Cosa si intende per aggressore?

Quali sono i principali tipi di autori delle minacce?

Esistono diverse tipologie di aggressori, ognuna caratterizzata da intenti, metodi e obiettivi specifici. Comprendere queste distinzioni è fondamentale per difendersi in modo efficace.

Aggressori con il supporto di Stati nazionali

Gli aggressori che agiscono con il supporto di Stati nazionali sono in genere gruppi o individui sponsorizzati dal governo che conducono operazioni informatiche dannose, come spionaggio, furto di dati, e minacce avanzate persistenti (APT) per raggiungere obiettivi politici, militari o economici. Questi aggressori sono solitamente molto sofisticati e dotati di risorse elevate, e spesso prendono di mira infrastrutture delicate, agenzie governative e settori critici. 

Esempio: nel 2021, il gruppo di hacker NOBELIUM (noto anche come Midnight Blizzard), legato alla Russia, ha violato i dati di Microsoft, prendendo di mira i dati dei clienti tramite l'account di un rivenditore compromesso, nell'ambito di una più ampia campagna di spionaggio informatico. 

I criminali informatici

I criminali informatici sono individui o gruppi che ricorrono agli attacchi informatici prevalentemente per ottenere un guadagno economico. Spesso utilizzano tattiche come ransomware, phishing e furto di identità per estorcere denaro alle vittime o rubare dati preziosi. 

Esempio: il gruppo ransomware Dark Angels cifra i dati delle vittime, chiedendo un riscatto per la decifrazione, e prende di mira le reti aziendali, minacciando di divulgare i dati rubati se le richieste non vengono soddisfatte, spesso ricorrendo a tattiche di doppia estorsione.

Operatori interni

Le minacce interne provengono dall'interno di un'organizzazione e possono essere sia dolose che accidentali. Queste minacce spesso coinvolgono i dipendenti o i collaboratori che hanno accesso a informazioni sensibili e le usano impropriamente per guadagno personale, vendetta o negligenza, ad esempio cadendo vittima di attacchi di phishing. 

Esempio: nel 2023, i ricercatori di Microsoft specializzati in AI hanno accidentalmente esposto 38 TB di dati sensibili, tra cui chiavi private e password, condividendo un URL di archiviazione di Azure configurato in modo errato e utilizzato per lo sviluppo di AI open source.

Hacktivisti

Gli hacktivisti sono coloro che utilizzano tecniche di hacking per promuovere o perseguire i propri obiettivi, siano essi di carattere sociale o politico. Spesso, i loro attacchi mirano a interrompere i servizi, rovinare i siti web o divulgare informazioni per attirare l'attenzione sulle loro cause. 

Esempio: nel 2022, Anonymous, un gruppo decentralizzato di hacktivisti, ha lanciato attacchi contro i siti web del governo russo in risposta all'invasione dell'Ucraina. Un altro esempio è il gruppo LulzSec, che nel 2011 ha preso di mira aziende e agenzie governative.

Script kiddie

Gli script kiddie sono hacker inesperti che utilizzano script già pronti o strumenti sviluppati da altri per lanciare degli attacchi. Sebbene in genere non dispongano di competenze avanzate, possono comunque causare danni ingenti, in particolare con lo sfruttamento di vulnerabilità note e sistemi scarsamente protetti. Questi aggressori meno esperti riescono a massimizzare il successo dei loro attacchi utilizzando servizi di criminalità informatica come il Ransomware as a Service (RaaS) e i progressi nell'AI generativa. 

Esempio: nel 2016, un gruppo di script kiddie ha utilizzato la botnet Mirai per lanciare un esteso attacco DDoS (Distributed Denial of Service) che ha messo fuori uso vaste parti di Internet. Un altro esempio è l'attacco informatico del 2019 a Twitter, in cui alcuni adolescenti sono riusciti ad accedere ad account di alto profilo sfruttando tecniche di ingegneria sociale.

Quali sono le motivazioni degli autori delle minacce? 

Gli aggressori hanno motivazioni diverse, ognuna delle quali influenza la natura e la gravità delle loro azioni su scale diverse. I criminali informatici motivati dal guadagno finanziario, ad esempio, spesso cercano di rubare informazioni sensibili, come numeri di carte di credito o proprietà intellettuali, da vendere sul mercato nero o utilizzare a fini di estorsione tramite attacchi ransomware.

Altri sono mossi da ideologie politiche. In questi casi, gli aggressori possono prendere di mira le organizzazioni o i governi per avanzare le proprie convinzioni, bloccare le operazioni o denunciare ciò che percepiscono come un'ingiustizia. Questi aggressori considerano i loro attacchi informatici una forma di protesta per influenzare l'opinione pubblica o fare pressione su chi detiene il potere affinché cambi le politiche. 

Infine, c'è chi agisce per vendetta o semplicemente per il brivido della sfida. I dipendenti o ex partner scontenti potrebbero lanciare attacchi contro un'organizzazione per vendicarsi, nel tentativo di pareggiare i conti in sospeso. Altri, in particolare gli hacker più giovani o meno esperti, potrebbero essere motivati dalla scarica di adrenalina che si prova nel violare un sistema sicuro, spinti dalla voglia di ottenere notorietà con un colpo audace in ambito informatico. Per questi soggetti, l'atto in sé è spesso molto più importante del risultato.

Quali sono le tecniche e le tattiche utilizzate dagli aggressori?

Di seguito, sono riportati alcuni dei metodi più comuni utilizzati dagli aggressori per approfittarsi di individui o organizzazioni:

• Phishing: gli attacchi di phishing usano tecniche di inganno basate sull'ingegneria sociale per indurre gli utenti a divulgare informazioni sensibili, trasferire somme di denaro e altro. Tra i tipi più comuni rientrano e-mail o messaggi di testo, siti web fake utilizzati per rubare le credenziali, attacchi di vishing e altre tecniche utilizzate per indurre le vittime a fidarsi dell'aggressore. Rimane il principale metodo per lanciare attacchi informatici, con un aumento dei tentativi del 58,2% nel 2023
• Malware: il malware è un software dannoso progettato per invadere un sistema informatico e portare a termine azioni ostili, come rubare o cifrare le informazioni sensibili, assumere il controllo delle funzionalità di sistema o diffondersi su altri dispositivi, con il principale scopo di generare profitti. Esistono molti tipi di malware, tra cui ransomware, spyware, adware e trojan horse. Leggi di più sugli ultimi sviluppi relativi ai malware, qui.
• Minacce avanzate persistenti (APT): le APT sono un segno distintivo degli aggressori che agiscono con il supporto degli Stati nazionali e dei criminali informatici più sofisticati; esse prevedono l'accesso furtivo alla rete di un'organizzazione, in cui viene stabilito un punto di accesso che consente agli utenti malevoli di rimanere inosservati per periodi di tempo prolungati. Le APT spesso prendono di mira una specifica azienda e tendono a usare malware avanzati in grado di bypassare o ostacolare le misure di sicurezza più comuni.
• Tecniche delle minacce interne: si tratta di individui con accesso autorizzato ai sistemi e ai dati di un'organizzazione che abusano dei propri privilegi per avere un impatto negativo sull'organizzazione. Le minacce interne possono essere intenzionali o meno, e possono provenire da dipendenti, collaboratori, fornitori terzi o partner.

Gli attacchi informatici nel mondo reale

I metodi utilizzati negli attacchi informatici sono molteplici e, di recente, abbiamo assistito a molti esempi degni di nota. Di seguito, sono riportati alcuni importanti attacchi reali per evidenziare il potenziale impatto che queste azioni possono avere:

Attacco a SolarWinds 

A dicembre del 2020, l'attacco a SolarWinds ha preso di mira la piattaforma software Orion utilizzata da migliaia di organizzazioni in tutto il mondo. Gli aggressori hanno inserito codice dannoso negli aggiornamenti software, che sono stati poi distribuiti a oltre 18.000 clienti, tra cui agenzie governative e grandi aziende. Questa violazione ha portato all'accesso non autorizzato a dati e reti sensibili, con gli aggressori che sono rimasti inosservati per diversi mesi. È considerata una delle campagne di spionaggio informatico più significative della storia.

Ransomware WannaCry

A maggio del 2017, l'attacco ransomware WannaCry si è diffuso rapidamente in tutto il mondo, colpendo centinaia di migliaia di computer in oltre 150 Paesi. Questa variante ha sfruttato una vulnerabilità nei sistemi operativi Windows, cifrando i file e chiedendo il pagamento di un riscatto in bitcoin. Di conseguenza, alcuni servizi essenziali, tra cui sistemi sanitari come il Servizio Sanitario Nazionale (NHS) del Regno Unito, sono stati gravemente interrotti. Nonostante il suo impatto su larga scala, l'attacco è stato mitigato nel giro di pochi giorni, grazie alla scoperta di un kill switch.

Scattered Spider

Scattered Spider è un gruppo criminale emerso intorno al 2022 e mosso da interessi finanziari, noto per aver preso di mira aziende di telecomunicazioni e tecnologia. Questo gruppo utilizza tattiche di ingegneria sociale, come il phishing e la clonazione di SIM, per ottenere l'accesso alle reti aziendali e perpetrare frodi o distribuire ransomware. A causa delle sofisticate tattiche impiegate, le aziende prese di mira da Scattered Spider hanno dovuto affrontare considerevoli interruzioni operative e perdite finanziarie, e per questo è una minaccia particolarmente temibile.

Colonial Pipeline

L'attacco a Colonial Pipeline di maggio del 2021 è stato un attacco ransomware condotto dal gruppo DarkSide che ha preso di mira il più grande oleodotto degli Stati Uniti, sfruttando le misure di sicurezza informatica obsolete e provocando un'interruzione che ha bloccato le forniture di carburante lungo la costa orientale. Questo attacco ha messo in luce le vulnerabilità delle infrastrutture critiche, evidenziando la necessità di potenziare la sicurezza informatica dei servizi essenziali. 

Dark Angels

Dark Angels è un gruppo ransomware emerso nel 2022, noto per le sue tattiche sofisticate che prendono di mira un'azienda di alto valore alla volta e richiedono ingenti riscatti. Questo gruppo, in genere, ricorre a metodi di doppia estorsione, nei quali non solo cifra i dati della vittima, ma minaccia anche di divulgare le informazioni sensibili se il riscatto non viene pagato. Questa tattica, tuttavia, non è stata impiegata per orchestrare il riscatto da record di 75 milioni di dollari scoperto da ThreatLabz nel 2024.

Come proteggersi dagli aggressori

Gli aggressori troveranno qualsiasi mezzo per infiltrarsi nei sistemi. L'impiego di queste tecniche aiuta a garantire che le vulnerabilità dell'organizzazione siano eliminate.

• Mantieni aggiornati i sistemi operativi e i browser: i fornitori di software risolvono regolarmente le nuove vulnerabilità rilevate nei loro prodotti e rilasciano aggiornamenti per proteggere i sistemi.
• Proteggi i dati con backup automatici: implementa un processo di backup periodico dei dati di sistema, per recuperarli in caso di attacco ransomware o di un evento che causi la perdita di dati.
• Utilizza l'autenticazione avanzata a più fattori (MFA): le strategie per il controllo degli accessi che impiegano l'MFA aggiungono ulteriori livelli di difesa che si interpongono tra gli aggressori e i sistemi interni.
• Istruisci gli utenti: i criminali informatici inventano costantemente nuove strategie per sferrare i loro attacchi, e l'elemento umano rimane la principale vulnerabilità di qualsiasi organizzazione. Per questo motivo, la tua azienda sarà più al sicuro se tutti gli utenti sapranno come identificare e segnalare il phishing, evitare i domini dannosi e così via.
• Investi in una sicurezza zero trust completa e integrata: le minacce informatiche hanno fatto molta strada; per questo, al fine di proteggere al meglio la forza lavoro e ridurre i rischi organizzativi, è importante ricercare una piattaforma di difesa proattiva, intelligente e olistica.

Le tendenze future nelle attività degli aggressori

Ecco alcuni dei modi attraverso cui gli aggressori, e i gruppi a cui appartengono, continueranno a mettere a dura prova i team di sicurezza.

Chatbot dannosi e attacchi basati sull'AI

L'AI continuerà a essere sempre più utilizzata per perpetrare crimini. È più che probabile che gli attacchi basati sull'AI continueranno ad aumentare, perché il dark web è un terreno fertile per chatbot dannosi come WormGPT e FraudGPT, che amplificano le attività criminali. Questi strumenti insidiosi diventeranno determinanti nell'esecuzione di tattiche di ingegneria sociale avanzata, truffe di phishing e varie altre minacce.

Gli attacchi all'IoT

I dispositivi IoT vulnerabili diventeranno un vettore di attacco sempre più critico, esponendo le aziende a violazioni e a nuovi rischi per la sicurezza. La mancanza di misure di sicurezza standardizzate per gli sviluppatori e i produttori di dispositivi IoT genera vulnerabilità che gli aggressori possono sfruttare con estrema facilità.

Se a ciò si aggiungono l'adozione e l'uso diffuso che caratterizzano questi dispositivi, risulta evidente che l'IoT è un bersaglio che gli aggressori possono colpire con facilità per ottenere guadagni rapidi e cospicui.

Lo sfruttamento delle VPN

Considerata la frequenza, la gravità e la portata delle vulnerabilità delle VPN, le aziende devono aspettarsi che questa tendenza andrà avanti. Gli aggressori e i ricercatori sulla sicurezza sono consapevoli delle vulnerabilità presenti nei prodotti VPN. Per questo motivo, stanno attivamente cercando di trovarne altre, e nei prossimi mesi e anni potrebbero esserne individuate diverse.

Proteggiti dagli aggressori con Zscaler

Per difenderti a 360 gradi dagli aggressori, investi in Zscaler Cyberthreat Protection, parte della nostra piattaforma Zero Trust Exchange™. Zscaler è il security cloud inline più grande e più distribuito al mondo, creato appositamente per soddisfare le esigenze informatiche in evoluzione delle aziende di oggi. 

Costruita sul principio dei privilegi minimi, l'architettura proxy di Zscaler consente un'ispezione TLS/SSL completa e su vasta scala, con le connessioni tra utenti e applicazioni che vengono mediate in base all'identità, al contesto e alle policy aziendali, per consentirti di:

• Ridurre al minimo la superficie di attacco: nascondi app, sedi e dispositivi da Internet, e impedisci agli aggressori di raggiungere e violare queste risorse.
• Prevenire la compromissione: elimina gli attacchi di phishing e i download di malware con l'ispezione TLS/SSL inline completa, su larga scala, e la prevenzione delle minacce basata sull'AI.
• Eliminare il movimento laterale: riduci al minimo la portata degli attacchi, difenditi dalle minacce interne e riduci i costi operativi con la segmentazione zero trust.
• Blocca la perdita dei dati: rileva lo shadow IT e le app a rischio con la classificazione automatica dei dati sensibili e proteggi utenti, workload e traffico IoT/OT, tutelando sia i dati inattivi che quelli in movimento.

Vuoi saperne di più su Zscaler Cyberthreat Protection? Prenota una dimostrazione personalizzata con uno dei nostri esperti e scopri come Zscaler ti aiuta a tenere a bada gli aggressori, indipendentemente da quanto avanzate siano le loro tecniche.