FOCUS ON

Rilasciato l’ENISA Threat Landscape 2024

21 Novembre 2024
ENISA Threat Landscape TS-Way cover

Il report ENISA Threat Landscape 2024, rilasciato a settembre dall’Agenzia dell’Unione europea per la cibersicurezza, fornisce una panoramica delle principali minacce informatiche rilevate fra luglio 2023 e giugno 2024.

Le offensive DDoS (46,31%) e i ransomware (27,33%) e sono state le forme di attacco più segnalate durante il periodo di riferimento, seguite dalle minacce relative ai dati (15,87%). In linea con questi dati, l’avversario più attivo è risultato il collettivo filorusso NoName057(16), seguito dai gruppi ransomware Cl0p (TA505) e LockBit Team e da un altro collettivo hacktivista filorusso, People Cyber Army.

Poiché il 2024, oltre a segnare il 20° anniversario dell’Agenzia, è l’anno in cui è stata stabilita l’entrata in vigore della direttiva NIS2, l’ENISA ha fornito un’analisi delle minacce alla sicurezza informatica in relazione ai diversi settori. Nel complesso, i comparti più impattati sono stati quelli della pubblica amministrazione (19%), dei trasporti (11%) e della finanza (9%). Seguono i servizi professionali e le infrastrutture digitali.

In questa panoramica, tra i fenomeni più significativi in ambito crime, spiccano le offensive basate su tecniche di social engineering, le campagne estorsive e i data breach.

Il phishing e il pretexting via e-mail continuano a essere la causa principale degli incidenti. Gli attacchi basati su tecniche di social engineering, infatti, prendono sempre più di mira le piattaforme di annunci di lavoro, sfruttando la fiducia insita nei processi di reclutamento. Inoltre, c’è stato un forte aumento degli incidenti di Business Email Compromise (BEC). In tutti questi casi, l’intelligenza artificiale generativa supporta la creazione di campagne su misura, in cui gli aggressori sfruttano le informazioni open source delle loro vittime per creare testi esca allettanti e convincenti.

La pratica della doppia estorsione da parte degli avversari ransomware è diventata sempre più diffusa. I criminali utilizzano tattiche avanzate per vittimizzare ripetutamente le organizzazioni, spesso sfruttando vulnerabilità o credenziali rubate da attacchi precedenti. Diversi gruppi ransomware sono stati osservati mentre rivendevano i dati rubati sui mercati del dark web, dopo un attacco iniziale, o addirittura si passavano il materiale sottratto per replicare lo schema estorsivo più volte.

I data breach continuano a segnare numeri molto alti, soprattutto a causa delle attività dei broker. La compromissione dei dati è aumentata nel 2023-2024. Negli anni fino al 2021, si è registrato un aumento delle compromissioni di dati; la tendenza è rimasta relativamente stabile nel 2022 e ha ricominciato ad aumentare nel 2023, mostrando segni di mantenimento di questo slancio nel 2024.

Le offerte di Malware-as-a-Service hanno continuato a rappresentare una minaccia significativa e in rapida evoluzione. Fra i più temibili, finalizzati all’esfiltrazione dei dati, vengono segnalati RedLine Stealer, RaccoonStealer, Vidar, Agent Tesla, FormBook e Lumma Stealer.

Per quanto riguarda i malware per dispositivi mobili, è stata osservata un’impennata dei trojan per il mobile banking, con un concomitante aumento della complessità dei vettori di attacco. In particolare, vengono citati GoldPickaxe, capace di sintetizzare video deepfake utilizzando dati di riconoscimento facciale rubati, e il trojan bancario Brokewell, con ampie capacità di acquisizione delle informazioni dei dispositivi. Inoltre, il trojan bancario Grandoreiro, che impiega tecniche avanzate di offuscamento e prende di mira un ampio spettro di istituzioni finanziarie, esemplifica la crescente sofisticazione di questi attacchi.

Il report Threat Landscape dell’ENISA dedica attenzione anche alle vulnerabilità. Dal 1° luglio 2023 al 1° luglio 2024, il National Vulnerability Database del National Institute of Standards and Technology ha registrato un totale di 33.524 falle (nell’anno precedente erano state 24.690). Di queste, 123 sono state inserite nel Known Exploited Vulnerabilities Catalog dell’agenzia CISA. Nel complesso, il33,33% di queste falle impatta prodotti Microsoft, l’11,9% prodotti Apache. Seguono Fortinet, SonicWall, Atlassian F5 Networks, Oracle VMware, Zimbra, Citrix e Ivanti.

Per quanto riguarda le attività state-sponsored, la manipolazione dell’informazione, spesso effettuata grazie a contenuti deepfake, continua ad essere un elemento chiave della guerra di aggressione russa contro l’Ucraina. Infine, si registra una crescente somiglianza tra le attività APT e quelle di alcuni presunti hacktivisti, fenomeno tipico delle forze cyber russa ed iraniana.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way, dal 2023 parte di Telsy.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sui nostri servizi di Threat Intelligence