Annunciati oggi i risultati dell’ultimo Global Threat Landscape Report di Fortinet. Secondo la ricerca, i criminali informatici stanno evolvendo i metodi di attacco per aumentare le probabilità di successo e accelerarne la diffusione. Mentre il ransomware continua a incidere sulle organizzazioni in maniera distruttiva, alcuni indicatori rivelano che i criminali informatici preferiscono ora i sistemi di dirottamento e li usano per il cryptomining piuttosto che tenerli in ostaggio per chiedere un riscatto.
I metodi di attacco della criminalità informatica si evolvono per essere efficaci in maniera rapida e su scala
I criminali informatici sono più sofisticati nell’uso del malware e nello sfruttamento di nuove vulnerabilità zero-day annunciate per attaccare in maniera rapida e su vasta scala. Mentre il numero di rilevazioni di exploit per impresa è diminuito del 13% nel primo trimestre del 2018, il numero di rilevamenti di exploit unici è cresciuto di oltre l’11%, mentre il 73% delle aziende ha registrato un grave exploit.
- Picchi di cryptojacking: il malware si sta evolvendo diventando sempre più difficile da prevenire e rilevare. La prevalenza del malware cryptomining è più che raddoppiata da un trimestre all’altro passando dal 13% al 28%. Inoltre, il criptojacking è risultato maggiormente diffuso in Medio Oriente, America Latina e Africa. Anche il malware criptojacking sta mostrando un’incredibile diversità per una minaccia relativamente nuova. I criminali informatici stanno creando malware più efficaci senza alcun file per iniettare il codice infetto nei browser con una minore probabilità di rilevamento. Gli hackerhanno come obiettivo più sistemi operativi e diverse criptovalute, tra cui Bitcoin e Monero. Stanno inoltre perfezionando e adottando tecniche di consegna e propagazione di altre minacce sulla base di ciò che ha avuto successo o meno per migliorare le probabilità di efficacia future.
- Attacchi mirati per il massimo impatto: l’impatto del malware distruttivo rimane elevato, in particolare quando i criminali lo combinano ad attacchi a firma dell’ideatore. Per questo genere di attacchi più mirati, gli hacker conducono una ricognizione significativa su un’organizzazione prima di lanciare un attacco, il che li aiuta ad aumentare le probabilità di successo. Successivamente, una volta permeata la rete, si spostano lateralmente attraverso la rete prima di attivare la parte più distruttiva del loro attacco pianificato. Il malware Olympic Destroyer e il più recente ransomware SamSam sono esempi in cui i criminali informatici combinano un attacco a una carica distruttiva per il massimo impatto.
- Il ransomware continua a disturbare: la crescita del volume e della sofisticazione del ransomware continua a rappresentare una sfida significativa per la sicurezza delle organizzazioni. Il ransomware continua ad evolversi, sfruttando nuovi canali di consegna come il social engineering e nuove tecniche come gli attacchi a più stadi per eludere il rilevamento e infettare i sistemi. Il ransomware GandCrab è emerso a gennaio con la peculiarità di essere il primo ransomware a richiedere la criptovaluta Dash come strumento di pagamento. BlackRuby e SamSam erano altre due varianti di ransomware emerse come principali minacce durante il primo trimestre del 2018.
- Vettori di attacco multipli: sebbene gli attacchi ai canali laterali soprannominati Meltdown e Spectre abbiano dominato i titoli dei giornali nel corso del trimestre, alcuni dei principali attacchi hanno preso di mira i dispositivi mobili o gli exploit noti su tecnologie router, web o Internet. Il 21% delle organizzazioni ha segnalato malware mobile, in aumento del 7%, a dimostrazione che i dispositivi IoT continuano a essere presi di mira. I criminali informatici continuano inoltre a riconoscere il valore dello sfruttamento delle vulnerabilità note che non sono state riparate e zero-day recentemente scoperti per maggiori opportunità. Microsoft ha continuato a essere il bersaglio numero uno per gli exploit, e i router si sono posizionati al secondo posto nel volume di attacco totale. Anche i Content Management Systems (CMS) e le tecnologie web oriented sono state fortemente presi di mira.
- Cyber Hygiene, più che semplici patch: misurando la durata delle infezioni botnet in base al numero di giorni consecutivi in cui vengono rilevate le comunicazioni continue, emerge che la cyber hygene richiede più che semplici patch. Si tratta anche di pulizia. I dati hanno mostrato che il 58,5% delle infezioni da botnet è stato rilevato e pulito lo stesso giorno. Il 17,6% delle botnet è rimasto per due giorni consecutivi e il 7,3% tre giorni. Circa il 5% è durato più di una settimana. Ad esempio, la botnet Andromeda è stata rimossa nel quarto trimestre 2017, ma i dati del primo trimestre successivo lo hanno rilevato con evidenza sia in termini di volume che di prevalenza.
- Attacchi contro la tecnologia operativa (OT): mentre gli attacchi OT rappresentano una percentuale minore nel panorama generale degli attacchi, le tendenze sono preoccupanti. Questo settore sta diventando sempre più connesso a Internet, con gravi conseguenze potenziali per la sicurezza. Attualmente, la stragrande maggioranza delle attività di exploit è diretta contro i due protocolli di comunicazione industriale più comuni perché sono ampiamente distribuiti e quindi altamente mirati. I dati mostrano che in Asia i tentativi di exploit ICS sembrano essere in qualche modo prevalenti rispetto all’attività di exploit ICS in altre Regioni.
La lotta alla criminalità informatica in evoluzione richiede una sicurezza integrata
I dati sulle minacce nel report di questo trimestre confermano molte delle previsioni presentate dal team di ricerca globale dei FortiGuard Labs Fortinet per il 2018, a dimostrazione del fatto che la migliore difesa contro le minacce intelligenti e automatiche è un tessuto di sicurezza integrato e automatizzato. È necessario un sistema di difesa della sicurezza altamente approfondito e proattivo per tenere il passo con la nuova generazione di attacchi automatizzati e basati su intelligenza artificiale.
“Stiamo affrontando una preoccupante convergenza di tendenze nel panorama della sicurezza informatica. I criminali informatici stanno dimostrando la loro efficienza e abilità nello sfruttare la superficie di attacco digitale in espansione, attraverso nuove minacce zero-day e massimizzando l’accessibilità del malware per perpetrare attacchi. Inoltre, i team IT e OT spesso non dispongono delle risorse necessarie per mantenere i sistemi adeguatamente protetti ed efficaci. Fortunatamente, l’implementazione di un tessuto di sicurezza che privilegia la velocità, l’integrazione, l’analisi avanzata e il processo decisionale basato sul rischio, può consentire una protezione completa a velocità e scalabilità della macchina,” ha dichiarato Phil Quade, chief information security officer di Fortinet.
