In tema di violazione dei dati, la minaccia cresciuta in modo più significativo nel corso del 2021 è il malware, coinvolto nel 30,1% delle violazioni nel 2021, rispetto al 17,4% nel 2020 e al 6,6% nel 2019.
Lo rilevano i dati della nuova edizione del Application Protection Report a cura degli F5 Labs, che sono tornati a tracciare una panoramica sullo scenario delle minacce informatiche documentandone l’evoluzione rispetto all’anno precedente, per chiarire la relazione tra le caratteristiche degli attacchi, gli obiettivi e il comportamento degli aggressori, in modo che i team di security possano ottimizzare le difese per adattarle e concentrarsi sulle minacce che colpiscono più spesso organizzazioni simili alla loro.
L’esplosione di ransomware nel corso della pandemia di COVID-19 era stata ben documentata dagli F5 Labs che hanno ipotizzato fin all’inizio del 2021 come le strategie di monetizzazione stessero cambiando. Sebbene il ransomware sia rimasto una tattica comune nelle violazioni dei dati, la sua segnalazione è leggermente diminuita nell’ultimo report rispetto al 2020. Un trend che secondo gli F5 Labs è dovuto proprio all’evoluzione delle tattiche del malware, ma che fornisce anche un indizio sul motivo per cui in generale, rispetto al 2020, i numeri sono diminuiti su tutta la linea.
Molte volte nel corso del 2021, le organizzazioni hanno rivelato la presenza di malware nel sistema e un’avvenuta sottrazione di dati senza specificare se si trattasse o meno di un ransomware o un evento di crittografia. Questo significa che molti incidenti presentano un livello di dettaglio molto basso. Nell’edizione precedente del report 125 violazioni su 728 (il 17,2%) non presentavano caratteristiche che permettessero di associarle o meno ai ransomware per mancanza di dettagli significativi nella comunicazione. Quest’anno 262 violazioni su 980 (il 26,7%) non hanno mostrato dettagli sufficienti. Per questo motivo, nell’analisi vengono considerati come indicatori più affidabili i trend che presentano variazioni maggiormente significative, come la crescita complessiva del malware o i cali legati agli exploit Web, o alla compromissione delle email aziendali.
Minore incidenza degli exploit Web
Anche se nel 2021 la percentuale di violazioni attribuibili agli exploit web è diminuita, il formjacking si è affermato come la tipologia di exploit Web predominante. Il trend è in calo dal 2019, quando gli exploit web hanno rappresentato il19% delle violazioni, ed è passato al 14,4 nel 2020 e al 10,4 nell’ultimo anno,
Gli attacchi di formjacking come Magecart hanno continuato a costituire la maggior parte degli exploit Web che hanno portato alla divulgazione di violazioni.
Sostanzialmente, gli exploit hanno assunto due forme: attacchi di formjacking alle carte di pagamento skim e lo sfruttamento di una delle quattro vulnerabilità note di Accellion FTA.
Il settore più colpito da exploit web come il formjacking si conferma commercio al dettaglio, un dato che non sorprende dato che è la tipologia di obiettivo per cui è stato sviluppato questo tipo di attacco.
Stabili le violazioni degli accessi
Un’ultima tendenza evidente, dopo il calo delle violazioni di accesso nel 2019 e nel 2020, è come la percentuale sia rimasta sostanzialmente invariata nel 2021.
Sfortunatamente, questa tipologia di violazione spesso viene riferita con pochissimi dettagli, a parte il fatto che le email dei dipendenti sono state compromesse, e porta alla considerazione che il vero peso degli attacchi di phishing e di credential stuffing sia oggi ancora sottostimato, se si considera anche come la compromissione degli accessi si confermi come il punto di ingresso principale delle violazioni – 25,2% – per attacchi di phishing, brute force, o credential stuffing ad esempio.
Resta quindi forte e duraturo il trend degli attacchi di accesso, come primo passo di compromissione per molte altre catene di attacco.
Come concluso in una nota ufficiale alla stampa da Sander Vinberg, Senior Threat Evangelist di F5 Labs: «Il nostro report si basa principalmente sugli attacchi che hanno avuto successo e sull’analisi delle informazioni pubbliche sulle violazioni dei dati che le organizzazioni inviano agli organi giudiziari negli Stati Uniti. Questo ci ha permesso di tracciare uno scenario completo evidenziando i comportamenti e le caratteristiche di attacchi che avvengono in tutto il mondo, per poter comprendere e suggerire quali siano le misure di mitigazione della sicurezza informatica che nessuna organizzazione può permettersi di ignorare: dal back up dei dati all’isolamento delle applicazioni e il sandboxing fino alla segmentazione della rete, alla gestione degli account privilegiati ed altro ancora».