I cybercriminali possono penetrare e compromettere le difese di sicurezza in qualsiasi momento. Un cybercriminale può essere un singolo individuo all'interno o all'esterno della tua organizzazione, oppure un gruppo, un'organizzazione o addirittura un paese coinvolto in un attacco informatico mirato. Si definisce cybercriminale chiunque sia potenzialmente in grado di influenzare negativamente il comportamento di sicurezza della tua azienda. Più specificatamente, un cybercriminale è chiunque sia un attore chiave o un semplice partecipante in un attacco mirato alla sicurezza IT di un'organizzazione.

Informazioni sui cybercriminali

Il termine cybercriminale si riferisce a individui, gruppi o entità che portano avanti attività malevole il cui intento sia causare danni, sfruttare vulnerabilità od ottenere l’accesso non autorizzato a sistemi informatici, reti, dati o altre risorse preziose. I cybercriminali possono essere spinti da diverse motivazioni, disporre di un'ampia gamma di abilità e risorse ed essere in grado di operare in diversi contesti, tra i quali la criminalità informatica, lo spionaggio, l'hacktivismo o le attività sponsorizzate dal proprio governo.

Possono essere classificati in diverse categorie in base alle loro motivazioni e obiettivi:

  • Cybercriminali professionisti: Questo è il tipo più comune di cybercriminale. Lo scopo dei loro attacchi è rubare dati per ottenere un tornaconto economico. A volte rendono i dati inaccessibili alla vittima finché questa non paga un pesante riscatto: in questo caso di parla di ransomware. Attivi sia da soli che in gruppo, la loro motivazione principale è il denaro. Il loro arsenale operativo include gli attacchi di phishing, il ransomware, il malware, il social engineering e altre tecniche ulteriori. Si dedicano ad attività come il furto di informazioni sensibili (ad esempio i dati delle carte di credito, le informazioni personali) e l’esecuzione di attacchi ransomware o frodi.
  • Hacktivisti: I cybercriminali hacktivisti sono spinti da motivazioni politiche, sociali o ideologiche. La motivazione principale degli hacktivisti non è il denaro, ma piuttosto il desiderio di rendere pubblici i misfatti di un'organizzazione o partecipare a un movimento politico o sociale. Possono prendere di mira organizzazioni, siti Web o sistemi per promuovere le loro convinzioni o fare dichiarazioni.
  • Cybercriminali sponsorizzati dallo Stato: Si tratta di entità sostenute dal proprio governo che conducono attività di spionaggio informatico, sabotaggio o di altro tipo, mirate comunque alla promozione degli interessi del proprio paese. Spesso dispongono di capacità avanzate e di notevoli risorse.
  • Minacce interne: Le minacce interne sono individui che operano in un'azienda. Sfruttano impropriamente il loro accesso ravvicinato a sistemi, dati o informazioni a fini di tornaconto personale, spionaggio o sabotaggio. Una minaccia interna può essere un dipendente, un collaboratore esterno o un partner che mira a ottenere dati organizzativi e/o compromettere processi chiave (si pensi a Edward Snowden).
  • “Script Kiddie”: Si tratta solitamente di individui inesperti che utilizzano strumenti e tecniche di hacking esistenti senza una profonda conoscenza della tecnologia sottostante. Possono partecipare ad attacchi informatici per divertimento o per fare colpo sugli altri.
  • Gruppi di criminalità organizzata: Le organizzazioni criminali possono avvalersi di attacchi informatici per estendere l'ambito delle loro attività criminali, come il traffico di droga o il riciclaggio di denaro.
  • Gruppi terroristici: Alcune organizzazioni terroristiche possono utilizzare gli attacchi informatici per promuovere i loro obiettivi, interrompere servizi specifici o infondere paura nelle vittime designate. Le organizzazioni terroristiche rientrano nella categoria dei cybercriminali quando si dedicano al terrorismo informatico a fini propagandistici, politici, ideologici o finanziari.

I professionisti della cybersecurity, le forze dell'ordine e le organizzazioni devono comprendere le motivazioni, le tecniche e gli obiettivi dei cybercriminali per poter sviluppare strategie efficaci per il rilevamento, la prevenzione e l’attenuazione delle minacce informatiche.

Quali sono le motivazioni dei cybercriminali?

Per impedire che i cybercriminali riescano nel loro intento, è necessario innanzitutto analizzare i motivi per cui prendono di mira sistemi o dati. Si tratta di guadagno finanziario, di ragioni politiche, di spionaggio, di attivismo, di vendetta o di qualcos’altro? Alcune delle motivazioni più comuni dei cybercriminali includono:

  1. Guadagno economico. La motivazione principale di molti cybercriminali è il guadagno economico. Cercano di trafugare informazioni sensibili, come i dati di carte di credito, le informazioni personali o le credenziali di accesso, che possono essere rivendute sul mercato nero o utilizzate per attività fraudolente.
  2. Spionaggio. Gli stati nazionali, le aziende concorrenti o altre entità possono dedicarsi ad attività di spionaggio informatico per ottenere informazioni sensibili, segreti commerciali, proprietà intellettuali o segreti governativi, mirando a vantaggi politici, economici o strategici. I governi o le entità da questi sponsorizzate possono anche condurre operazioni informatiche mirate a promuovere i loro interessi nazionali, portare avanti manovre geopolitiche o raccogliere informazioni.
  3. Hacktivismo. Gli hacktivisti sono individui o gruppi spinti da motivazioni politiche o sociali. Prendono di mira organizzazioni, siti Web o sistemi per promuovere le loro ideologie, favorire la sensibilizzazione verso cause specifiche o protestare contro ingiustizie percepite.
  4. Sabotaggio e interruzione di attività. Alcuni cybercriminali non sono motivati dal denaro e mirano invece a interrompere le attività di infrastrutture, servizi od operazioni di importanza critica per motivi politici o ideologici. Questo può causare perdite finanziarie significative, pregiudicare la reputazione sia di una persona che di un marchio, o disagi alle strutture pubbliche.
  5. Vendette personali. Gli attacchi informatici possono essere portati avanti da un individuo a causa di rancori personali o per vendetta contro una certa persona, organizzazione o entità. Ad esempio, un dipendente, collaboratore esterno o partner che abbia accesso a informazioni o sistemi sensibili potrebbe utilizzare in modo improprio i propri privilegi per ottenere vantaggi personali, per vendetta o per altri motivi.
  6. Riscatto. Gli attacchi ransomware vengono portati avanti tramite la crittografia dei dati per poi richiedere un riscatto in cambio della chiave di decifratura. Il guadagno economico è la motivazione principale e le vittime sono spesso costrette a pagare per poter nuovamente accedere ai loro dati.
  7. Disaccordi politici. I gruppi estremisti possono avvalersi di metodi informatici per diffondere propaganda, reclutare nuovi membri e coordinare le proprie attività. Sono spesso motivati da convinzioni ideologiche o politiche.
  8. Vantaggio competitivo/furto di segreti commerciali. I rivali in affari possono condurre attacchi informatici o attività di cyberspionaggio per ottenere un vantaggio competitivo, ad esempio trafugando informazioni proprietarie o interrompendo l’operatività della concorrenza.
  9. Caccia di emozioni e notorietà. Alcuni sono motivati dalla promessa di fama e dalla sfida e dal brivido dell'hacking mirato a sistemi, reti o siti Web. L’obiettivo può essere l'affermazione personale o la notorietà all'interno delle comunità di hacker. In altre parole, alcuni hacker vogliono solo poter “fare gli spacconi”.

Le motivazioni dei cybercriminali possono essere complesse e sfaccettate ed evolversi nel tempo. Organizzazioni e individui devono restare all’erta e adottare misure proattive di cybersecurity per attenuare i rischi posti da questa ampia gamma di motivazioni.

Che capacità hanno i cybercriminali?

 I cybercriminali possono disporre di una moltitudine di capacità, strumenti, risorse e tecniche per portare avanti i loro attacchi. Tali capacità possono variare notevolmente in funzione delle motivazioni, delle competenze e delle risorse del cybercriminale.

Le più comuni che possono essere utilizzate da un cybercriminale includono:

  • Lo sviluppo e distribuzione di malware (virus, ransomware, trojan) o ransomware-as-a-service
  • Lo sfruttamento delle vulnerabilità software
  • Gli attacchi di phishing e social engineering per accedere alle password
  • I furti di identità e le frodi con carta di credito
  • Il riciclaggio di denaro tramite vari canali digitali
  • L’oscuramento dei siti web e gli attacchi DDoS mirati all’interruzione dell’operatività delle piattaforme online.
  • Le violazioni e fughe di dati che espongono informazioni sensibili.
  • La manipolazione dei social media mirata alla diffusione del loro messaggio.
  • Le campagne coordinate in base a obiettivi specifici, come lo spearphishing, il social engineering e la compromissione delle e-mail aziendali

I cybercriminali sponsorizzati dai governi possiedono solitamente capacità sofisticatissime e spesso portano avanti attività di spionaggio, guerra informatica e influenza geopolitica. Dispongono di capacità come:

  • Le minacce APT (Advanced Persistent Threat) che utilizzano malware sofisticati ed exploit zero-day
  • Le infiltrazioni a lungo termine e le esfiltrazioni di dati dalle organizzazioni prese di mira
  • Gli attacchi alla supply chain mirati alla compromissione dei software o hardware più utilizzati
  • La creazione e l’impiego di armi informatiche avanzate

Si tenga presente che le capacità dei cybercriminali continuano a evolversi con i progressi tecnologici e la disponibilità di nuovi strumenti e tecniche. Organizzazioni e governi devono restare vigili e adottare robuste misure di cybersecurity per proteggersi da una tale varietà di cybercriminali e dalle loro capacità.

Quali sono alcuni esempi di cybercriminali?

Molti sono i cybercriminali diventati famosi dopo essere riusciti a condurre attacchi informatici o attività malevole di grande rilevanza. Eccone alcuni esempi:

  • Advanced Persistent Threat 29 (APT29) - Cozy Bear: gruppo di hacking sponsorizzato dal governo russo ritenuto responsabile dell'hacking dei server di posta del Comitato Nazionale Democratico nel 2016, che causò la fuga di informazioni sensibili durante le elezioni presidenziali statunitensi.
  • Gruppo Lazarus: gruppo di hacking nordcoreano collegato a numerosi attacchi informatici, tra cui l'hack ai danni di Sony Pictures nel 2014, che portò alla fuga di dati aziendali e comunicazioni interne sensibili.
  • APT28 - Fancy Bear: Fancy Bear è un altro gruppo di hacking sponsorizzato dal governo russo collegato a diverse operazioni di spionaggio informatico, tra cui l'hacking dell'Agenzia mondiale antidoping (WADA) nel 2016 e diversi attacchi a entità politiche in tutto il mondo.
  • Stuxnet: sofisticato worm informatico ritenuto il risultato di un'operazione congiunta tra Stati Uniti e Israele che è riuscita ad attaccare gli impianti nucleari iraniani nei tardi anni 2000. Stuxnet causò danni fisici alle centrifughe utilizzate per l'arricchimento dell'uranio.
  • NotPetya: malware distruttivo che nel 2017 colpì numerose organizzazioni in tutto il mondo, causando interruzioni e perdite finanziarie diffuse. Ritenuto inizialmente un ransomware, NotPetya fu in seguito riconosciuto quale attacco motivato politicamente, probabilmente arrivato dalla Russia.
  • Shadow Brokers: gruppo di hacking che attirò l'attenzione nel 2017 per aver diffuso diversi potenti strumenti di hacking sviluppati dalla U.S. National Security Agency (NSA). Questi strumenti furono successivamente utilizzati in diversi attacchi informatici, tra cui l'epidemia ransomware WannaCry.
  • APT10 - Stone Panda: gruppo di hacking sponsorizzato dal governo cinese, noto per le sue operazioni di spionaggio informatico e furto di proprietà intellettuali. APT10 è responsabile delle violazioni dei principali provider di servizi gestiti, prendendo di mira il settore tecnologico e manifatturiero.
  • Gruppo Carbanak: cybergang che ha preso di mira le istituzioni finanziarie di tutto il mondo e ha trafugato centinaia di milioni di dollari tramite sofisticati attacchi alle reti bancarie e ai sistemi ATM.
  • DarkOverlord: gruppo di hacking noto per aver attaccato con estorsioni diverse organizzazioni, tra cui fornitori di servizi sanitari e società di intrattenimento, minacciando di pubblicare le informazioni sensibili trafugate.
  • Gruppo Equation: Un sofisticatissimo gruppo di cyberspionaggio che si ritiene collegato alla U.S. National Security Agency (NSA). Il gruppo Equation è stato responsabile dello sviluppo e della distribuzione di una varietà di malware avanzati ed exploit mirati alla sorveglianza.

Nonostante questi cybercriminali siano riusciti a raggiungere i loro obiettivi, proprio le loro attività hanno accresciuto la consapevolezza di quanto sia importante la cybersecurity, l’intelligence sulle minacce, la cooperazione internazionale e lo sviluppo di misure difensive per contrastare le minacce future.

Metodi e strategie di protezione

 Il mantenimento di una rigorosa igiene informatica è fondamentale per difendersi dai cybercriminali e dai loro incessanti attacchi. Ma non basta. Proteggere la tua azienda dalle minacce portate da cybercriminali e hacker è cruciale per salvaguardarne la sicurezza e ridurre al minimo i potenziali rischi.

Ecco cosa puoi fare per migliorare la protezione della tua azienda:

  • Valutazione del rischio: Conduci una valutazione approfondita per identificare le potenziali vulnerabilità nei sistemi, nei processi e nell'infrastruttura. Ottieni una maggiore comprensione delle tue risorse, delle potenziali minacce e del possibile impatto di una violazione della sicurezza.
  • Criteri e procedure di sicurezza: Sviluppa, implementa e applica solide procedure di sicurezza per i tuoi dipendenti. Questo include linee guida per la gestione delle password e dei dati e per l’impiego corretto delle risorse aziendali.
  • Formazione dei dipendenti: Offri ai tuoi dipendenti corsi di formazione periodici sulle best practice di cybersecurity. Aiutali a riconoscere i tentativi di phishing, le tattiche di social engineering e altri diffusi vettori di attacco.
  • Applica il controllo degli accessi: Adotta il principio del privilegio minimo. Consenti l'accesso a sistemi e dati riservati solo a coloro che non possono farne a meno per le proprie mansioni lavorative. Applica metodi avanzati di autenticazione, come l'autenticazione multifattoriale (MFA), per accedere a sistemi critici.
  • Aggiornamenti software regolari: Mantieni aggiornati tutti i software, inclusi sistemi operativi, applicazioni e plug-in, con le patch di sicurezza più recenti. Spesso i cybercriminali sfruttano le vulnerabilità dei software obsoleti.
  • Firewall e sistemi di rilevamento delle intrusioni: Predisponi firewall che monitorino e filtrino il traffico di rete in entrata e in uscita. Prendi in considerazione la possibilità di utilizzare sistemi di rilevamento e prevenzione delle intrusioni per identificare e bloccare le attività sospette.
  • Crittografia dei dati: Crittografa i dati, sia a riposo che in transito. La crittografia aggiunge un ulteriore livello di protezione che ostacola ulteriormente l'accesso ai dati da parte dei cybercriminali, anche in caso riescano a violare le tue difese.
  • Backup e ripristino in caso di disastro: Esegui backup regolari dei dati e dei sistemi. Archivia i backup in un luogo sicuro, separato dalla rete principale. Testa periodicamente i backup per verificare che possano essere ripristinati correttamente.
  • Gestione dei rischi portati da fornitori e collaboratori esterni: Valuta le procedure di sicurezza dei tuoi fornitori e collaboratori esterni. Verifica che dispongano di misure di sicurezza adeguate per proteggere dati e sistemi.
  • Piano di incident response:: Sviluppa un piano approfondito di risposta agli incidenti che delinei le misure da adottare in caso di violazioni alla sicurezza. Tale piano deve includere procedure per il contenimento, la comunicazione, l’attenuazione e il ripristino.
  • Managed Detection and Response (MDR): Se tutto questo sembra un’impresa ardua, prendi in considerazione l’ipotesi di esternalizzare la tua cybersecurity a un Security Operations Center (SOC) gestito da un team di sicurezza di primissima categoria. I servizi MDR comprendono sistemi di continuo monitoraggio e rilevamento delle intrusioni attivi 24 ore su 24, per identificare e rispondere alle minacce in tempo reale.

Ricorda che la cybersecurity è un impegno costante e le minacce sono in continua evoluzione. È fondamentale restare vigili e adattare le misure di sicurezza alle necessità di protezione della tua azienda dalle minacce emergenti. Se la tua azienda non dispone delle competenze necessarie, prendi in considerazione la possibilità di rivolgerti a un fornitore partner di cybersecurity-as-a-service che possa aiutarti a gestire il tutto. Nessuna organizzazione può farlo da sola.

Contattaci per saperne di più su come Sophos possa aiutare la tua organizzazione a difendersi dai cybercriminali.

 

Argomento di sicurezza correlato: Che cos’è Cybersecurity as a Service?

Altre Notizie dal Mondo della Cybersecurity