Ivanti, fornitore della piattaforma di automazione Ivanti Neurons che rileva, gestisce, protegge e supporta gli asset IT dal cloud all’edge, presenta i risultati del Q3 2021 Ransomware Index Spotlights Report condotto con Cyber Security Works e Cyware, fornitore di Cyber Fusion, SOAR di nuova generazione e soluzioni di threat intelligence. Il rapporto ha rivelato una costante crescita dei gruppi di ransomware in termini di precisione, pericolosità e volume, con numeri in aumento a partire dal Q2 2021. L’ultimo trimestre ha evidenziato all’incremento di nuovi attacchi ransonmware, anche un aumento del 4,5% delle CVE (Common Vulnerabilities and Exposures) associate al ransomware, la crescita dei trend e delle vulnerabilità attivamente sfruttate del 4,5%, l’aumento pari al 3,4% delle famiglie di ransomware esistenti, e un 1,2% di incremento delle vecchie vulnerabilità legate al ransomware rispetto al al Q2 2021.
L’analisi ha rilevato 12 nuove vulnerabilità legate al ransomware nel Q3 2021, portando a 278 il numero di casi associati a questa tipologia di attacco. Fra queste, cinque di esse sono in grado di eseguire attacchi di codici da remoto e due possono sfruttare le applicazioni web ed essere manipolate per lanciare degli attacchi di denial-of-service. Il rapporto ha anche rilevato come i gruppi di ransomware continuino a identificare e sfruttare le vulnerabilità zero-day, anticipando l’aggiunta delle CVE al National Vulnerability Database e il rilascio delle patch. Il gruppo REvil, ad esempio, ha individuato e sfruttato una vulnerabilità nel software Kaseya VSA mentre il team responsabile della sicurezza dell’azienda stava lavorando attivamente a una patch.
Nel rapporto emergono anche sei nuove vulnerabilità attive e di tendenza associate a nuovi attacchi ransonmware, portando il totale a 140, e cinque nuove famiglie di ransomware, per un totale di 151. Questi nuovi gruppi hanno sfruttato rapidamente alcune delle vulnerabilità, ad oggi, più pericolose, quali PrintNightmare, PetitPotam e ProxyShell, nel Q3. Le tecniche utilizzate da queste tipologie di attacchi sono rispettivamente il dropper-as-a-service e il trojan-as-a-service. La prima consente ai cybercriminali meno esperti di distribuire malware attraverso dei programmi che, se lanciati, possono eseguire un payload dannoso sul computer della vittima. La seconda, chiamata anche malware-as-a-service, consente a chiunque abbia una connessione Internet di ottenere e diffondere un malware personalizzato nel cloud, senza installazione.
In aggiunta, il rapporto sui nuovi attacchi ransonmware ha rilevato come tre vulnerabilità, risalenti al 2020, sono state nuovamente sfruttate dal ransomware nel Q3 2021, portando il totale delle stesse ad un totale di 258, pari al 92.4% di tutte le vulnerabilità legate al ransomware. Nel Q3, il gruppo ransowmare Cring ha individuato due vulnerabilità già conosciute, CVE-2009-3960 e CVE-2010-2861, che sono state sottoposte a delle patch per più di un decennio.
Srinivas Mukkamala, Senior Vice President of Security Products di Ivanti ha affermato: “I gruppi ransomware continuano a perfezionare le proprie tattiche, a espandere i loro strumenti di attacco, e a colpire vulnerabilità sprovviste di patch in tutte le superfici di attacco aziendali. Con questo rapporto sui nuovi attacchi ransonmware, miriamo a consapevolizzare le organizzazioni sul tema della sicurezza, sul rischio che corrono i propri endpoint e il loro ambiente, fornendo loro le informazioni necessarie a porre rimedio tempestivo alle minacce. Le organizzazioni devono adottare un approccio proattivo, basato sul rischio, per gestire le patch sfruttando le tecnologie di automazione e ridurre il tempo medio per rilevare, scoprire, rimediare e rispondere agli attacchi ransomware”.
Anuj Goel, CEO di Cyware ha commentato: “Questa ricerca sottolinea come il ransomware continui ad evolversi, diventando sempre più pericoloso e causando danni irreversibili alle organizzazioni in target. Ciò che è più complesso per molte organizzazioni è l’incapacità delle industry verticali di condividere rapidamente IOC specifici, volti a facilitare il coordinamento, la gestione di attività in automatico e l’esecuzione preventiva ancor prima che si verifichi un attacco. Gestire il rischio organizzativo significa che le aziende dovrebbero puntare a una strategia di difesa collettiva con una completa visibilità sulle superfici di attacco e di rischio, riducendo enormi perdite di reputazione, clienti e finanze. Per rispondere efficacemente e tempestivamente ai nuovi attacchi ransonmware, i team informatici possono sfruttare l’automazione e i processi IT“.
Aaron Sandeen, CEO di Cyber Security Works, ha detto: “Oltre all’aumento del volume e della precisione di questi nuovi attacchi ransonmware, nel Q3 abbiamo rilevato anche una maggiore maturità in materia di sicurezza informatica dei nostri clienti. Assieme siamo riusciti a ridurre i loro rischi, valutando continuamente le vulnerabilità e integrando le nostre informazioni nelle loro operazioni quotidiane, riducendo il tempo di intervento e l’implementazione di azioni correttive“.
