Fortinet ha annunciato i risultati del Global Threat Landscape Report relativo al primo semestre del 2020 e rilasciato dai suoi FortiGuard Labs.
Stando a quanto emerge dal rapporto, nei primi sei mesi di quest’anno si sarebbe registrato il drammatico incremento con cui i cybercriminali e gli stati-nazione hanno sfruttato la pandemia globale e l’aumentato lavoro da remoto come opportunità per mettere in atto un’ampia gamma di attacchi in tutto il mondo.
La capacità di adattarsi dei criminali informatici ha consentito loro di perpetrare varie ondate di attacchi che hanno utilizzato come leva la paura e l’incertezza del momento; inoltre, l’improvviso incremento del numero dei lavoratori da remoto ha ampliato molto rapidamente la superficie di attacco digitale.
Sebbene molti trend relativi alle minacce fossero correlati alla pandemia, alcune di esse avevano ancora i propri driver di azione. Ad esempio, il ransomware e gli attacchi che avevano come obiettivo i dispositivi IoT come l’operational technology (OT) non stanno diminuendo, ma si stanno piuttosto evolvendo per diventare ancora più mirati e sofisticati.
A livello globale, la maggior parte delle minacce sono state rilevate in tutto il mondo e in tutti gli ambiti, con alcune variazioni geografiche o per settori verticali.
Così come accaduto con la pandemia di COVID-19, una determinata minaccia può aver iniziato a diffondersi in un’area precisa per poi diffondersi ovunque, il che significa che molte aziende potrebbero trovarsi a doverla affrontare.
Ovviamente ci sono delle differenze regionali nei tassi di diffusione delle minacce, basate su fattori come policy, pratiche messe in atto e tattiche di response.
Come riferito in una nota ufficiale da Derek Manky, Chief, Security Insights & Global Threat Alliances dei FortiGuard Labs: «I primi sei mesi del 2020 hanno testimoniato un panorama delle minacce informatiche senza precedenti. Il drammatico incremento e la rapida evoluzione dei metodi di attacco dimostrano l’agilità dei criminali informatici, che cambiano rapidamente le proprie strategie per massimizzare i recenti eventi globali collegati alla pandemia di COVID-19. Mai prima d’ora abbiamo avuto un quadro più chiaro di come le organizzazioni debbano adattare le proprie strategie di difesa per tener pienamente conto dell’estensione sin dentro casa del perimetro del network. Per le aziende è fondamentale adottare misure volte a proteggere i propri dipendenti in remoto e, nel lungo termine, i propri dispositivi e le reti domestiche. Per poter reagire ai virus informatici è buona cosa considerare l’adozione della stessa strategia che stiamo già applicando nel mondo reale. Il cyber-social distancing consiste nel saper riconoscere i rischi e mantenere le distanze da essi».
I cybercriminali sanno cogliere l’opportunità che si nasconde dietro a eventi di natura globale: i criminali informatici hanno già sfruttato in passato temi di attualità come esche per il social engineering, ma questa tattica ha raggiunto un nuovo livello nella prima metà dell’anno in corso.
Dai phisher agli stati-nazione, i cybercriminali hanno trovato molteplici modalità per sfruttare la pandemia globale a loro beneficio su vasta scala.
Tra queste, strategie di phishing e business e-mail compromise, campagne nation-state-backed e attacchi ransomware. I criminali informatici hanno lavorato per massimizzare la combinazione tra la natura di una pandemia che ha colpito tutti nel mondo e l’improvvisa espansione della superficie di attacco digitale. Queste tendenze dimostrano quanto velocemente gli hacker possono muoversi per trarre vantaggio dai principali eventi di attualità che abbiano un ampio impatto sociale a livello globale.
Il perimetro si estende in ambiente domestico
L’incremento del lavoro in remoto ha creato – quasi da un giorno all’altro – un’inversione nella struttura delle reti aziendali, in cui i cyber-criminali hanno immediatamente visto un’opportunità da sfruttare.
Nella prima metà del 2020, i tentativi di exploit contro diversi router di livello consumer e dispositivi IoT erano in cima alla lista dei rilevamenti IPS. Mirai e Gh0st hanno dominato l’elenco dei rilevamenti di botnet più diffusi, grazie al crescente interesse degli hacker verso le vulnerabilità, vecchie e nuove, nei prodotti IoT.
Queste tendenze dimostrano come il perimetro della rete si sia esteso in ambiente domestico, e come i criminali informatici stiano cercando di violare le reti aziendali sfruttando i dispositivi che i lavoratori da remoto potrebbero utilizzare per connettersi.
Anche i browser sono nel mirino dei cybercriminali
Per i criminali informatici il passaggio al lavoro da remoto ha costituito un’opportunità senza precedenti per poter prendere di mira in molti modi gli utenti ignari. Ad esempio, il malware web-based, utilizzato nelle campagne di phishing e in altre tipologie di truffa, ha superato all’inizio di quest’anno il più tradizionale vettore di delivery tramite posta elettronica.
In effetti, una famiglia di malware che include tutte le varianti di truffe di phishing web-based e altre tipologie di esca si è classificata al primo posto nella lista dei malware nei mesi di gennaio e febbraio ed è uscita dalla top five soltanto a giugno.
Questo dato contribuisce a dimostrare il tentativo degli hacker di perpetrare attacchi nel momento in cui gli individui sono più vulnerabili, ovvero quando navigano sul web da casa. I browser, non solo i dispositivi, sono tra gli obiettivi principali dei criminali informatici proprio perché il loro target sono i lavoratori da remoto.
Il ransomware non sta scomparendo
Le minacce molto conosciute come il ransomware non sono diminuite negli ultimi sei mesi. Una serie di messaggi e allegati aventi come tema il COVID-19 sono stati utilizzati come esche in diverse campagne ransomware.
Un’altra tipologia di malware è stata scoperta mentre riscriveva il master boot record (MBR) dei computer prima di crittografare i dati. In aggiunta c’è stato un aumento degli incidenti ransomware in cui i cybercriminali non solo hanno preso in ostaggio i dati dell’azienda target, ma li hanno anche rubati utilizzando la minaccia della distribuzione su larga scala come leva aggiuntiva per tentare di estorcere il pagamento del riscatto.
Questa tendenza accresce notevolmente il rischio che le aziende possano perdere informazioni preziose o altri dati sensibili in futuri attacchi ransomware.
A livello globale, nessun settore è stato risparmiato dal ransomware: i dati mostrano che i cinque settori maggiormente presi di mira da questa tipologia di attacchi sono le telecomunicazioni, gli MSSP, l’istruzione, il governo e la tecnologia. Sfortunatamente, l’aumento della vendita del ransomware come servizio (RaaS) e l’evoluzione di alcune varianti indicano che la situazione non sta migliorando.
Le minacce OT dopo Stuxnet
Nel mese di giugno è caduto il decimo anniversario di Stuxnet, che è stato determinante nel processo di evoluzione delle minacce all’Operational Technology e alla relativa sicurezza.
Ora, molti anni dopo, i network OT rimangono un obiettivo primario per i cybercriminali. Il ransomware EKANS, diffusosi all’inizio di quest’anno, dimostra che i criminali informatici stanno continuando ad ampliare il focus degli attacchi ransomware per includere gli ambienti OT.
Inoltre, il framework di spionaggio Ramsay, progettato per la raccolta e l’esfiltrazione di file sensibili all’interno di reti air-gapped o ad accesso altamente limitato, dimostra la continua ricerca dei criminali informatici di nuove modalità per infiltrarsi in questa tipologia di reti.
La prevalenza di minacce che colpiscono i sistemi di controllo di supervisione e acquisizione dati (ovvero SCADA) e altri tipi di sistemi di controllo industriale (ICS) è inferiore in volume rispetto a quelle che interessano l’IT, ma ciò non sminuisce l’importanza di questo trend.
Mappare i trend nell’exploitation
Una revisione dell’elenco CVE mostra che il numero di nuove vulnerabilità pubblicate è aumentato negli ultimi anni, innescando discussioni sulla priorità delle patch.
Sembra che il 2020 potrebbe superare il record delle vulnerabilità pubblicate in un solo anno: le vulnerabilità identificate quest’anno infatti hanno anche il tasso di exploitation più basso mai registrato nei 20 anni di storia dell’elenco CVE.
Le vulnerabilità del 2018 hanno una prevalenza del fenomeno al 65%, la più alta, e più di un quarto delle organizzazioni ha registrato tentativi di exploit di 15 anni fa. Per i cybercriminali, sfruttare lo sviluppo su larga scala e la distribuzione tramite strumenti di hacking legittimi e malevoli continua a richiedere tempo.
Il perimetro del network si estende dentro le mura di casa
Con l’aumento della connettività, dei dispositivi e della continua necessità di lavoro da remoto, la superficie di attacco digitale si sta espandendo. Il perimetro della rete aziendale si estende fino alle case dei dipendenti e i criminali informatici in questa situazione cercano l’anello più debole e nuove opportunità di attacco.
Le aziende devono quindi prepararsi adottando misure concrete per proteggere i propri utenti, dispositivi e informazioni con modalità simili a quelle adottate per la rete aziendale.
Le organizzazioni che si occupano di Intelligence e analisi delle minacce possono essere di aiuto alle aziende fornendo loro una visione ampia man mano che il panorama si evolve, nonché un’analisi approfondita dei metodi di attacco, degli attori e delle nuove tattiche con l’obiettivo di potenziare le loro conoscenze informatiche.
La necessità di soluzioni di telelavoro che consentano un accesso sicuro alle risorse critiche, scalando per soddisfare le esigenze dell’intera forza lavoro rappresenta oggi una priorità assoluta. Solo una piattaforma di sicurezza informatica progettata per fornire visibilità e protezione complete sull’intera superficie di attacco digitale, comprese applicazioni multi-cloud e ambienti mobile, è in grado di proteggere i network, in costante evoluzione.