“Attack Landscape Update: Ransomware 2.0, automated recon, supply chain attacks, and other trending threats” è il titolo dell’aggiornamento del rapporto sul panorama degli attacchi pubblicato dal fornitore di sicurezza informatica F-Secure.
In Ransomware 2.0 si evidenzia come attacchi ransomware per il furto di dati, malware per la raccolta di informazioni e attacchi alla supply chain sono tra le minacce più critiche per le organizzazioni.
Una delle tendenze più notevoli evidenziate nell’aggiornamento, infatti, è l’evoluzione del ransomware – attacchi che tentano di estorcere denaro alle organizzazioni impedendo loro di accedere ai loro dati. Il 2020 ha visto un’esplosione di ransomware che ruba anche i dati, dando agli attaccanti più potere sulle loro vittime. Se le organizzazioni si rifiutano di pagare un riscatto per decifrare i loro dati, gli attaccanti minacciano di diffondere le informazioni rubate, aumentando la pressione sulle vittime per costringerle a pagare.
Questa evoluzione, denominata nel rapporto Ransomware 2.0, è stata significativa nel 2020. Nel 2019, infatti, è stato osservato solo un gruppo ransomware che ha utilizzato questo tipo di estorsione. Alla fine del 2020, 15 diverse famiglie di ransomware avevano adottato questo approccio. Inoltre, è stato rilevato che quasi il 40% delle famiglie ransomware scoperte nel 2020, così come diverse famiglie più vecchie, abbiano rubato anche i dati delle vittime alla fine dello scorso anno.
La gestione di una potenziale perdita di dati è una sfida diversa
Come sottolineato in una nota ufficiale da Calvin Gan, Senior Manager della Tactical Defense Unit di F-Secure: «Le organizzazioni con backup affidabili e procedure di ripristino efficaci sono in una buona posizione per riprendersi da un attacco ransomware senza dover pagare. Tuttavia, la gestione di una potenziale perdita di dati è una sfida diversa, soprattutto per le organizzazioni che possiedono informazioni riservate. Gli attori del ransomware, attuali e futuri, si sentiranno probabilmente incoraggiati a provare nuove cose e sfruttare le vulnerabilità più velocemente, cosa che stiamo già vedendo con le recenti vulnerabilità di MS Exchange».
Sulla base degli sviluppi nella seconda metà del 2020, il rapporto evidenzia altre tendenze significative nell’ambito della sicurezza informatica, tra cui:
L’uso da parte degli attaccanti delle formule di Excel – una caratteristica predefinita che non può essere bloccata – per offuscare il codice dannoso è triplicato nella seconda metà del 2020.
Outlook è stato il marchio più popolare spoofato nelle email di phishing, seguito da Facebook e Office365.
Quasi tre quarti dei domini utilizzati per ospitare le pagine di phishing erano servizi di web hosting.
La posta elettronica ha rappresentato oltre la metà di tutti i tentativi di infezione da malware nel 2020, rendendola il metodo più comune di diffusione del malware negli attacchi informatici.
Il malware che raccoglie automaticamente dati e informazioni dalle vittime (infostealer) continua ad essere una minaccia; le due famiglie di malware più diffuse nella seconda metà del 2020 erano entrambe infostealer (Lokibot e Formbook).
Il 61% delle vulnerabilità trovate nelle reti aziendali è stato divulgato nel 2016 o prima, il che rende tali vulnerabilità vecchie di almeno 5 anni.
Inoltre, in uno sguardo retrospettivo ai notevoli attacchi alla supply chain degli ultimi 10 anni, il rapporto sottolinea che oltre la metà di essi ha preso di mira il software di utility o applicazioni ed esprime la speranza che l’hack di SolarWinds dell’anno scorso attiri una maggiore attenzione sull’impatto che questi attacchi possono avere.
Come concluso da Gan: «Nella sicurezza, poniamo molta enfasi sulle organizzazioni che si proteggono dotandosi di robusti perimetri di sicurezza, meccanismi di detection per identificare rapidamente le violazioni, piani di risposta e capacità per contenere le intrusioni. Tuttavia, le diverse entità, in maniera trasversale rispetto a tutti i settori e confini, hanno anche bisogno di lavorare insieme per affrontare le sfide di sicurezza più in alto nella catena di fornitura. I gruppi di advanced persistent threat (APT) sono chiaramente pronti e disposti a compromettere centinaia di organizzazioni attraverso questo approccio, e dovremmo lavorare insieme per contrastarli».