Quando un’azienda subisce un attacco informatico, l’assunzione immediata è spesso che si tratti dell’opera di hacker d’élite sponsorizzati da uno Stato. I media tendono a concentrarsi su “minacce di stati-nazione” o su “gruppi APT (advanced persistent threat)”. Ma la realtà è molto meno spettacolare — e molto più comune.
Molti degli attacchi informatici più distruttivi di oggi non sono orchestrati da operatori governativi o professionisti esperti, ma da adolescenti e giovani adulti armati di strumenti di base, intelligenza artificiale, tecniche di ingegneria sociale e kit di malware facilmente reperibili.

Questi giovani hacker sfruttano le stesse debolezze dei criminali informatici professionisti: controlli di accesso deboli, verifiche d’identità carenti e dipendenti facilmente manipolabili. Le organizzazioni devono riconoscere che la vera minaccia informatica spesso non proviene da una nazione ostile, ma da un giovane annoiato che agisce dalla propria camera.

Banners_WEB

 

Non è così complicato come sembra

Sebbene le minacce derivanti da exploit zero-day e gruppi APT esistano davvero, rappresentano solo una minima parte degli incidenti che colpiscono aziende e governi in tutto il mondo.

Nella maggior parte dei casi, gli attacchi non si basano su codice sofisticato, ma su errori umani, software non aggiornato e reti insicure. L’ingegneria sociale, il phishing e il furto di credenziali restano i metodi principali di compromissione. Sono tecniche che chiunque può imparare — e con l’arrivo dell’IA, sono più facili da sfruttare che mai.

Il cybercrimine moderno è un’industria a tutti gli effetti, con kit di ransomware pronti all’uso, strumenti di exploit e credenziali rubate venduti come servizi (a volte persino con assistenza clienti). Chiunque abbia curiosità, fiducia in sé e scarsa considerazione per la legge può “comprare” il proprio ingresso nel gioco.
Per una generazione cresciuta online, dove informazione e anonimato abbondano, il salto dall’esplorazione digitale al crimine è diventato più breve che mai.

Negli ultimi anni, le forze dell’ordine di tutto il mondo hanno arrestato un numero crescente di adolescenti collegati a violazioni informatiche di rilievo. Molti di loro non sono geni informatici, ma opportunisti che sfruttano strumenti pubblici o manipolano le persone invece del codice.

Alcuni sono stati collegati a gruppi poco strutturati come Scattered Spider o Lapsus$, collettivi che hanno violato grandi aziende globali ingannando il personale dei helpdesk o impersonando dipendenti. Questi attaccanti raramente usano exploit all’avanguardia: hanno successo prendendo di mira l’anello più debole di ogni organizzazione — il fattore umano.

Le loro tattiche sono semplici: convincere qualcuno all’interno dell’azienda a reimpostare una password, condividere credenziali o cliccare su un link malevolo. Da lì, i danni possono essere enormi: furto di dati, interruzioni dei sistemi o distribuzione di ransomware, il tutto senza particolari competenze tecniche.

Cyber AM_webinar_web header

 

Curiosità, cultura e reclutamento

Come può un adolescente diventare un hacker in grado di causare milioni di danni? Il percorso inizia spesso con la curiosità. Molti cominciano sperimentando con il codice, le modifiche ai videogiochi o i forum di hacking. Per alcuni, quell’interesse si trasforma in ossessione. Le comunità online diventano acceleratori, offrendo approvazione e guide passo-passo.

Le piattaforme di gioco e i social media vengono usate dai criminali per reclutare giovani talenti. Un giocatore o programmatore abile che dimostri capacità di risolvere problemi può attirare facilmente l’attenzione. Ciò che inizia come collaborazione o competizione può rapidamente trasformarsi in coercizione o reclutamento, con adolescenti coinvolti in operazioni criminali che promettono emozioni, denaro o notorietà.

Secondo la National Crime Agency (NCA), questa progressione è ben documentata: dal gaming ai forum di hacking, fino ad arrivare a crimini informatici minori e infine a reati gravi. Le motivazioni raramente sono ideologiche: derivano piuttosto da curiosità, noia e frustrazione economica.

Molti di questi giovani hacker sono brillanti, ambiziosi e disillusi. Con prospettive lavorative limitate e competenze digitali poco valorizzate nei percorsi tradizionali, il cybercrimine può sembrare una scorciatoia verso status e guadagno. Alcuni vengono sfruttati da gruppi organizzati che promettono formazione, denaro o appartenenza — per poi abbandonarli non appena la polizia si avvicina.

Le motivazioni variano: c’è chi cerca prestigio online, chi reddito in tempi difficili. Molti non comprendono appieno le conseguenze legali finché non è troppo tardi. Tutti, però, condividono la stessa realtà: l’accessibilità. La connettività che alimenta l’innovazione digitale è la stessa che alimenta la delinquenza digitale.

MDR2-4

Le conseguenze

Grandi rivenditori, istituti finanziari e strutture sanitarie hanno subito interruzioni e violazioni dei dati provocate da individui ancora in età scolastica.

Gli strumenti utilizzati sono economici o gratuiti, ma le conseguenze sono enormi: danni reputazionali, multe regolamentari, fermi operativi e, in alcuni casi, rischi per la sicurezza fisica. Anche quando gli attacchi sembrano amatoriali, il loro impatto può essere paragonabile a quello di operazioni sponsorizzate da stati.

Il recente attacco alla catena di asili Kido mostra quanto il problema sia diffuso: due diciassettenni sono stati arrestati per un attacco ransomware che ha rubato dati personali, nomi e fotografie di 8.000 bambini.

Gli hacker hanno chiesto 600.000 sterline in Bitcoin e hanno iniziato a pubblicare le immagini dei bambini su un sito darknet quando il riscatto non è stato pagato. Di fronte all’indignazione pubblica, hanno oscurato le immagini e in seguito affermato di aver cancellato i dati — un raro atto di “autotutela” da parte di criminali preoccupati per la loro reputazione nella comunità di hacking.

 

IR CTA

 

Le organizzazioni devono puntare sulla resilienza

Per le aziende, il ruolo di giovani attaccanti con competenze limitate cambia il modo di percepire il rischio. Se le difese di un’organizzazione sono progettate solo per contrastare exploit complessi o spionaggio straniero, è facile trascurare le intrusioni umane e semplici che causano la maggior parte delle violazioni.

Per mantenere la resilienza:

  1. Concentrarsi sulla consapevolezza dell’ingegneria sociale. La maggior parte degli attacchi inizia con l’inganno, non con la tecnologia. Formare i dipendenti a riconoscere richieste insolite e verificare le identità è fondamentale.
  2. Rafforzare controlli di identità e accesso. L’autenticazione multifattore, i permessi basati sui ruoli e le revisioni periodiche riducono le possibilità di abuso.
  3. Adottare un’architettura zero trust. Considera ogni utente, dispositivo e richiesta come potenzialmente compromesso. La verifica deve essere continua.
  4. Investire in rilevamento e risposta. I servizi di Managed Detection and Response (MDR) e Incident Response (IR) offrono rapidità ed esperienza per contenere i danni.
  5. Promuovere l’educazione etica alla cybersecurity. Programmi, competizioni e mentorship possono indirizzare il talento tecnico dei giovani verso carriere legittime invece che verso il crimine.

Se sei preoccupato per la sicurezza informatica della tua azienda, contatta gli esperti di Integrity360.

 

Contattaci