Un attacco informatico è qualsiasi azione intenzionale che ha lo scopo di rubare, esporre, alterare, disabilitare o distruggere dati, applicazioni o altri asset tramite l'accesso non autorizzato a una rete, un sistema informatico o un dispositivo digitale.
Gli attori delle minacce lanciano attacchi informatici per svariati motivi, dai piccoli furti agli atti di guerra. Utilizzano una varietà di tattiche, come attacchi malware, truffe di ingegneria sociale e furto di password, per ottenere l'accesso non autorizzato ai sistemi interessati.
Gli attacchi informatici possono interrompere, danneggiare e persino distruggere le aziende. Il costo medio di una violazione dei dati è di 4,35 milioni di dollari. Questa cifra include i costi per l'individuazione e la risposta alla violazione, i tempi di inattività, la perdita di entrate e il danno alla reputazione di un'azienda e del suo marchio.
Ma alcuni attacchi informatici possono essere notevolmente più costosi di altri. Sono stati condotti attacchi ransomware con riscatti fino a 40 milioni di dollari (link esterno a ibm.com). Le truffe BEC (Business E-mail Compromise) hanno sottratto alle vittime fino a 47 milioni di dollari in un singolo attacco (link esterno a ibm.com). Gli attacchi informatici che compromettono le informazioni di identificazione personale (PII) dei clienti possono comportare una perdita di fiducia da parte dei clienti, sanzioni normative e persino azioni legali. Secondo una stima, la criminalità informatica costerà all'economia mondiale 10,5 trilioni di dollari all'anno entro il 2025 (link esterno a ibm.com).
Ottieni insight dettagliati per gestire meglio il rischio di una violazione dei dati con l'ultimo report di Cost of a Data Breach.
Registrati per l'X-Force Threat Intelligence Index
Le motivazioni alla base degli attacchi informatici possono variare, ma ci sono tre categorie principali di attacchi:
Gli autori degli attacchi con motivazioni criminali cercano di ottenere soldi attraverso il furto di denaro, il furto di dati o interruzioni del business. I criminali informatici possono introdursi in un conto bancario per sottrarre direttamente il denaro o utilizzare truffe di ingegneria sociale per indurre le persone a inviare loro denaro. Gli hacker possono rubare i dati e utilizzarli per commettere furti di identità, venderli sul dark web o per chiedere un riscatto.
L'estorsione è un'altra tattica molto utilizzata. Gli hacker possono utilizzare ransomware, attacchi DdoS o altre tattiche per tenere i dati o i dispositivi in ostaggio fino a quando l'azienda colpita non decide di pagare. Tuttavia, secondo il più recente X-Force Threat Intelligence Index, il 32% degli incidenti informatici ha comportato il furto e la vendita di dati piuttosto che la crittografia a scopo di estorsione.
Gli autori degli attacchi con motivazioni personali, ad esempio dipendenti scontenti, cercano principalmente ritorsioni per qualche offesa percepita. Potrebbero sottrarre denaro, rubare dati riservati o interrompere i sistemi di un'azienda.
Gli autori degli attacchi con motivazioni politiche sono spesso legati alla guerra informatica, al terrorismo informatico o all'“hacktivismo”. Nella guerra informatica, gli attori statali spesso prendono di mira le agenzie governative o le infrastrutture critiche dei loro nemici. Ad esempio, dall'inizio della guerra tra Russia e Ucraina, entrambi i paesi hanno subito un'ondata di attacchi informatici contro istituzioni vitali (link esterno a ibm.com). Gli hacker attivisti, chiamati “hacktivisti”, potrebbero non causare grossi danni ai loro bersagli. In genere cercano semplicemente di attirare l'attenzione sulle loro cause, rendendo noti al pubblico i loro attacchi.
Motivazioni meno comuni degli attacchi informatici includono lo spionaggio aziendale, in cui gli hacker sottraggono proprietà intellettuale per ottenere un vantaggio sleale sui concorrenti, e gli hacker vigilanti, che sfruttano le vulnerabilità di un sistema per avvisare gli altri della loro esistenza. Alcuni hacker operano per divertimento, traendo piacere dalla sfida intellettuale.
Gli attacchi informatici possono essere lanciati da organizzazioni criminali, attori statali e privati. Un modo per classificare gli attori delle minacce è classificarli come minacce esterne o come minacce interne.
Le minacce esterne sono utenti che cercano di ottenere l'accesso non autorizzato a reti o dispositivi. Gli attori delle minacce informatiche esterne includono gruppi criminali organizzati, hacker professionisti, attori finanziati dallo Stato, hacker dilettanti e hacktivisti.
Le minacce interne sono utenti che hanno un accesso autorizzato e legittimo alle risorse di un'azienda e abusano dei loro privilegi deliberatamente o accidentalmente. Questa categoria include dipendenti, partner commerciali, clienti, appaltatori e fornitori con accesso al sistema.
Sebbene un utente poco attento possa mettere a rischio la propria azienda, si può parlare di vero e proprio attacco informatico solo se l'utente utilizza intenzionalmente i propri privilegi per svolgere attività dannose. Un dipendente che archivia con noncuranza informazioni sensibili in un'unità non protetta non sta commettendo alcun attacco informatico; al contrario, un dipendente scontento che crea consapevolmente copie di dati riservati per guadagno personale sì.
Gli attori delle minacce in genere irrompono nelle reti di computer perché cercano qualcosa di specifico. Gli obiettivi più comuni includono:
In alcuni casi, gli autori degli attacchi non intendono rubare nulla. Piuttosto, desiderano semplicemente interrompere i sistemi informatici o le infrastrutture IT per danneggiare un'azienda, un'agenzia governativa o un altro obiettivo.
In caso di successo, gli attacchi informatici possono danneggiare le aziende causando tempi di inattività, perdite di dati e perdite di denaro. Per esempio:
Oltre a danneggiare direttamente il bersaglio, gli attacchi informatici possono comportare una serie di costi e conseguenze secondari. Ad esempio, il report Cost of a Data Breach ha rilevato che le aziende spendono in media 2,62 milioni di dollari per rilevare, rispondere e rimediare alle violazioni.
Gli attacchi informatici possono anche avere ripercussioni sulle vittime al di là dell'obiettivo immediato. Nel 2021, la banda autrice di attacchi ransomware DarkSide attaccò la Colonial Pipeline, il più grande sistema di oleodotti degli Stati Uniti. Gli autori dell'attacco sono entrati nella rete aziendale utilizzando una password compromessa (link esterno a ibm.com) e hanno poi chiuso l'oleodotto che trasporta il 45% del gas, del diesel e del carburante per aerei fornito alla costa orientale degli Stati Uniti, causando una diffusa carenza di carburante.
I criminali informatici hanno chiesto un riscatto di quasi 5 milioni di dollari in Bitcoin, che Colonial Pipeline ha pagato (link esterno a ibm.com). Tuttavia, con l’aiuto del governo statunitense, l’azienda è riuscita a recuperare 2,3 milioni di dollari persi con il riscatto.
I criminali informatici utilizzano diversi strumenti e tecniche sofisticate per avviare attacchi informatici contro sistemi IT aziendali, computer personali e altri obiettivi. Alcuni dei tipi più comuni di attacchi informatici includono:
Il malware è un software intenzionalmente dannoso che può rendere inutilizzabili i sistemi infetti. Il malware può distruggere dati, sottrarre informazioni o persino cancellare file critici per l'esecuzione del sistema operativo. Il malware è presente in molte forme:
Gli attacchi di ingegneria sociale manipolano le persone per indurle a compiere azioni improprie, ad esempio condividere informazioni che non dovrebbero condividere, scaricare software che non dovrebbero scaricare o inviare denaro ai criminali.
Il phishing è uno degli attacchi di ingegneria sociale più pervasivi. Secondo il report Cost of a Data Breach, si tratta della seconda causa più comune di violazione. Le truffe di phishing più elementari utilizzano e-mail o messaggi di testo falsi per appropriarsi delle credenziali degli utenti, estrapolare dati riservati o diffondere malware. I messaggi di phishing sono spesso progettati per sembrare provenienti da una fonte legittima. Di solito inducono la vittima a fare clic su un collegamento ipertestuale che la indirizza a un sito web dannoso o ad aprire un allegato e-mail che si rivela essere un malware.
I criminali informatici hanno sviluppato altri metodi di phishing più sofisticati. Lo spear phishing è un attacco altamente mirato che mira a manipolare un individuo specifico, spesso utilizzando i dettagli dei profili pubblici dei social media della vittima per rendere lo stratagemma più convincente. Il whale phishing è un tipo di spear phishing che prende di mira specificamente i funzionari aziendali di alto livello. In una truffa BEC (Business E-mail Compromise), i criminali informatici si fingono dirigenti, venditori o altri soci in affari per indurre le vittime a trasferire denaro o a condividere dati riservati.
Gli attacchi denial-of-service (DoS) e distributed denial-of-service (DDoS) ingolfano le risorse di un sistema con un traffico fraudolento. Questo traffico sovraccarica il sistema, impedendo risposte a richieste legittime e riducendo le prestazioni del sistema. Un attacco denial-of-service può essere fine a se stesso o la preparazione per un altro attacco.
La differenza tra attacchi DoS e attacchi DDoS è semplicemente che gli attacchi DoS utilizzano un'unica fonte per generare traffico fraudolento, mentre gli attacchi DDoS utilizzano ne utilizzano molteplici. Gli attacchi DDoS vengono spesso eseguiti con una botnet, una rete di dispositivi connessi a Internet e infettati da malware sotto il controllo di un hacker. Le botnet possono includere laptop, smartphone e dispositivi IoT (Internet of Things). Le vittime spesso non sanno quando una botnet ha violato i loro dispositivi.
Le compromissioni dell'account includono qualsiasi attacco in cui un hacker prende il controllo dell'account di un utente legittimo per attività dannose. I criminali informatici possono violare l'account di un utente in diversi modi: ad esempio possono sottrarre credenziali tramite attacchi di phishing o acquistare database di password rubate dal dark web; possono utilizzare strumenti per attaccare le password, come Hashcat e John the Ripper, per decifrare le password oppure mettere in atto attacchi brute force, in cui eseguono script automatizzati o bot per generare e testare potenziali password finché non trovano quella giusta.
In un attacco man-in-the-middle (MiTM), chiamato anche “attacco di intercettazione”, un hacker intercetta segretamente le comunicazioni tra due persone o tra un utente e un server. Gli attacchi MitM vengono comunemente eseguiti tramite reti Wi-Fi pubbliche non protette, dove è relativamente facile per gli attori delle minacce spiare il traffico.
Gli hacker possono leggere le e-mail di un utente o addirittura alterarle segretamente prima che raggiungano il destinatario. In un attacco di sottrazione di sessione, l'hacker interrompe la connessione tra un utente e un server che ospita asset importanti, come un database aziendale riservato. L'hacker scambia il proprio indirizzo IP con quello dell'utente, facendo credere al server che si tratti di un utente legittimo connesso a una sessione legittima. In questo modo, l'hacker è completamente libero di sottrarre dati o provocare danni.
Gli attacchi alla supply chain sono attacchi informatici in cui gli hacker violano un'azienda prendendo di mira i suoi fornitori di software, di materiali e di altri servizi. Poiché i fornitori sono spesso in qualche modo connessi alle reti dei loro clienti, gli hacker possono utilizzare la rete del fornitore come vettore di attacco per accedere a più obiettivi contemporaneamente.
Ad esempio, nel 2020, degli attori statali russi hanno attaccato il fornitore di software SolarWinds e distribuito malware ai propri clienti con il pretesto di un aggiornamento software (link esterno a ibm.com). Il malware ha permesso alle spie russe di accedere ai dati riservati di varie agenzie governative statunitensi utilizzando i servizi di SolarWinds, tra cui il Tesoro, la Giustizia e i Dipartimenti di Stato.
Gli attacchi XSS (script cross-site) introducono un codice dannoso in una pagina o applicazione web legittima. Quando un utente visita il sito o l'applicazione, il codice viene eseguito automaticamente nel browser web dell'utente, rubando di solito informazioni sensibili o reindirizzando l'utente a un sito web dannoso. Gli autori degli attacchi utilizzano spesso JavaScript per gli attacchi XSS.
Gli attacchi SQL injection utilizzano l'SQL (Structured Query Language) per inviare comandi malevoli al database di backend di un sito web o di un'applicazione. Gli hacker inseriscono i comandi attraverso campi rivolti all'utente, come barre di ricerca e finestre di accesso. I comandi vengono quindi passati al database, richiedendo la restituzione di dati privati come numeri di carte di credito o dati dei clienti.
Il tunneling DNS nasconde il traffico dannoso all'interno di pacchetti DNS, consentendo di bypassare i firewall e altre misure di sicurezza. I criminali informatici utilizzano il tunneling DNS per creare canali di comunicazione segreti, che possono utilizzare per estrarre i dati o stabilire connessioni tra un malware e un server di comando e controllo (C&C).
Gli exploit zero-day sfruttano le vulnerabilità zero-day, ovvero delle vulnerabilità che sono ignote agli addetti alla sicurezza oppure che sono state identificate ma non ancora risolte. Queste vulnerabilità possono esistere per giorni, mesi o anni prima che gli sviluppatori ne vengano a conoscenza, rendendoli i bersagli principali degli hacker.
Gli attacchi senza file utilizzano le vulnerabilità nei programmi software legittimi per immettere un codice nocivo direttamente nella memoria di un computer. I criminali informatici spesso utilizzano PowerShell, uno strumento di scripting integrato nei sistemi operativi Microsoft Windows, per eseguire script malevoli che modificano le configurazioni o rubano le password.
Gli attacchi di spoofing DNS, chiamati anche “avvelenamento DNS”, modificano segretamente i record DNS per sostituire il vero indirizzo IP di un sito web con uno falso. Quando le vittime tentano di visitare il sito reale, vengono inconsapevolmente indirizzate a una copia dannosa del sito stesso che sottrae i loro dati o diffonde malware.
Le organizzazioni possono ridurre gli attacchi informatici implementando sistemi e strategie di cybersecurity. La cybersecurity è la pratica di proteggere i sistemi critici e le informazioni sensibili dagli attacchi digitali utilizzando una combinazione di tecnologia, persone e processi.
Molte organizzazioni implementano una strategia di gestione delle minacce per identificare e proteggere gli asset e le risorse più importanti. La gestione delle minacce può includere diverse politiche e soluzioni di sicurezza, come quelle di seguito.
È impossibile prevenire tutti i tentativi di attacco informatico, pertanto le organizzazioni possono anche adoperare il monitoraggio continuo della sicurezza e processi di rilevamento precoce per identificare e segnalare gli attacchi informatici in corso. Ecco alcuni esempi:
Le organizzazioni possono anche adottare misure per garantire una risposta adeguata agli attacchi informatici in corso e ad altri eventi di sicurezza informatica. Ecco alcuni esempi:
Per prevenire e combattere le moderne minacce ransomware, IBM utilizza insight provenienti da 800 TB di dati su minacce e attività correlate, informazioni su oltre 17 milioni di attacchi spam e di phishing e dati reputazionali di quasi 1 milione di indirizzi IP malevoli provenienti da una rete composta da 270 milioni di endpoint.
Il report Cost of a Data Breach condivide gli insight più recenti sul panorama delle minacce in espansione e offre raccomandazioni su come risparmiare tempo e limitare le perdite.
L'IBM Security X-Force Threat Intelligence Index offre ai CISO, ai team di sicurezza e ai leader aziendali insight fruibili, utili per capire come gli attori delle minacce stanno sferrando gli attacchi e come proteggere proattivamente la propria organizzazione.
Gli attacchi informatici stanno diventando sempre più sofisticati. Scopri le preoccupazioni dei leader del settore per il futuro e i tre approcci che le organizzazioni possono adottare per rafforzare le proprie difese.