Il dato che emerge da “The Rise and Fall of the N-day Exploit Market in Cybercriminal Underground”, l’ultima ricerca Trend Micro, azienda di cybersecurity, è che il 22% degli exploit venduti nel mercato cybercriminale ha più di tre anni. È quindi assolutamente prioritario, per le aziende, focalizzare la propria attenzione e gli sforzi relativi al patching su quelle vulnerabilità che mettono più a rischio l’organizzazione, anche se “vecchie” di diversi anni.
“I criminali sono al corrente che le aziende lottano per stabilire le priorità e applicare tempestivamente le patch. La nostra ricerca mostra che i ritardi vengono spesso sfruttati dal mercato cybercriminale“, ha affermato Lisa Dolcini, Head of Marketing di Trend Micro Italia. “La validità di una vulnerabilità o di un exploit non è correlata alla disponibilità di una patch, gli exploit più vecchi sono più economici e quindi potrebbero essere più popolari tra i criminali che fanno acquisti nei forum underground. L’applicazione di patch virtuali rimane il modo migliore per mitigare i rischi di minacce note e sconosciute”.
Il report di ricerca sul mercato cybercriminale rivela diverse curiosità legate alle vulnerabilità e agli exploit legacy, ad esempio:
- L’exploit più vecchio venduto nel mercato cybercriminale era relativo alla vulnerabilità CVE-2012-0158, un RCE Microsoft;
- La vulnerabilità CVE-2016-5195, nota come exploit della “mucca sporca – dirty cow”, è ancora in corso dopo cinque anni;
- Nel 2020 WannaCry era ancora la famiglia di malware più rilevata e a marzo 2021 erano presenti oltre 700.000 dispositivi vulnerabili in tutto il mondo;
- Il 47% dei criminali informatici ha cercato di prendere di mira i prodotti Microsoft negli ultimi due anni.
Il rapporto rivela anche un calo, nel mercato cybercriminale, delle vulnerabilità zero-day e N-day negli ultimi due anni. Questo è dovuto in parte alla popolarità dei programmi di bug bounty, come la Zero Day Initiative di Trend Micro, ma anche all’incremento della modalità Access-as-a-Service come nuova forza nel mercato degli exploit. Un pacchetto Access-as-a-Service ha i vantaggi di un exploit e la maggior parte del lavoro è già stato fatto. I prezzi nell’underground partono da 1.000 USD.
Le diverse tendenze di mercato cybercriminale si stanno combinando e questo crea un rischio maggiore per le organizzazioni. Con quasi 50 nuove vulnerabilità scoperte al giorno, la pressione sui team di sicurezza, che si ingegnano per stabilire le priorità e distribuire patch tempestive, non è mai stata così grande. Oggi il tempo medio per avere una patch relativa a una nuova vulnerabilità è di circa 51 giorni. Per colmare questa lacuna nella sicurezza, è fondamentale il virtual patching, basato sulla tecnologia di prevenzione delle intrusioni, che offre un modo semplice per proteggere i sistemi vulnerabili, o a fine ciclo, da minacce note e sconosciute.
