settori economici analizzati.
A questo punto dell’analisi si vuole valutare in quale area geografica si abbia il miglior livello di sicurezza
possibile. I valori per nord, centro e sud Italia sono riportati in tabella 6 comparati con quelli del 2Q2022,
3Q2022 e 4Q2022:
Tabella 6 - Investment Index per Area Geografica 2Q2022, 3Q2022, 4Q2022 e 1Q2023
Figura 43 - Investment Index per Area Geografica 2Q2022, 3Q2022, 4Q2022 e 1Q2023
Dalla figura si evince come, rispetto al trimestre precedente, ci sia stato un lieve peggioramento
dell’efficienza degli investimenti a nord e centro e sia rimasto quasi costante a sud Italia.
Il nuovo indice (Investment Index) appena introdotto, mostra quanto siano efficaci gli investimenti aziendali in
ambito Cybersecurity, fortemente influenzato dalla velocità con cui le aziende affrontano il progresso
tecnologico senza un adeguato supporto alla protezione delle nuove soluzioni introdotte.
Le vulnerabilità individuate nei mesi di gennaio, febbraio e marzo hanno toccato differenti aeree del territorio
italiano creando non poche problematiche. In questo primo quarto del 2023 è stato registrato un incremento
del 48% rispetto ai tre mesi precedenti. Il numero di vulnerabilità riscontrate è molto alto, un prodotto
vulnerabile può esporre al rischio tutti coloro che utilizzano quotidianamente qualsiasi tipo di tecnologia,
soprattutto in questo periodo storico dove gran parte della popolazione italiana utilizza vari strumenti
tecnologici sia per lavorare che per studiare da remoto.
Le vulnerabilità individuate nei primi tre mesi del 2023 hanno interessato differenti aree del territorio italiano
creando non poche difficoltà.
Nella Figura 44 possiamo osservare come il settore dove le vulnerabilità sono state maggiormente
individuate riguardano la “Security”, il 30% del totale delle vulnerabilità riscontrate in questo primo quarto del
2023 (valore raddoppiato rispetto il quarto precedente).
Nel 1Q2023 sono state riscontrate vulnerabilità in ambito “Industria” registrando un valore costante rispetto i
tre mesi precedenti. Le vulnerabilità che hanno come vittima le industrie possono creare danni economici nel
momento in cui viene individuata una falla bloccante per l’intera produzione.
Inoltre, è stato riscontrato un netto incremento delle vulnerabilità in ambito “Browser”, quasi raddoppiate.
Una vulnerabilità di questo tipo può provocare perdite di dati e privacy da parte dell’utente. Un
cybercriminale, sfruttando questa vulnerabilità, è in grado di appropriarsi di tutti i dati di navigazione e
soprattutto delle password salvate dal Browser.
Nel grafico possiamo vedere come le vulnerabilità che riguardano i sistemi operativi si siano dimezzate
rispetto il 4Q2022, dato da non sottovalutare in quanto un sistema vulnerabile può causare qualsiasi genere
di disservizio e danno.
Nel 1Q2023 si è riscontrato un andamento costante delle vulnerabilità relative alle telecomunicazioni rispetto
al quarto precedente. Evitare queste vulnerabilità è di vitale importanza perché una falla in questi sistemi
può provocare danni consistenti anche dal punto di vista della privacy dell’utente.
Da evidenziare il dato relativo alle vulnerabilità legate a “Software/Hardware”, con un incremento triplicato
rispetto gli ultimo tre mesi del 2022. Una falla in un software o hardware può creare danni ingenti sia dal
punto di vista della privacy che dal punto di vista economico.
Nel primo trimestre del 2023, è stato riscontrato un incremento delle vulnerabilità legate alle infrastrutture
critiche. Esse potrebbero causare danni sia all’ente stesso, che ne è affetto, ma anche alla collettività, in
quanto questi enti erogano servizi di prima necessità.
Analizzando invece la tipologia dei danni generati, a seguito delle vulnerabilità individuate, emergono alcuni
aspetti interessanti.
In questo primo quarto del 2023, la tipologia di danno più utilizzata è di tipo “Remote code execution” (RCE),
il 20% sul totale. Questo tipo di danno rende possibile ad un malintenzionato di eseguire codice malevolo da
remoto senza che la vittima ne sia a conoscenza. Tra gli obiettivi principali di un attacco RCE si annovera il
furto di credenziali privilegiate, il cui utilizzo amplia il perimetro di accesso verso altre tipologie di dati e altri
sistemi raggiungibili dal sistema compromesso.
Nel 1Q2023 è stato registrato un incremento delle vulnerabilità che causano danni di tipo “Denial of Service”,
il 50% in più. Dato di estrema importanza poiché questa vulnerabilità crea importanti disservizi all’intero
sistema rendendolo inutilizzabile.
Anche le vulnerabilità che provocano Service interruption hanno registrato un netto incremento, più del
doppio rispetto il 4Q2022. Esse provocano non pochi problemi, ad esempio, per coloro che stanno lavorando
in smart working, i quali si ritrovano con il proprio dispositivo non funzionante.
Come le due tipologie appena descritte, anche per le vulnerabilità che causano danni di tipo di “Privilege
escalation” è stato registrato un netto aumento. Una falla di questo tipo permette di acquisire il controllo di
risorse di macchina normalmente oscurate ad un utente. Un user con maggiori autorizzazioni di quelle
previste dallo sviluppo originale o fissate dall'amministratore di sistema può, ovviamente, operare azioni
inattese e perciò non autorizzate.
Nel 1Q2023 è stato registrato un andamento costante per quanto riguarda le vulnerabilità che causano danni
alla privacy. Questa tipologia di vulnerabilità è sfruttata dai cybercriminali per recuperare dati sensibili e
utilizzarli per i propri scopi.
L’andamento delle vulnerabilità che causano danno di tipo “C&C” è costante rispetto il quarto precedente.
Vulnerabilità che provocano danni di tipo Command and control potrebbero causare perdita del controllo del
proprio dispositivo creando varie problematiche.
Tutte le vulnerabilità individuate dal nostro Osservatorio Cybersecurity nel 1Q2023 hanno criticità
abbastanza elevata. Sono state riscontrate esattamente 20 critiche, 64 alte e 8 risultano medie. Questo sta a
significare che la maggior parte delle vulnerabilità possono creare problemi su qualsiasi fronte, dalla perdita
di dati personali o di denaro, a problemi sulla comunicazione. Per limitare i danni sarebbe necessario
rendere pubblica la vulnerabilità individuata, affinché non venga sfruttata dai cybercriminali per i propri scopi.
Perciò, è di fondamentale importanza essere costantemente aggiornati sulle nuove vulnerabilità, questo è
possibile grazie al CSIRT nazionale o ai rispettivi siti delle case produttrici delle tecnologie utilizzate.
Malware 1Q2023
Dark Power
Dark Power è un nuovo ransomware scritto in Nim, un linguaggio cross-platform, utilizzato per lo sviluppo di
malware. Sono state individuate due varianti del ransomware che si differenziano per le chiavi di cifratura
utilizzate e per il loro formato. L’obiettivo è sempre lo stesso: cifrare i dati e chiedere un riscatto per
riottenerli. Una volta installato nel dispositivo della vittima, il ransomware interrompe diversi servizi e
processi come veeam, memtas, sql, backup, VSS, ad eccezione di alcuni file e cartelle, fondamentali per il
funzionamento del sistema, affinché la vittima possa vedere la richiesta di riscatto. A questo punto Dark
Power procede con la cifratura dei dati, attraverso una chiave univoca, ostacolando la creazione di uno
strumento di decrittazione generico. Conclusa l’operazione, il ransomware distribuisce un file pdf con la nota
del riscatto. Il gruppo richiede un pagamento di 10.000 dollari in Monero, una particolare criptovaluta. La
banda Dark Power opera su scala globale, con almeno dieci vittime dichiarate. I settori delle vittime sono:
istruzione, informatica, sanità, manifattura e produzione alimentare. Gli attaccanti stanno
scegliendo linguaggi nuovi e relativamente poco diffusi per mettere in difficoltà i team di difesa, che devono
essere costantemente aggiornati.
FakeCalls
Il malware FakeCalls è un Trojan Android che finge di essere un’applicazione bancaria mostrando sullo
schermo oltre al logo, anche i numeri di telefono reali della banca, e riproduce conversazioni telefoniche con
gli operatori della banca.
Una volta installato, il Trojan richiede subito tutta una serie di permessi, tra cui l’accesso ai contatti, al
microfono e alla fotocamera, la geolocalizzazione, ecc. permettendo così ai cybercriminali di conoscere la
posizione del dispositivo, copiare la lista dei contatti o i file (compresi foto e video) e accedere alla cronologia
delle chiamate. Questi permessi consentono, inoltre, di controllare parzialmente il dispositivo, dando al
Trojan la possibilità di falsificare le chiamate in entrata (spoofing) e/o di bloccarle e cancellarle dalla
cronologia.
Se la vittima chiama il servizio assistenza della banca, il Trojan apre una finta schermata di chiamata che si
sostituisce a quella reale, collegando la vittima direttamente con i cybercriminali, attraverso le chiamate in
uscita, oppure riproducendo un audio pre-registrato che imita il tipico messaggio di saluto della banca.
In seguito, i criminali informatici, sotto le mentite spoglie di un operatore, possono tentare di estorcere alla
vittima i dati di pagamento o altre informazioni riservate.
Per evitare di trovarsi in simili situazioni, è consigliabile scaricare le applicazioni sempre e solo dagli store
ufficiali, che eseguono regolari controlli anti-malware, fare attenzione ai permessi richiesti concedendo solo
quelli realmente necessari e non fornire informazioni confidenziali e sensibili per telefono.
HinataBot
HinataBot è una botnet basata su Golang, che sfrutta difetti e vulterabilità noti di router e server non
aggiornati per rilasciare DDoS. La botnet fa affidamento sulla vecchia vulnerabilità e brute force su password
deboli per la distribuzione ed è uno tra i bot emergenti basati su Go dopo GoBruteforcer e KmsdBot e uno
dei numerosi tentativi pubblici di implementare Mirai in linguaggio Golang.
Dispositivi non aggiornati e credenziali deboli rappresentano un rischio ancora elevato che viene sfruttato dai
criminali informatici per accedere in modo facile a dati e per attaccare le proprie vittime senza sofisticate
tattiche di ingegneria sociale.
Gli autori di HinataBot dall’11 gennaio 2023 hanno personalizzato e reso più pericoloso il malware. La
distribuzione avviene con metodi diversi sfruttando principalmente: server Hadoop YARN esposti, dispositivi
Realtek SDK (CVE-2014-8361) e nei router Huawei HG532 (CVE-2017-17215, punteggio CVSS: 8.8)
Tali dispositivi vengono sfruttati dagli attori delle minacce come un modo per stabilire un punto d'appoggio
sui sistemi presi di mira.
Laplas Clipper
Laplas Clipper è un malware di tipo clipper in grado di controllare il contenuto del clipboard dell’utente
colpito, per ricercare le informazioni sui portafogli di criptovaluta. Si tratta di un clipper intelligente con la
capacità di sostituire Bitcoin (BTC), Bitcoin Cash (BCH), Litecoin (LTC), Ethereum (ETH), TRON (TRX) e
altri portafogli di criptovaluta con quelli di proprietà degli aggressori.
Le campagne di attacco hanno coinvolto individui, piccole imprese e grandi organizzazioni con lo scopo di
richiedere un riscatto in criptovaluta per mantenere l'anonimato, il decentramento e la mancanza di
regolamentazione, rendendo più difficile il monitoraggio.
La campagna di infezione viene propagata con campagna e-mail di phishing, seguita da una catena di
attacchi in più fasi in cui l'autore invia malware o ransomware. Successivamente elimina le prove di file
dannosi, coprendone le tracce e sfidando l'analisi. Nonostante sia stato nascosto, Laplas Clipper è in grado
di controllare costantemente gli appunti per vedere se all’interno di appunti e documenti vengono inseriti
nuovi indirizzi di portafoglio di criptovaluta.
Oltre alla campagna phishing, gli autori del malware clipper utilizzano siti Web (o piattaforme) ufficiali come
fonti per il download di file e programmi.
Modiloader
ModiLoader è malware che spesso viene diffuso tramite servizi di malspam, come classiche mail di phishing,
con l’obiettivo di fare eseguire il codice dannoso agli utenti finali al fine di rubare le informazioni.
Questo malware è un dropper multi-stage che viene solitamente sfruttato per eseguire un Remote Access
Trojan (RAT) sulla macchina della vittima. Il payload finale viene scaricato dopo una sequenza di tre fasi.
Nella prima fase, il caricatore, che viene considerato come il primo payload, svolge il compito di estrarre i
dati, decodificare il secondo payload, che può essere .dll o .exe, ed eseguire il payload dalla memoria.
Il file sospetto si presenta come un eseguibile Windows a 32 bit, e risulta complesso rilevarlo tramite
antivirus o analisi statiche o dinamiche di base, in quanto riesce ad evadere le sandbox più conosciute.
Per cercare di mitigare attacchi di questo tipo, sarebbe opportuno controllare sempre il mittente delle mail, il
loro contenuto e i link presenti al loro interno, utilizzare soluzioni antivirus aggiornate, monitorare i
comportamenti anomali del sistema, mantenere il software e i sistemi operativi continuamente aggiornati per
ridurre le vulnerabilità.
NAPLISTENER
Naplister è un nuovo malware, che appartiene al gruppo di minacce conosciuto come REF2924. Questo
malware è stato progettato con l’obiettivo di evitare soluzioni di rilevamento malware basate sulla rete,
comportandosi in modo simile ai server web.
Al fine di risultare innocuo e stabilire un accesso verso la rete persistente, Naplister si presenta come un
legittimo servizio Microsoft Distributed Transaction Coordinator (“msdtc.exe”), operando tra utenti Web
legittimi e assomigliando al normale traffico Web.
Questo crea un listener di richieste http, scritto in C#, in grado di elaborare richieste in arrivo da Internet,
leggere eventuali dati inviati, decodificarli dal formato Base64 ed eseguirli in memoria.
Le aziende possono evitare attacchi da parte di questo malware, utilizzando tecnologie di rilevamento
basate sugli endpoint, più comunemente note come rilevamento e risposta degli endpoint (EDR). Un'altra
soluzione, che le organizzazioni potrebbero implementare per combattere Naplister, consiste nel filtraggio in
uscita o nella limitazione dei tipi di comunicazioni di rete in uscita.
Nexus
Nexus è un trojan bancario, venduto con la formula MaaS (Malware-as-a-Service), modello utilizzato nel
mondo del crimine informatico per offrire il malware in affitto o in vendita (a 3000 dollari al mese) a chi non
dispone delle competenze tecniche per sviluppare il malware. Nato nel gennaio 2023, Nexus è ancora nella
sua versione BETA; pertanto, la sua efficacia è destinata ad aumentare.
La catena di infezione sfrutta passaggi già noti: dopo averlo scaricato e installato, le vittime inseriscono le
credenziali di login in una schermata simile a quella legittima. A questo punto, Nexus ha la capacità di
intercettare le informazioni e mandarle al proprietario.
Il malware è in grado di leggere i codici di autenticazione a due fattori (2FA) dai messaggi SMS e dall’app
Google Authenticator attraverso l’abuso dei servizi di accessibilità di Android.
Oltre alle funzionalità citate poc’anzi, Nexus può rimuovere messaggi SMS ricevuti, attivare o fermare i
moduli 2FA stealer, e aggiornarsi periodicamente su server command-and-control. I cybercriminali possono
scegliere tra oltre 450 applicazioni bancarie, numero destinato ad aumentare.
SYS01
È un malware avente come obiettivo account aziendali Facebook di personale appartenente alle
infrastrutture critiche governative. Viene distribuito tramite annunci pubblicitari su Google e finti profili
Facebook, inducendo la vittima a cliccare su un URL per scaricare giochi, software pirata o film per adulti.
In particolare, il malware contiene un’applicazione legittima avente lo scopo di scaricare ed eseguire il
programma di installazione, contenente script dannosi per esfiltrare e rubare dati. Sys01 estrae informazioni
sensibili quali credenziali, dati commerciali su Facebook, cookie etc.
In sostanza si tratta di un malware veicolato mediante campagne di social engineering.
Autori
Ernesto Vignes dal 1998 collabora con diverse realtà del settore IT come sistemista
dal 2015 presso Exprivia partecipa a diversi progetti in ambito Telco & Media
ricoprendo il ruolo di system engineer.
Attualmente collabora con la DFCY-CY Digital Factory CyberSecurity di Exprivia, ove
si occupa delle soluzioni di IdAM.
Sorgenti di Informazioni
1. https://securityaffairs.co/wordpress/
2. https://www.enforcementtracker.com/
3. https://thehackernews.com/
4. https://sicurezza.net/
5. https://www.cybertrends.it/
6. https://www.bleepingcomputer.com/
7. https://www.CyberSecurity360.it/
8. https://www.poliziadistato.it/
9. https://www.hackread.com/
10. https://www.forbes.com/
11. https://www.garanteprivacy.it/
12. https://www.cert-pa.it/
13. https://success.trendmicro.com/
14. https://www.commisariatodips.it/
15. https://www.securityinfo.it/
16. https://www.repubblica.it/
17. https://www.twitter.com/
18. https://threatpost.com/
19. https://wired.it/
20. https://zerobin.net/
21. https://d3lab.net/
22. https://teconologia.libero.it/
23. https://chietitoday.it/
24. https://cybersecnatlab.it/
25. https://cyware.com/
26. https://medium.com/
27. https://reporterpress.it/
28. https://agi.it/
29. https://csoonline.com/
30. https://cert-agid.it/
31. https://csirt.gov/
32. https://www.difesaesicurezza.com/
33. https://www.ilsole24ore.it/
34. https://www.linkedin.com/
35. https://www.hdmotori.it/
36. https://www.key4biz.it/
37. https://www.cert-agid.gov.it/
38. https://www.ivg.it/
39. https://www.leggo.it/
40. https://yoroi.company/
41. https://www.corriere.it
42. https://www.ferrovie.info
43. https://www.spcnet.eu
44. https://www.trend-online.com
45. https://www.insicurezzadigitale.com
46. https://www.tecnoandroid.it
47. https://www.zeusnews.it
48. https://www.ilsussidiario.net
49. https://smarthome.hwupgrade.it
50. https://www.aboutpharma.com
51. https://www.swascan.com
52. https://www.hdblog.it
53. https://www.lagazzettadelmezzogiorno.it
54. https://leganerd.com
55. https://www.inforisktoday.com
56. https://www.msn.com
57. https://it.sputniknews.com
58. https://tecnologia.libero.it
59. https://techcrunch.com
60. https://hackerjournal.it
61. https://www.money.it
62. https://infopcfacile.it
63. https://it.cointelegraph.com/
64. https://www.ilcrivello.it
65. https://www.smartworld.it
66. https://www.rainews.it
67. https://www.ilrestodelcarlino.it
68. https://www.china-files.com
69. https://corrierealpi.gelocal.it
70. https://www.zoom24.it
71. https://www.nordmilano24.it
72. https://www.lanazione.it/
73. https://www.ilmessaggero.it
74. https://www.mediasetplay.mediaset.it
75. https://www.ictbusiness.it
76. https://www.upguard.com/
77. https://www.techradar.com
78. https://tech.fanpage.it
79. https://www-swascan-com.
80. https://computerweekly.it
81. https://www.helpmetech.it
82. https://www.adnkronos.com
83. https://www.hwupgrade.it
84. https://www.improntaunika.it
85. https://www.laleggepertutti.it
86. https://cyware.com
87. https://twitter.com/securityaffairs
88. https://twitter.com/Slvlombardo
89. https://twitter.com/faffa42
90. https://twitter.com/zlab_team
91. https://twitter.com/_odisseus
92. https://twitter.com/SofiaSZM
93. https://twitter.com/CSDistrict
94. https://www.securityinfo.it
95. https://www.redhotcyber.com
96. https://tech.everyeye.it
97. https://www.corrierecomunicazioni.it
98. https://quifinanza.it
99. https://www.formulapassion.it
100. https://www.corriereromagna.it
101. https://www.tomshw.it
102. https://www.veneziatoday.it
103. https://gamerant.com
104. https://leganerd.com
105. https://dday.it
106. https://english.kyodonews.net
107. https://www.laprovinciacr.it
108. https://www.securityopenlab.it
109. https://www.361magazine.com
110. https://content.upguard.com
111. https://www.itnews.com.au
112. https://twitter.com/ErmesCyberSec
113. https://www.matricedigitale.it
114. https://www.orticalab.it
115. https://www.html.it
116. https://www.punto-informatico.it
117. https://techfromthenet.it
118. https://www.giornalettismo.com
119. https://www.securityweek.com
120. https://www.itworldcanada.com
121. https://www.commissariatodips.it
122. https://www.ansa.it
Sponsor