La European Union Agency for Cybersecurity (ENISA) ha pubblicato l’undicesima edizione del Threat Landscape, un report annuale che fornisce uno sguardo dettagliato sul panorama delle minacce alla sicurezza informatica.
Questo report mette in evidenza i crescenti impatti dei chatbot basati sull’intelligenza artificiale e della manipolazione delle informazioni basata sull’intelligenza artificiale, offrendo una panoramica completa oltre che delle minacce anche delle tendenze, degli attori delle minacce e delle tecniche di attacco, nonché l’analisi dell’impatto e della motivazione nell’UE. Descrive inoltre le misure di mitigazione pertinenti.
I risultati dell’ENISA Threat Landscape 2023 mostrano un aumento degli incidenti di sicurezza informatica, registrando nel periodo da luglio 2022 a giugno 2023, circa 2580 incidenti, di cui 220 hanno preso di mira specificamente due o più Stati membri dell’UE.
I settori maggiormente presi di mira includono le pubbliche amministrazioni con il 19% e la sanità con l’8%. Tuttavia, a causa delle interdipendenze, si osserva un effetto a catena, con un singolo evento che di solito colpisce più settori contemporaneamente. Il 6% di tutti gli eventi sono rivolti ai settori manifatturiero, dei trasporti e finanziario.
Principali punti chiave:
Impatto delle campagne di social engineering e manipolazione dell’informazione
Sul totale degli eventi legati al social engineering, il 30% era rivolto al grande pubblico, il 18% alla pubblica amministrazione e l’8% a tutti i settori. Allo stesso modo, le campagne di manipolazione dell’informazione hanno colpito principalmente i privati (47%), la pubblica amministrazione (29%), la difesa (9%) e i media/intrattenimento (8%). Le campagne di manipolazione dell’informazione sono particolarmente preoccupanti in vista delle elezioni.
Panoramica delle tendenze dei threat actor
- Le attività degli attori delle minacce, compresi i cybercriminali, gli state-nexus actor e gli hacktivisti sono influenzate da eventi geopolitici. Gli state-nexus actor stanno sempre più prendendo di mira i dipendenti con ruoli chiave, politici, funzionari governativi, giornalisti o attivisti, utilizzando soprattutto l’invio di e-mail di spear phishing e l’utilizzo dei social network.
- Gli state-nexus actor stanno adottando modelli di attacco tipicamente osservati nelle campagne criminali. In alcuni casi, questi attori sostengono direttamente o indirettamente le azioni dei cybercriminali. Alcune delle tecniche includono malvertising mirato, in cui siti malevoli puntano a versioni trojanizzate di applicazioni legittime. Questi attori ricorrono anche a tecniche che consentono di avere il pieno controllo sul processo di avvio del sistema operativo e che quindi rendono possibile disabilitare i meccanismi di sicurezza.
- Remote Monitoring and Management (RMM): i cybercriminali stanno mostrando un interesse crescente per i software per il monitoraggio e la gestione remota. Questo software consente agli aggressori di infiltrarsi nelle normali operazioni.
- Gli autori delle minacce stanno sfruttando anche gli errori di configurazione dei prodotti di sicurezza per disabilitare gli antivirus senza privilegi di amministratore o utilizzarli per spostamenti laterali.
- Cloud: i cybercriminali stanno sempre più rivolgendosi all’infrastruttura cloud di potenziali vittime per causare danni, principalmente abusando di configurazioni errate del cloud. Ciò non si limita ai sistemi, allo storage e alle reti delle organizzazioni che funzionano nel cloud, ma si estende anche alle console di gestione delle infrastrutture cloud.
Minacce principali
Il ransomware rappresenta ancora la minaccia principale, costituendo il 34% delle minacce DDoS dell’UE e il 28% di tutte le minacce.
Minacce per settori
Il ransomware colpisce tutti settori, inclusi il manifatturiero (14%), la sanità (13%), la pubblica amministrazione (11%) e i servizi (9%). Per quanto riguarda gli attacchi DDoS e le minacce legate ai dati, il 34% degli attacchi DDoS ha preso di mira la pubblica amministrazione, seguita dai trasporti per il 17% e dai settori bancario/finanziario per il 9%.
Il report sottolinea anche la preoccupazione riguardo agli attacchi alla supply chain in relazione alle prossime elezioni. Questo perché tali attacchi hanno colpito la pubblica amministrazione (21%) e i digital service providers (16%). Inoltre, lo sfruttamento delle vulnerabilità è stato associato ad eventi che hanno coinvolto i digital service providers per il 25%, le infrastrutture digitali per il 23% e pubblica amministrazione per il 15%.
Motivazioni Principali delle Minacce
Le principali minacce sono motivate principalmente da interesse economico, spionaggio, distruption e motivazioni ideologiche come nel caso dell’hacktivismo. La disruption è diventata ora la seconda motivazione più comune dopo il guadagno finanziario.
Intelligenza Artificiale e Deepfake
L’intelligenza artificiale e la complessità dei Large Language Models (LLM) hanno ricevuto molta attenzione ultimamente. I deepfake e altre tecnologie simili vengono utilizzati in attacchi mirati di social engineering. Particolare attenzione da prestare per l’uso improprio dei chatbot (IA) nei tentativi di phishing, nella manipolazione delle informazioni e nel cybercrime.
Common Vulnerabilities and Exposures (CVE)
Il report rileva un aumento significativo delle common vulnerabilities and exposures (CVE), con un totale di 24.690 CVE registrate, un aumento di 2.770 rispetto al periodo precedente che identificava 21.920 vulnerabilità durante il periodo di riferimento da luglio 2021 a luglio 2022.
Il rapporto ENISA Threat Landscape mappa il panorama delle minacce informatiche e serve come base per lo sviluppo di strategie per difendere i cittadini, le organizzazioni e il cyberspazio. Questo lavoro rientra nel programma di lavoro annuale dell’ENISA volto a fornire intelligence strategica alle parti interessate.
Il contenuto del rapporto viene raccolto da fonti aperte come articoli dei media, opinioni di esperti, rapporti di intelligence, analisi di incidenti e rapporti di ricerche sulla sicurezza; nonché attraverso interviste ai membri del gruppo di lavoro ENISA Cyber Threat Landscapes Working Group (CTL working group).
L’analisi e le opinioni del panorama delle minacce da parte dell’ENISA sono destinate ad essere neutrali rispetto al settore e al fornitore. Anche le informazioni basate sull’OSINT (Open Source Intelligence) e il lavoro dell’ENISA sulla consapevolezza situazionale hanno contribuito a documentare l’analisi presentata nel rapporto.
Scopri ENISA Threat Landscape 2023
