I cybercriminali ricercano continuamente nuove opportunità di attacco lungo tutta la superficie digitale. Allo stesso tempo, i criminali informatici stanno spostando i vettori di attacco – ad esempio prendendo di mira i servizi edge disponibili pubblicamente – per contrastare gli sforzi nella formazione e nell’education compiuti dalle aziende che affrontano tattiche popolari come il phishing.
È quanto emerge dall’ultimo Global Threat Landscape Report trimestrale di Fortinet, che riassume l’intelligence dei FortiGuard Labs, ovvero il risultato dei dati raccolti da una vasta gamma di sensori globali di Fortinet durante il terzo trimestre del 2019.
Lo studio offre insight sia globali che locali. Nel rapporto è incluso anche il Fortinet Threat Landscape Index (TLI), composto da singoli indici relativi a tre aspetti centrali e complementari del landscape, exploit, malware e botnet, suddivisi per prevalenza e volume nel trimestre esaminato.
Attività cybercriminale costante e sostenuta
Tra i dati contenuti nel report, si evidenzia come il Threat Landscape Index sia rimasto relativamente costante durante il trimestre. Ci sono state alcune fluttuazioni ma nessuna oscillazione significativa. Indipendentemente da questo dato, le aziende non dovrebbero abbassare la guardia, in quanto l’indice dimostra un’attività cybercriminale costante e sostenuta.
I punti salienti messi in luce dal Report
Cambiare tattica per cogliere le aziende di sorpresa: la maggior parte dei malware vengono veicolati via email; questa loro caratteristica ha fatto sì che molte aziende abbiano affrontato attacchi di fishing attraverso la formazione degli end user e tramite l’implementazione di tool avanzati di email security. Questo ha fatto in modo che i criminali informatici andassero alla ricerca di altri strumenti per la distribuzione di malware dannosi. Tra di essi troviamo il targeting di servizi edge rivolti al pubblico come per esempio le infrastrutture web e i protocolli di comunicazione di rete, così come l’elusione degli strumenti di blocco per aprire vettori di attacco che non si basano sulle tradizionali tattiche di phishing.
Ad esempio, in questo trimestre i FortiGuard Labs hanno identificato alcuni attacchi contro le vulnerabilità che avrebbero consentito l’esecuzione di codice che aveva come obiettivo da remoto i principali servizi edge in tutte le regioni. Sebbene questa tattica non sia nuova, cambiare le strategie in situazioni in cui i responsabili di sicurezza potrebbero abbassare la guardia, può essere un modo efficace per cogliere alla sprovvista le aziende e aumentare le possibilità di successo di un attacco. Tutto questo risulta particolarmente problematico specialmente se avviene, ad esempio, prima di un periodo in cui si prevede un picco dello shopping online.
Ottimizzare il potenziale di guadagno: seguendo le orme del redditizio ransomware GandCrab, che è stato reso disponibile nel dark web come soluzione Ransomware-as-a-Service (RaaS), i cybercriminali stanno lanciando nuovi servizi per espandere il proprio potenziale di guadagno. Istituendo un network di partner affiliati, i criminali informatici sono in grado di diffondere il più possibile i ransomware, e incrementare i propri guadagni in modo esponenziale. I FortiGuard Labs hanno individuato almeno due famiglie di ransomware da tenere d’occhio: Sodinokibi e Nemty – impiegate come soluzioni RaaS. Si tratta solo dell’inizio di quella che in futuro potrebbe trasformarsi in una vera e propria ondata di servizi simili a questi.
Affinare il malware per avere successo: i criminali informatici stanno sempre più perfezionando il malware per eludere il rilevamento e portare a termine attacchi sempre più sofisticati e dannosi, come nel caso del malware Emotet. Si tratta senza dubbio di uno sviluppo preoccupante per le organizzazioni in quanto i cybercriminali utilizzano con sempre maggior frequenza il malware per eliminare gli altri payload su sistemi infetti con l’obiettivo di massimizzare le proprie opportunità di guadagno. Di recente, gli hacker hanno iniziato a utilizzare Emotet come meccanismo di delivery del payload per ransomware, ladri di informazioni e trojan bancari tra cui TrickBot, IcedID e Zeus Panda. Inoltre, dirottando i thread di posta elettronica da fonti attendibili e inserendovi malware dannosi, i criminali informatici aumentano in modo significativo la probabilità che tali allegati vengano aperti dei destinatari.
Massimizzare le opportunità con vulnerabilità e botnet meno recenti: una strategia di attacco sempre efficace è quella che prevede di prendere di mira sistemi più datati e vulnerabili che non sono stati adeguatamente protetti. I FortiGuard Labs hanno infatti messo in luce come gli hacker prendano di mira le vulnerabilità anche di una dozzina – e più – di anni fa, con molta più frequenza rispetto a quelle più recenti. Tanto che, a partire da ogni anno successivo rispetto ad allora, attaccano le vulnerabilità allo stesso ritmo di quelle attuali.
In modo simile, il trend di massimizzare le opportunità attualmente esistenti si estende alle botnet. Più di qualsiasi altro tipo di minaccia, esse tendono a trascinarsi da un trimestre all’altro e da una regione all’altra a livello globale, e con pochi cambiamenti. Tale dato suggerisce che l’infrastruttura di controllo sia permanente rispetto a tool o capacità particolari e che i criminali informatici non solo tendono a portare avanti nuove opportunità, ma sfruttano l’infrastruttura esistente ogni volta che è possibile per aumentare l’efficienza e ridurre le spese.
Protezione dagli imprevisti. Sicurezza ampia, integrata e automatizzata: l’espansione della superficie di attacco e il cambiamento delle strategie dei criminali informatici sono fattori che evidenziano come le aziende non possano permettersi di concentrarsi eccessivamente su una serie ristretta di minacce e relativi trend. È essenziale che le imprese adottino un approccio olistico per proteggere i loro ambienti distribuiti e collegati in rete, operazione che richiede l’implementazione di un security fabric ampio, integrato e automatizzato.
Questo approccio consentirà alle organizzazioni di ridurre e gestire la superficie di attacco ampliando la visibilità attraverso tutti i dispositivi integrati, bloccando le minacce avanzate attraverso la prevenzione delle breach basata sull’intelligenza artificiale e riducendo la complessità attraverso operazioni automatizzate e l’orchestrazione. Inoltre la threat intelligence, che è dinamica, proattiva e disponibile in tempo reale, svolge un ruolo cruciale nell’individuare le tendenze seguendo l’evoluzione dei metodi di attacco e quindi individuando le priorità di cyber hygiene.
Come riferito in una nota ufficiale da Derek Manky, Chief, Security Insights & Global Threat Alliances di Fortinet: «I criminali informatici puntano sempre a essere un passo avanti rispetto ai professionisti della sicurezza informatica. Mentre sviluppano nuovi malware e attacchi zero-day, ripensano e adattano nuovamente tattiche precedentemente riuscite per massimizzare le opportunità su tutta la superficie di attacco. Oltre alle strategie essenziali come patching, segmentazione e training, le aziende devono far propri strumenti quali l’automazione e l’intelligenza artificiale per migliorare le proprie capacità di correlare l’intelligence delle minacce e rispondere in tempo reale. Questo approccio avrà successo solo quando le imprese integreranno tutte le loro risorse di sicurezza in un security fabric in grado di analizzare e adattarsi alla loro rete in rapida espansione».