Data Leak: Quanto Siamo a Rischio? - Whitepaper - Yoroi

 
Data Leak: Quanto Siamo a Rischio? - Whitepaper - Yoroi
Whitepaper
    Data Leak: Quanto Siamo a Rischio?

YRO225-R001-LM190207-1      TLP:White    1/18
Data Leak: Quanto Siamo a Rischio? - Whitepaper - Yoroi
Introduzione
Gli ultimi anni sono stati caratterizzati da incrementi sostanziali sia nel numero di attacchi informatici registrati
sia nei volumi di malware prodotti da organizzazioni criminali. Questa evoluzione porta al consolidamento
un'economia sommersa basata sulla compravendita di credenziali di ignari utenti, sulla realizzazione di Malware
adHoc e sull’affitto di criminali informatici. Tale commercio avviene in due principali “territori” denominati Clear-
Nets come per esempio (ma non limitato a): social networks, forum, IRC chats ed Instant Messaging e DarkNets
come per esempio (ma non limitato a): Virtual and Private Networks, TOR, Luminati, Hola, freenet etc.
Negli anni, una moltitudine di Organizzazioni sono state obiettivo di attacchi cyber: una parte di essi è andata a
buon fine.

I dati di multinazionali, enti governativi, organi di polizia, partiti politici, software house, provider di servizi, case
editrici, giornali, associazioni no profit e social networks sono stati trafugati ed utilizzati per alimentare
l’economia cyber-criminale, da anni in netta espansione. Molti di questi account, credenziali o accessi sono stati,
ad un certo punto della loro storia, venduti o ceduti all’interno di mercati neri e Darknet, dando la possibilità ad
altri attaccanti di abusarne, ponendo a rinnovato rischio i milioni di utenti coinvolti nella compromissione di
queste entità.
Le organizzazioni coinvolte in questi attacchi
non      sono      solamente        organizzazioni
internazionali, multinazionali o organizzazioni
governative ma numerose sono le aziende
Italiane (piccole-medie) che hanno subito la
stessa sorte. Basti pensare agli annunci pubblici
di “Anonymous Italia”, che nel corso del 2018
hanno scandito nei mesi una compromissione
dopo l’altra, esponendo migliaia di utenze su
portali appartenenti a PA ed Enti italiani.
Compromissioni tali da aver portato alla nascita
di un portale dedicato al tracciamento dei data
breach unicamente italiani.

A Dicembre 2017 uno dei più noti data breach
è stato rilevato dalla Security Firm spagnola
4iQ, oltre 1.4 miliardi di credenziali all’interno di un database aggregato, il più grande in circolazione nel
DarkWeb sino a quel momento. Ultimo capitolo di questa serie è il caso “Collection #1”: tra le più ingenti
raccolte di dati trafugati provenienti da innumerevoli fonti che, nei seguenti capitoli, è stata analizzata per
comprenderne portata e rilevanza nel panorama italiano.

YRO225-R001-LM190207-1                                 TLP:White                                                    2/18
Data Leak: Quanto Siamo a Rischio? - Whitepaper - Yoroi
La Collezione “#1”
Nei primi giorni del 2019, la notizia del pubblico rilascio della cosiddetta “Collection #1” ha scosso tutto il
mondo della sicurezza cyber, e molto di più. Riviste di settore, testate generaliste ed Agenzie hanno allertato i
lettori della presenza di centinaia di milioni di utenze e password compromesse, resi disponibili all’interno di
piazze di scambio e mercati criminali.

L’articolo di Troy Hunt, padre del servizio “Have I been Pwned?” che da anni monitora data leak e
compromissioni, rivela infatti che l’ingente collezione di dati misura oltre 87 GigaByte: quasi il doppio rispetto al
più grande Data Leak del 2017. Dalla sua analisi fa emergere un primo importante dato:
        140 milioni di indirizzi e-mail non erano precedentemente noti nei data leak censiti dal ricercatore.
Da notare inoltre che la “Collezione #1”, come suggerisce la nomenclatura stessa, è in realtà una singola parte di
una più ampia Raccolta di data breach: la più grande sino ad oggi pubblicamente nota.. Con quasi 1 TeraByte di
dati al suo interno, l’enorme raccolta di record compromessi conta ben sette collezioni: “Collection #1”,
“Collection #2”, “Collection #3”, “Collection #4”, “Collection #5”, “AP MYR&ZABUROG #2” e “ANTIPUBLIC #1” la
cui diffusione all’interno dei mercati criminali è stata oggetto del bollettino N050119 del CERT-Yoroi.

                        Figura. Estratto dall’annuncio di vendita (fake) delle Sette Collezioni

YRO225-R001-LM190207-1                               TLP:White                                                  3/18
Data Leak: Quanto Siamo a Rischio? - Whitepaper - Yoroi
Analisi Generali
La struttura della “Collezione #1” rivela la presenza di più tipologie di
dati al suo interno:
    ●    le cosiddette “liste combo”, gergo utilizzato negli ambiti cyber
         per indicare raccolte di combinazioni di username e password,
         potenzialmente provenienti da accessi abusivi o trafugate
         tramite malware di tipo InfoStealer;
    ●    record provenienti da “dump”, vere e proprie entry estratte a
         seguito della violazione di intere porzioni di database
         utilizzate da organizzazioni compromesse.

Navigando tra le sottocartelle della Collezione si possono notare
nomenclature che suggeriscono alcune informazioni contestuali sui
dati al suo interno. Parte di essi è legata alla compromissione di servizi
di posta, piattaforme di gaming, servizi cloud, e-commerce e
piattaforme di trading.
Di particolare interesse risultano anche le cartelle “NEW combo semi
private” ed “EU combos”, le quali suggeriscono un contesto di origine
di interesse per il panorama cyber europeo ed italiano, tant’è che sono
state oggetto di analisi dedicate da parte del CERT-Yoroi (sezione
“Esposizione Italiana”).

                                        Figura. Composizione di Collection #1

YRO225-R001-LM190207-1                                TLP:White                 4/18
Data Leak: Quanto Siamo a Rischio? - Whitepaper - Yoroi
L’analisi preliminare della Collezione ha fornito inoltre una panoramica generale sulla distribuzione del volume di
dati all’interno delle sue cartelle, facendo spiccare “NEW combo semi private”: direttorio tra i più recenti a
disposizione, dove si concentra una grande porzione del contenuto informativo della Collezione. Relativamente
alle tipologie di account e-mail esposti, è stato osservato uno sbilanciamento nella distribuzione dei tipi di
                             Provider di posta: una grandissima parte è legata alle caselle gratuite dei principali
                             servizi e-mail quali Yahoo Mail, G-Mail, AOL ed Outlook. Questa tipologia di servizi
                             sono in gran parte utilizzati da utenze domestiche per usi personali, tuttavia la loro
                             grande popolarità li ha resi nel tempo utilizzati anche in parte del tessuto
                             produttivo delle micro-imprese e dei professionisti.
                             In aggiunta, la distribuzione dei Top Level Domain (TLD) presenti nei record della
                             Collezione #1, mostra come parte predominante delle utenze esposte sia
                             imputabile ai domini e-mail con suffisso “.com”. E’ opportuno notare che questo
                             particolare TLD è molto utilizzato dai principali provider di posta gratuiti, tuttavia, al
                             netto di ciò, i domini di posta di organizzazioni commerciali risultano comunque
                             maggioritari, inseguiti da suffissi legati a Russia, Regno Unito, Germania, Francia ed
                             Italia (Figura Sottostante). Fortunatamente, i domini di posta “.it“ sono minoritari
                             relativamente al complesso degli 87 GB di dati grezzi rilasciati. Ciò nonostante si
                             contano oltre 240 mila domini email distinti con TLD italiano solamente all’interno
                             della cartella “NEW combo semi private”, indicazione di una potenziale esposizione
                             tutt’altro che trascurabile per il contesto nazionale.

                 Figura. Distribuzione record per Top Level Domain in “NEW combo semi private”

YRO225-R001-LM190207-1                              TLP:White                                                    5/18
Data Leak: Quanto Siamo a Rischio? - Whitepaper - Yoroi
Password
I dati di Collection #1 hanno
inoltre permesso di investigare lo
stato di salute di uno degli
aspetti più importanti nella
sicurezza della vita digitale
moderna: l’Autenticazione. L’uso
delle password è da anni il
metodo       prediletto     per    la
gestione dei processi di login
nella stragrande maggioranza dei
servizi web moderni, di facile
implementazione          per      gli
sviluppatori       ed     immediata
fruizione per gli utenti.
Nonostante al giorno d’oggi i
principali provider di posta
mondiali supportino, ed in molti
casi      forzino,     forme      di
autenticazione         multi-fattore
come SMS, PIN, token fisici, smart-card, applicazioni o parametri biometrici, una parte rilevante di portali e
servizi web versa in condizioni nettamente differenti, con supporti limitati, inadeguati o del tutto assenti. Questo
contesto, unitamente alla disponibilità dell’ingente mole di dati raccolta nelle Collezioni, crea una miscela
deleteria per la sicurezza dei dati e della vita digitale, professionale o privata che sia.

L’analisi statistica delle password riportate all’interno delle “liste combo” indica, ancora oggi, una pigrizia nella
scelta delle password di accesso, in molti casi basate sulle sole sequenze numeriche, varianti dell’intramontabile
“Password” e pattern di digitazione da tastiere “QUERTY”. Questo relativamente ai record di Collection #1 nella
loro interezza.
Focalizzando invece l’attenzione sulla porzione di dati relativi al top-level-domain “.it” emerge uno scenario
leggermente differente. Benché sequenze di numeri rimangono una delle scelte preferite per la protezione della
propria identità digitale, questo segmento di dati permette di apprezzare caratteristiche altrimenti soffocate dai
volumi nel loro complesso: nomi propri di persona, appellativi e parole di uso comune sono, in moltissimi
casi, stati scelti come chiave di accesso per i propri account di rete.

                          Figura. Statistiche password più utilizzate con indirizzi e-mail “.it”

YRO225-R001-LM190207-1                                TLP:White                                                6/18
Data Leak: Quanto Siamo a Rischio? - Whitepaper - Yoroi
Portali Compromessi
Come                  precedentemente
suggerito, la Collezione #1 non
contiene              unicamente          le
cosiddette “liste combo”. Una
porzione delle sue cartelle sono
adibite alla raccolta dati “grezzi”,
trafugati         a       seguito     della
compromissione di oltre 3700
portali     tra       servizi    web,    e-
commerce e forum online.
Tra di essi risultano presenti
riferimenti           a     65      portali
potenzialmente                      italiani
caratterizzati da nomi a dominio
con suffisso “.it”.
Tralasciando momentaneamente
le        origini          dei      record
compromessi ed estendendo la
ricerca alla collezione “#2”, si
notano riferimenti ad ulteriori
raccolte di “dump” appartenenti ad una assortita gamma di servizi online, ad esempio:
     ●      Shopping ed e-Commerce, all’interno delle quali sono anche presenti record dai data leak di Amazon
            ed Ebay avvenuti negli anni trascorsi.
     ●      Streaming, comprendente anche dati potenzialmente riconducibili alla compromissione di “Last.fm”, il
            cui nome compare in file all’interno della raccolta.
     ●      Trading, dove sono presenti dati trafugati da piattaforme online per agenti di borsa e piazze di
            scambio, relativi ad intrusioni avvenute anche nel 2017.
     ●      Gaming, con dati relativi a piattaforme e forum utilizzati da appassionati di videogiochi in tutto il
            mondo.
     ●      Portali e Forum di sviluppo software, finanza, giornalismo, viaggi e vacanze, annunci etc.. .
     ●      Social network e provider di servizi internet e di posta.
Una varietà di portali e servizi web decisamente orizzontale, con la capacità di lambire praticamente ogni
tipologia di utenti di rete, se sufficientemente attivi nel mondo Internet. Oltre a ciò, sono presenti raccolte di
record riclassificate per aree geografiche: asiatiche, europee, russe ed americane. Anche in questo caso la varietà
è decisamente elevata.

YRO225-R001-LM190207-1                                  TLP:White                                            7/18
Data Leak: Quanto Siamo a Rischio? - Whitepaper - Yoroi
Complessivamente,          all’interno   delle   Sette
Collezioni sono presenti record di più di 13
mila portali web compromessi, un volume
rilevante che riassume in sé anni di furti di dati
ed attacchi hacker. Sono infatti presenti record
e porzioni di database riconducibili a data
breach avvenuti nell’arco del tempo, alcuni di
essi ripresi anche dalla stampa internazionale,
come il furto di dati del social network di
Badoo Trading Limited, risalente al 2016,
oppure degli attacchi informatici ai danni
Last.fm Ltd nel 2012. All’interno di questi
tredicimila     servizi    compromessi       risultano
presenti potenziali riferimenti a 219 portali
web italiani, il cui nome a dominio termina con
il TLD “.it” (Grafico di Destra).
La presenza dei portali “.it” all’interno dei
“dump” si posiziona al sesto posto della
classifica    relativa    ai   Top   Level   Domain
nazionali, dopo Russia, Germania, Regno Unito e Brasile. Il posizionamento non è affatto marginale e fornisce
una indicazione sulla permeabilità del panorama cyber italiano, il quale, nel corso degli anni, ha subito attacchi
                                                                       ed intrusioni da parte di attori di minaccia
                                                                       in   ambito     criminale,         con     ordini    di
                                                                       grandezza comparabili rispetto a nazioni
                                                                       storicamente più digitalizzate. Tuttavia il
                                                                       dato relativo ai TLD italiani presenti nei
                                                                       “dump”      è, senza ombra di                   dubbio,
                                                                       parziale: oltre il 50% dei 13 mila portali
                                                                       compromessi utilizza top level domain
                                                                       aperti, come “.com”, “.org” e “.net”, i quali
                                                                       mascherano        la            nazionalità       delle
                                                                       organizzazioni afflitte (Grafico di Sinistra).
                                                                       Un più preciso dato sulla nazionalità dei
                                                                       portali compromessi legati ai “dump”
                                                                       raccolti,   inclusivo        della       porzione    di
                                                                       maggioranza,           è         stato         ottenuto
                                                                       effettuando arricchimenti contestuali ai
                                                                       domini      univoci        estratti:     sono     state
                                                                       investigate     sia        le     nazionalità       dei
                                                                       “registratar”, sia il paese               di    origine
                                                                       ospitante la loro infrastruttura a livello di
                                                                       rete.

YRO225-R001-LM190207-1                                   TLP:White                                                       8/18
Data Leak: Quanto Siamo a Rischio? - Whitepaper - Yoroi
Con questo criterio è stato possibile individuare il coinvolgimento di oltre 270 portali di organizzazioni
italiane, vittime di accessi abusivi e furto di dati relativi alle utenze nell’arco degli ultimi anni. Un dato di
rilevanza non unicamente statistica perché, con l’entrata in vigore del GDPR nel Maggio 2018, il deciso
cambiamento dell’approccio in tema di Protezione dei Dati Personali è prepotentemente entrato nelle
agende dei Manager di gran parte del tessuto produttivo Italiano.

Esposizione Italiana
Le analisi generali sulla Collezione #1 riportate in precedenza hanno cristallizzato uno dei punti cardine di questo
documento: il panorama cyber italiano, inteso sia come Organizzazioni che come Utenze, è stato
inequivocabilmente coinvolto dal rilascio di questa ingente raccolta di dati trafugati. Lo è stato in primis per via
dell’esposizione di migliaia di account e-mail elencati nelle famigerate “liste combo”, ed in secondo luogo per via
dei portali web infiltrati ed “hackerati” da parte di gang criminali, vandali ed “hacktivisti”.
Tuttavia, quanto precedentemente osservato, non coglie appieno il reale coinvolgimento del panorama
nazionale. Per questo CERT-Yoroi ha effettuato alcune analisi aggiuntive, focalizzate ad aspetti tangibili per le
utenze di rete e le organizzazioni, al fine delineare un indicativo profilo dell’esposizione italiana.

Posta Elettronica Certificata
La PEC è da anni uno degli strumenti informatici più sensibili per aziende e professionisti, è una delle prime
tecnologie chiave nei processi di digitalizzazione delle pubbliche amministrazioni, nell’abbandono della carta e
                                                                                   nello snellimento dei rapporti tra
                                                                                   privati.
                                                                                   La sua validità legale e le differenti
                                                                                   casistiche di utilizzo rispetto alle
                                                                                   tradizionali caselle di posta hanno,
                                                                                   negli       anni,     contribuito    alla
                                                                                   creazione di un rapporto fiduciario
                                                                                   nei confronti di questa tecnologia.
                                                                                   Tuttavia,      le    caselle   di   posta
                                                                                   certificata, oggetto di inizialmente
                                                                                   timidi tentativi di abuso, sono nel
                                                                                   tempo state bersaglio di attacchi
                                                                                   sistematici:         partendo       dalle
                                                                                   campagne        di    propagazione     di
                                                                                   email infette tramite PEC, come ad
                                                                                   esempio riportato nel bollettino
                                                                                   Early Warning N021115 di CERT-
                                                                                   Yoroi del 2015, fino ai recenti e
                                                                                   massivi attacchi che nel Novembre
                                                                                   2018        hanno      comportato      la
                                                                                   violazione di oltre

YRO225-R001-LM190207-1                                TLP:White                                                        9/18
Data Leak: Quanto Siamo a Rischio? - Whitepaper - Yoroi
500 mila caselle di posta elettronica certificata. Risulta dunque chiaro che anche questa tipologia di servizi,
ricoprente importanti ruoli nella vita delle Organizzazioni, ha ricevuto, nel tempo, sempre più interesse da parte
di cyber criminali e hacker.
Per questa ragione, CERT-Yoroi ha investigato l’esposizione delle caselle di posta elettronica certificata in
Collezione #1. Gli indirizzi sono stati trovati all’interno delle “liste combo” che, a questo punto e per via delle
differenti modalità di utilizzo che caratterizzano la PEC, sono almeno in parte frutto del furto di dati tramite
infezioni malware. Qui sono state rilevate più di 4mila occorrenze di indirizzi di posta elettronica certificata,
distribuiti su oltre 200 domini, molti dei quali riconducibili a Piccole e Medie Imprese italiane (1200 occorrenze),
accompagnati da una quota minoritaria di caselle di enti comunali, regioni, ordini ed albi professionali (83
occorrenze, 17 domini).
Una grande parte delle caselle PEC presenti in Collezione #1 proviene invece da servizi italiani di posta certificata
in cloud, tra i quali Aruba con PEC.it (54%), Legalmail con il 18.5% ed in forma minoritaria la posta elettronica
certificata Pec.net di Registro.it. Questo dato rappresenta un'evidenza allineata all’incremento del rischio cyber
che, come osservato anche a cavallo tra 2018 e 2019 da CERT-PA e CERT-Yoroi, sempre più coinvolge il canale di
comunicazione certificato, abusato dai criminali per veicolare malware nelle infrastrutture di Aziende ed
Organizzazioni, che, nel prossimo futuro, dovranno necessariamente includere la tecnologia PEC nei loro
programmi di sicurezza.

Enti Governativi
Altro passo fondamentale nell’esplorazione dell’esposizione italiana è l’indagine sulle Entità Governative centrali
coinvolte in Collezione #1. Da tempo Pubbliche Amministrazioni ed enti sono ambito bersaglio di criminali,
“hacktivisti” ed attori stranieri: personale, asset informatici, dati ed informazioni in questo perimetro sono
sottoposti ad agenti di minaccia ancor più gravi rispetto a quanto Aziende, Gruppi Industriali e Persone siano
comunemente esposti. Questi agenti potrebbero, tra l’altro, esser stati in possesso della Collezione ancora prima
della sua pubblica scoperta.
La presenza di Enti Governativi italiani all’interno dell’intera Collezione #1 è minoritaria, in tutto si contano 1238
riscontri di indirizzi email “.gov.it”; oltre 1400 estendendo la ricerca anche ad istituti e pubbliche amministrazioni
locali e regionali. Il dato in sé, è senz’altro parziale in quanto esistono ministeri ed enti che utilizzano nomi a
dominio differenti, spesso terminanti con il generico suffisso “.it”, tuttavia questo primo estratto è in grado di
fornire una discreta panoramica su questa importante parte del Sistema Italia.
La prima osservazione formulabile è necessariamente sul numero distinto di organismi coinvolti, ben 29. Molti
sono stati coinvolti solamente in parte minoritaria, con poche occorrenze rispetto alle dimensioni degli stessi. Ne
è un esempio AGiD, dove nell’arco di anni solamente tre distinti account sono stati oggetto di potenziale
compromissione, porzione ridotta nei confronti delle centinaia di persone che ogni giorno vi operano.
Altro elemento di nota sono le occorrenze del Ministero dei Trasporti e del Lavoro, le quali coprono più di un
quarto dei riscontri totali, piazzandosi rispettivamente in prima e seconda posizione, seguiti dall’Ente di Gestione
dei Dipendenti Pubblici dell’INPS (INDAP), con l'aiuto del quale coprono oltre 50% delle occorrenze di indirizzi
email “.gov.it” presenti in Collezione #1.

YRO225-R001-LM190207-1                               TLP:White                                                 10/18
Figura. Distribuzione dei riscontri di “gov.it” in Collezione #1

Al di là di dati e statistiche in sé, che danno evidenza della costante minaccia a cui gli Enti centrali siano
sottoposti, rimane importante sottolineare che gli organi deputati alla risposta ed alla preparazione, o
“Readiness” in gergo, agli incidenti cibernetici, come CERT-PA e CERT Nazionale, hanno monitorato e gestito da
tempo questa tipologia di fughe di dati e, a discapito di quanto spesso si ode nei confronti del pubblico settore,
rappresentano un modello proattivo di riferimento utile anche per il mondo privato, di PMI e Grandi Aziende,
dove, in assenza di processi di sorveglianza digitale (Digital Surveillance) fughe di dati ed esposizioni come
queste possono comportare rischi e probabilità d’impatto ben maggiori.

YRO225-R001-LM190207-1                               TLP:White                                             11/18
Tessuto Produttivo

I record in Collezione #1 sono centinaia di milioni,
con oltre 240 mila domini aventi Top Level Domain
italiano. Questo dato, tuttavia, non risponde alla
domanda      “Qual’è    l'impatto    sul   panorama
cibernetico italiano?”, ne è in grado di fornire una
visione localizzata al contesto nazionale dei rischi
cibernetici pendenti sul sistema paese.
La mole di dati è ingente ed una porzione rilevante
di essi suggerisce un coinvolgimento diretto del
tessuto economico/produttivo italiano; tuttavia la
risposta alla precedente domanda non è affatto
banale: i dati presenti nella raccolta sono, molto
spesso, minimali ed avulsi da contesti temporali e
spaziali, carenti di informazioni sull’affiliazione ad
                                                   Organizzazioni,    Aziende    o   Entità   proprie    del   mondo
                                                   comunemente, ed in certa misura impropriamente, referenziato
                                                   come “reale”. Per questo gli oltre 4 milioni di domini unici
                                                   individuati sono stati oggetto di una investigazione contestuale
                                                   che, con i tutti i limiti del caso, ha permesso di far riaffiorare
                                                   questo prezioso collegamento.
                                                   La pletora di domini email è stata massivamente risolta per
                                                   ottenerne gli indirizzi di rete, individuando così la localizzazione
                                                   geografica delle infrastrutture server attive e permettendo la
                                                   definizione di un perimetro di oltre 190 mila entità. Il
                                                   confinamento di questa porzione di record ha permesso di
                                                   canalizzare l’attenzione su di una porzione di domini di posta
                                                   che, con buona probabilità, può contenere legami espliciti con
                                                   le organizzazioni italiane.
                                                   La dispersione temporale di questi dati, raccolti negli anni a
                                                   seguito di svariati data breach, infezioni malware, esposizioni
                                                   pubbliche e solo in ultima istanza aggregati all’interno della
Collezione #1, rende molto difficoltosa la ricostruzione del legame con il tessuto produttivo italiano. Ciò
nonostante, CERT-Yoroi ha reperito informazioni sull’affiliazione di oltre 29 mila nomi a dominio comparsi
all’interno di un campione di due cartelle “MAIL ACCESS combos” e “NEW combo semi private”, che
rappresentano circa il 50% della prima Collezione e meno del 5% del contenuto informativo dell’intera Raccolta.

YRO225-R001-LM190207-1                               TLP:White                                                 12/18
Figura. Composizione dell’intera Raccolta

Nonostante il numero di potenziali affiliazioni in sé possa apparire marginale rispetto al totale delle oltre sei
milioni di Partite IVA attive in Italia, prende tutt’altra rilevanza se considerato nel respiro delle Sette Collezioni, le
quali, al netto di bias, possono ragionevolmente contenere un numero di domini italiani di posta nell’ordine
delle centinaia di migliaia, con una potenziale esposizione fino al 20% delle Organizzazioni italiane con
presenza digitale.
All’intero di questa dimensione, per lo più provenienti da “liste combo”, sono osservabili riferimenti ad un vasto
numero di persone giuridiche: i tre quarti sono rappresentati da Società di Capitali come SRL e SPA, il restante
quarto contiene invece rimandi a Società di Persone, in maggioranza SNC e SAS. Questa prima indicazione della
tipologia di Aziende private coinvolte nel data leak, mostra una probabile preminenza di società appartenenti al
tessuto produttivo delle Piccole e Medie Imprese italiane. Importante rimarcare che quest’ultima osservazione
non include il numero di record esposti (figura Sinistra), tuttavia la distribuzione delle occorrenze di account
email per tipologia di società mostra, in realtà, che le società SRL sono state mediamente coinvolte con 71
record procapite, mentre le Società per Azioni, tipicamente afferenti alla Medio/Grande impresa, contano una
media di 321 account cadauna (Figura di Destra).

YRO225-R001-LM190207-1                                 TLP:White                                                  13/18
Figura. Distinte tipologie di Persone Giuridiche (Sinistra), ripartite per volume di record (Destra)

A questo punto dell’analisi, una domanda sorge spontanea: “E’ possibile capire a quali settori produttivi siano stati
maggiormente coinvolti?”.
Anche in questo caso una risposta precisa non è immediatamente a portata, risalire ai singoli codici fiscali e
Partite IVA legate ai domini italiani individuati presenta difficoltà e tempi estremamente dilatati. Tuttavia, molte
Aziende riportano descrizioni e Ragioni Sociali sufficientemente esplicative da permettere una ri-classificazione
in termini di settori produttivi quali: Gruppi Industriali, imprese nell’Information Technology, Sanità ed industria
Farmaceutica, il mondo no-profit con Associazioni e Fondazioni, Enti Pubblici e Consorzi, ramo della Logistica,
delle Infrastrutture, Bancario e Assicurativo, ed infine una classificazione più generica per settori produttivi
classici, primario, secondario e terziario. L’investigazione di questa attribuzione, per le caratteristiche stesse della
sua costruzione, è chiaramente soggetta a rumore e limitata precisione, tuttavia ha comunque la capacità di
catturare uno spaccato della tipologia di organizzazioni coinvolte in “Collection #1”.
Nel seguente grafico emerge un importante presenza del settore dei servizi, per circa il 29%, dove ricade una
ampia varietà di imprese, spesso di fascia Piccolo-Media, insieme ai Consulenti e Professionisti, ad esempio studi
legali o commercialisti, che raggiungono quota 17%. Questo primo dato ha ripercussioni anche sul rischio
cibernetico delle Organizzazioni più strutturate: quello che si sta osservando è un tessuto produttivo, ciò significa
che le interconnessioni e gli scambi che avvengono tra le varie realtà sono indicatore di una permeabilità che un
attacco cyber può sfruttare per arrivare ben più lontano dei vettori d’ingresso.

YRO225-R001-LM190207-1                                TLP:White                                                  14/18
Figura. Categorie di organizzazioni individuate

Il settore dei servizi, dei professionisti e dell’Information Technology, molto spesso abbraccia le Grandi Aziende e
le reciproche relazioni di fiducia possono essere un’arma nelle mani dei cyber criminali. La memoria del recente
caso “EyePyramid” ne è diretta testimonianza: nel 2017 è stata infatti scoperta una rete di spionaggio che ha
sfruttato studi professionali, aziende di consulenza e società di vario genere come trampolino di lancio per
attacchi a cariche pubbliche, enti governativi, amministrazioni ed imprenditori di alto profilo nazionale (rif. Early
Warning N010117 di CERT-Yoroi).

YRO225-R001-LM190207-1                              TLP:White                                                 15/18
A corollario di questa osservazione c’è il dato sulle Fondazioni e le Associazioni, al terzo posto con circa un 14%.
Esse presentano un livello di esposizione rilevante che, se unite alle criticità di insite nella loro natura, possono
rappresentare una condizione di rischio. Questa categoria raccoglie infatti organizzazioni per lo più no-profit,
come fondazioni, associazioni culturali, ONLUS e confederazioni che, per loro natura, non hanno obiettivi di
profitto e che spesso contano su volontariato e beneficienza. Tuttavia Associazioni e Fondazioni ricoprono un
peso importante nell’ecosistema nazionale e sono spesso partecipate da personalità a vario livello, condizione
che,     se    unita     al   dato     di
esposizione rilevato, può celare
profili di rischio cibernetico a
fronte di minacce motivate da
spionaggio di natura industriale,
politico o militare.
Al quarto posto troviamo invece i
Gruppi        Industriali,    con     un
riscontro del 9%. Qui si attesta
buona parte delle Organizzazioni
e delle Aziende di fascia Medio-
Grande, il cuore pulsante della
produzione, motore competitivo
del tessuto economico nazionale.
Nonostante la medaglia di legno
nell’infausta classifica, osservando
il   numero       di   account      email
coinvolti emerge un increscioso
fatto: la categoria dei Gruppi
Industriali qui si posiziona al
primo posto, con mediamente
più di 100 occorrenze di record
compromessi             pro      capite.
Cristallina indicazione di come le
minacce       cibernetiche    insistano
profondamente            su      questa
fondamentale parte del sistema produttivo italiano.
Quest’ultima analisi fornisce inoltre indicazione della rilevanza del fattore di esposizione e minaccia che
l’economia cybercriminale pone anche ai settori delle Infrastrutture, delle Pubbliche Amministrazioni, della
Formazione e della Sanità, oltre che né al settore Bancario, tradizionalmente oggetto di interessi criminali, le
quali si attestano su di un numero di occorrenze pro capite fluttuante tra i 40 ed i 70 record.

YRO225-R001-LM190207-1                              TLP:White                                                 16/18
Conclusioni
La scoperta della circolazione di una Raccolta di password ed account così ingente all’interno dell’ecosistema
criminale rappresenta un evento notevole a livello internazionale, con altrettanti importanti risvolti anche nel
panorama italiano. I dati all’interno delle Sette Collezioni non ne riguardano solamente una marginalità, al loro
interno sono presenti milioni di occorrenze riconducibili a numerose entità parte del tessuto produttivo
nazionale, oltre alla presenza di dati provenienti da centinaia di servizi e portali italiani vittime di attacchi hacker.
Quanto emerso in sede di analisi di questa Raccolta fornisce sì una serie di dati indicativi dell’esposizione italiana
e dei relativi rischi cibernetici, ma deve inoltre fungere da campanello di allarme per tutto l’ecosistema
produttivo. I volumi di credenziali esposti e l’economia cyber-criminale sono cresciuti: ne sono chiaro esempio
sia la quantità di campioni malware distinti intercettati negli anni, quasi raddoppiate negli ultimi cinque,
passando da 470 a 867 milioni (Fonte:AV-TEST), che ne l’ordine di grandezza delle raccolte di data breach in
circolazione nei mercati neri, ad oggi arrivate al TeraByte.
L’ammodernamento e la scelta di soluzioni di sicurezza idonee a rispondere alle sfide della digitalizzazione, alle
complessità infrastrutturali, ed all’evoluzione delle minacce cyber sono oramai un fattore chiave per la prosperità
futura di Aziende ed Organizzazioni, su tutte le fasce, a partire dai Grandi Gruppi sino alle Piccole e Medie
imprese, che permeano e caratterizzano il particolare tessuto produttivo nazionale.

YRO225-R001-LM190207-1                                TLP:White                                                  17/18
Yoroi S.r.l.
                                          www.yoroi.company
         Via G.B. Martini, 6                                              Piazza Sanguineti, 106
        00198 – Roma (Roma)                                                47521 – Cesena (FC)
                                                                            +39 (051) 0301005

                          Yoroi S.r.l. ® 2014-2019 - Tutti i diritti riservati

        Yoroi ® è un marchio registrato                        Registrazione N°: 016792947

YRO225-R001-LM190207-1                         TLP:White                                           18/18
Puoi anche leggere
DIAPOSITIVE SUCCESSIVE ... Annulla