Mandiant Threat Intelligence ha calcolato che a fine 2021 erano 80 gli zero-day che sono stati usati: questo numero è più del doppio del volume già record registrato nel 2019. I gruppi State-Sponsored continuano ad essere i principali aggressori che sfruttano le vulnerabilità zero-day, in testa ci sono i gruppi cinesi. Anche il numero degli aggressori motivati dall’ottenere un ritorno economico, hanno sfruttato diversi zero-day, in particolare i gruppi ransomware. Quasi 1 aggressore su 3, che ha sfruttato degli zero-day nel corso del 2021, era motivato da una finalità di guadagno economico. Gli aggressori hanno sfruttato diversi zero-day in particolare per i prodotti Microsoft, Apple e Google. Il grande incremento nello sfruttamento degli zero-day che c’è stato nel 2021, così come la diversificazione delle diverse tipologie di aggressori che li usano, aumenta i rischi per le organizzazioni a livello globale in quasi tutti i settori industriali.
Mandiant ha analizzato più di 200 vulnerabilità zero-day dal 2012 al 2021. Come zero-day, Mandiant intende l’uso di una vulnerabilità’ prima che una patch sia resa pubblica.
Nel 2021 lo sfruttamento degli zero-day ha raggiunto il massimo storico
Lo sfruttamento di vulnerabilità zero-day è aumentato dal 2012 al 2021 e Mandiant Threat Intelligence ritiene che il numero continuerà a crescere annualmente. A fine del 2021 erano stati identificati 80 zero-day, più del doppio del precedente record nel 2019 che era di 32.
“A nostro avviso ci sono diversi fattori che hanno contribuito a far cresce il numero degli zero-day”, dichiara Gabriele Zanoni, Consulting Country Manager di Mandiant Italia. “L’adozione di sevizi cloud, i dispositivi mobili e l’Internet of Things hanno aumentato sia il volume e sia complessità degli ambienti che sono connessi a Internet: sostanzialmente ‘più’ software’ porta ad avere ‘più vulnerabilità nel software’”.
Anche l’espansione del mercato degli exploit probabilmente sta contribuendo a questa crescita, oggigiorno c’è un maggior numero di persone che si dedicano alla ricerca e allo sviluppo degli zero-day, sia per conto di aziende private e ricercatori sia da parte degli aggressori. Inoltre, il miglioramento dei sistemi di difesa permette ai team di cyber security di rilevare un maggior numero di zero-day rispetto agli anni precedenti e diverse organizzazioni hanno rafforzato i propri protocolli di sicurezza per ridurre le compromissioni che avvenivano attraverso altri vettori di attacco.
I gruppi State-Sponsored dominano ancora, ma cresce anche lo sfruttamento zero-day da parte di chi vuole ottenere un ritorno economico
I gruppi di spionaggio State-Sponsored continuano a essere gli aggressori principali che sfruttano questa tipologia di vulnerabilità, anche se la percentuale di aggressori motivati dall’ottenere un ritorno economico e che utilizzano gli exploit zero-day è in crescita. Infatti, dal 2014 al 2018 Mandiant ha osservato solo una piccola percentuale di questa tipologia di aggressori sfruttare tali vulnerabilità. Al termine del 2021, però, il numero è cresciuto fino a 1 su 3. In aggiunta, Mandiant ha rilevato nuovi cluster di aggressori che sfruttano zero-day, tuttavia, lo studio delle relative motivazioni è ancora in corso.
I gruppi cinesi costantemente sfruttano gli zero-day
Durante il corso del 2021 Mandiant ha identificato che il più alto volume di zero-day è stato sfruttato da gruppi di spionaggio informatico cinesi, seguono poi gli aggressori provenienti da Russia e Corea del Nord.
Dal 2012 al 2021 la Cina ha sfruttato più zero-day di ogni altra Nazione.
Mandiant, tuttavia, ha osservato una crescita nel numero delle Nazioni che li sfruttano, arrivando a tracciarne almeno 10 a partire dal 2012.
Broker di exploit
A partire dalla fine del 2017, Mandiant ha osservato un significativo aumento del numero di zero-day sfruttati da gruppi che sa essere clienti o sospettati di essere clienti di aziende private, fornitrici di zero-day oltre che di strumenti e servizi di “offensive security”.
A questo proposito Mandiant ha identificato, nel 2021, almeno sei vulnerabilità zero-day sfruttate da clienti che li hanno comprati da aziende di vendita di malware e zero-day, una di queste vulnerabilità era disponibile all’interno di due diversi strumenti di attacco sviluppati da due diverse aziende. Nel 2021, almeno cinque vulnerabilità zero-day sarebbero state sfruttate da una azienda israeliana.
Lo sfruttamento zero-day è anche collegato alle operazioni ransomware
A partire dal 2015 Mandiant ha osservato un forte calo delle vulnerabilità zero-day che erano una volta incluse nei kit di exploit dei criminali, probabilmente la causa è da ricercarsi tra diversi fattori, tra cui gli arresti di importanti sviluppatori di exploit.
“Tuttavia, non appena l’underground criminale si è focalizzato sugli attacchi ransomware abbiamo immediatamente osservato un nuovo aumento nell’uso di vulnerabilità zero-day”, aggiunge Zanoni. “Questa tendenza sembra indicare che i gruppi ransomware stiano iniziando a reclutare o ad acquisire tutte le competenze necessarie per sfruttare gli zero-day”.
Mandiant ha documentato una significativa crescita del ransomware sia in termini di quantità che di impatti. Sia i profitti, sia il fatto che l’ecosistema degli aggressori è sempre più esperto hanno fornito agli attaccanti due diverse opzioni per lo sviluppo e/o l’acquisizione di exploit zero-day: le risorse finanziarie e l’accesso a personale specializzato.
Mandiant nel 2021 ha osservato almeno due casi in cui aggressori diversi hanno sfruttato falle zero-day presenti in sistemi VPN per ottenere l’accesso alle reti delle vittime e, successivamente distribuire il ransomware.
I software famosi sono obiettivi popolari tra gli zero-day
Gli zero-day del 2021 che Mandiant ha analizzato sono relativi a 12 diversi produttori di software: le vulnerabilità presenti in prodotti Microsoft, Apple e Google rappresentano il 75% degli zero-day totali.
“Lo sfruttamento di exploit verso i software di questi grandi produttori resta significativo data la loro rilevanza e larga adozione, abbiamo però notato una crescente varietà di produttori presi di mira e questo può rendere complessa la prioritizzazione delle patch e comportare difficoltà per le aziende che non potranno più concentrarsi solamente su uno o due produttori”, afferma Zanoni.
Dal 2012 al 2017, Adobe è stato il secondo produttore più attaccato con quasi il 20% di tutti gli zero-day che avevano come target Adobe Flash. Da allora Mandiant ha osservato un calo significativo dello sfruttamento di exploit verso Adobe, quasi certamente a causa del ritiro di Flash dal mercato.
Previsioni
Mandiant ritiene che attacchi basati sullo sfruttamento di zero-day sono sempre più accessibili a una più ampia varietà di attori sia State-Sponsored sia motivati economicamente, come risultato della proliferazione di aziende che vendono exploit e di gruppi ransomware ora sono in grado di sviluppare o comprare exploit.
“Il grande aumento dello sfruttamento di vulnerabilità zero-day, in particolare nel 2021, aumenta i rischi per le aziende in ogni settore, indipendentemente dal settore industriale o dalla geografia di appartenenza”, conclude Zanoni.
Implicazioni per la prioritizzazione delle patch
Molte organizzazioni continuano ad avere difficoltà nel dare priorità alle patch in maniera efficace, in modo da minimizzare i rischi relativi allo sfruttamento delle vulnerabilità. Mandiant ritiene che sia importante progettare una strategia difensiva che dia priorità alle minacce che possiedono maggiori probabilità di avere un impatto sull’ambiente della vittima e a quelle che potrebbero causare danni maggiori, iniziando da quelle che si sa essere sfruttate in modo attivo dagli aggressori. Non appena le organizzazioni possiedono un quadro chiaro degli aggressori, delle famiglie di malware, delle campagne e delle tattiche più rilevanti per loro, acquisiscono la possibilità di dare priorità più precise alle minacce specialmente se collegate allo sfruttamento attivo di qualche vulnerabilità.
Una vulnerabilità a basso rischio, che viene attivamente sfruttata, ha potenzialmente un maggior impatto rispetto a una che nonostante un rating più elevato non è ancora attivamente sfruttata. Una nuova direttiva del CISA a questo proposito pone una significativa attenzione su quelle vulnerabilità che sono segnalate come attivamente sfruttate. Mandiant ritiene che questo aiuterà fortemente ad aumentare la sicurezza e a rafforzare le procedure di gestione delle patch.
Mentre lo sfruttamento zero-day si sta espandendo, gli attaccanti continuano a sfruttare anche le vulnerabilità già note, spesso poco dopo la loro divulgazione. Pertanto, la sicurezza può essere migliorata incorporando nei piani di sicurezza la comprensione della finestra tra divulgazione di una vulnerabilità e il suo sfruttamento.
Inoltre, anche se un’organizzazione non è in grado di applicare tempestivamente le mitigazioni su tutti i propri sistemi prima che si verifichi un attacco, si dovrebbe sempre considerare l’opzione di prioritizzare quali sistemi debbano essere patchati per primi.
I ritardi nelle patch e nell’uso di sistemi di mitigazione non fanno altro che aumentare il rischio che un’organizzazione venga colpita.