Il Security Operation Center di Leonardo ha emesso il report trimestrale sugli attacchi, i threat actor e le vulnerabilità registrati nel periodo tra l’inizio di luglio e la fine di settembre 2022. L’analisi del SOC ha evidenziato alcuni tratti caratteristici del periodo:
- oltre il conflitto ucraino, attacchi a Stati per motivi politici
- continuano le campagne disinformative russe: il caso delle minoranze linguistiche finlandesi
- cambio di attività per alcuni Threat Actor.
Gli attacchi cyber danno ‘’voce’’ a tensioni politiche e proteste
La guerra tra Russia e Ucraina continua a registrare un’intensa attività di threat actor legati a entrambi gli schieramenti, ma gli attacchi cyber di matrice politica vanno oltre il conflitto. In particolare, nel periodo in esame, sono stati due gli eventi sulla ribalta della politica internazionale che sono stati accompagnati da offensive informatiche significative e su larga scala. Il primo è stato la visita a sorpresa della speaker della Camera dei rappresentanti USA, Nancy Pelosi, a Taiwan, a inizio agosto. L’evento, che ha riacceso le tensioni tra Taiwan, USA e Cina, ha dato origine ad attacchi ai danni di alcune istituzioni taiwanesi da parte di threat actor cinesi.
La morte di Masha Amini a settembre, simbolo della battaglia per la rivendicazione dei diritti delle donne in Iran, ha invece scatenato una vasta operazione di Anonymous, battezzata #OpIran, che ha preso di mira i siti istituzionali del governo di Teheran.
La disinformazione ostacola anche l’integrazione sociale?
Il conflitto in Ucraina si conferma caratterizzato da una continua attività di disinformazione attraverso i social network e nel terzo trimestre si segnala un’intensificazione della propaganda russa, oltre che un suo raffinamento. In particolare, si è registrata una significativa campagna di fake news improntata a scatenare il panico relativamente a un’imminente invasione russa della Finlandia. Vittime, questa volta, le minoranze linguistiche arabe residenti in Finlandia, target considerati più diffidenti nei confronti dell’informazione ufficiale finlandese per la minore conoscenza della lingua. Su richiesta del governo di Helsinki, alcune piattaforme social - TikTok e Twitter per prime - hanno intensificato gli sforzi per contrastare questa campagna disinformativa.
I primi threat actor abbandonano il ransomware per il cryptojacking
Gli attacchi ransomware sono diventati molto frequenti negli ultimi mesi e ne sono cadute vittime aziende, istituzioni e cittadini. Alcuni threat actor, tuttavia, iniziano ad abbandonare questo tipo di attacchi, ormai giunti all’attenzione delle autorità, che hanno varato leggi sempre più severe nei confronti degli attaccanti e finalizzate a impedire alle vittime il pagamento del riscatto. I governi cercano così di impedire che i collettivi malevoli acquisiscano, attraverso i proventi dei riscatti, fondi da riutilizzare per perpetrare attacchi anche verso obiettivi sensibili per la sicurezza nazionale.
Ricade in questo contesto il caso dello sviluppatore di AstraLocker, che ha reso pubblici i propri decryptor, utili a consentire alle vittime di ripristinare i file cifrati, e ha deciso di dedicarsi ad altre attività malevole. Il nuovo focus del threat actor sembra essere diventato il cryptojacking, e cioè l’introduzione illegale di software nei dispositivi delle vittime in grado di utilizzarne le risorse di calcolo per estrarre criptovalute.