Il peggioramento delle condizioni economiche potrebbe spingere un numero maggiore di persone a ricorrere alla criminalità informatica e diventare aggressori informatici per sbarcare il lunario, è questo l’esito della più recente ricerca pubblicata dal team Unit 42 di Palo Alto Networks, player mondiale specialista della sicurezza informatica.
Il rapporto “2022 Unit 42 Incident Response Report”, basato su un campione di oltre 600 casi di Incident Response (IR), mira ad aiutare CISO e team di sicurezza a comprendere i rischi emergenti e quali risorse investire per ridurre il rischio di attacco.
Unit 42 ha rilevato che il ransomware e la compromissione delle e-mail aziendali (BEC) rappresentano la principale tipologia di incidenti a cui il team IR ha risposto negli ultimi 12 mesi, rappresentando circa il 70% dei casi.
“Il crimine informatico è un’attività facile da intraprendere perché caratterizzato da costi contenuti e ritorni spesso elevati. Gli aggressori informatici non qualificati o alle prime armi possono facilmente accedere a strumenti come l’hacking-as-a-service sempre più diffusi e disponibili sul Dark Web”, ha dichiarato Wendi Whitmore, SVP e Head of Unit 42 di Palo Alto Networks. “I creatori di ransomware si sono anche organizzati con un servizio clienti e sondaggi di soddisfazione”.
Unit 42 ha inoltre rilevato che il 75% dei casi di minaccia insider coinvolge ex-dipendenti. “L’attuale volatilità economica impone alle aziende di concentrarsi sulla protezione dalle minacce interne: gli aggressori informatici cercano attivamente i dipendenti sul web e offrono denaro per accedere alle loro credenziali”, ha aggiunto Wendi Whitmore.
I principali highlight della ricerca includono:
- Ransomware
Ogni quattro ore viene pubblicata sui siti di leak una nuova vittima di ransomware. L’identificazione precoce di questa tipologia di attività è fondamentale. In genere, gli attori del ransomware vengono scoperti solo dopo che i file sono stati criptati e l’organizzazione vittima riceve una richiesta di riscatto. Unit 42 ha identificato che il tempo di permanenza medio (ovvero il tempo che gli attori delle minacce trascorrono in un ambiente mirato prima di essere individuati) è di 28 giorni. Le richieste di riscatto hanno raggiunto i 30 milioni di dollari, mentre i pagamenti effettivi sfiorano gli 8 milioni di dollari, in aumento rispetto ai risultati del Ransomware Report di Unit 42 del 2022. Sempre più spesso, le aziende colpite possono aspettarsi una doppia estorsione, che prevede la diffusione di informazioni sensibili se non viene pagato il riscatto. Il settore finanziario e quello immobiliare sono quelli che hanno ricevuto le richieste di riscatto più alte, con una media di quasi 8 milioni di dollari e 5,2 milioni di dollari, rispettivamente.
- BEC
I cybercriminali hanno utilizzato una varietà di tecniche per compromettere le e-mail aziendali. Forme di social engineering come il phishing offrono un modo facile ed economico per ottenere accessi con un rischio basso di identificazione. Secondo la ricerca, in molti casi gli aggressori informatici chiedono semplicemente ai loro inconsapevoli bersagli di consegnare le credenziali – e le ottengono. Una volta entrati, il tempo medio di permanenza è stato di 38 giorni e l’importo medio rubato di 286.000 dollari.
- Settori colpiti
Molti aggressori informatici sono opportunisti e si limitano a scandagliare Internet alla ricerca di sistemi con vulnerabilità note. Unit 42 ha identificato finanza, servizi professionali e legali, industria manifatturiera, sanità, tecnologia, commercio all’ingrosso e al dettaglio i settori più colpiti.
La ricerca rivela inoltre alcune statistiche relative ai casi di IR che gli aggressori informatici non vogliono farvi sapere:
- I tre principali vettori di accesso iniziali utilizzati sono stati il phishing, lo sfruttamento di vulnerabilità note del software e gli attacchi con credenziali a forza bruta, incentrati principalmente sul protocollo di desktop remoto (RDP). Insieme, questi vettori di attacco costituiscono il 77% delle cause principali delle intrusioni sospette.
- ProxyShell ha rappresentato più della metà di tutte le vulnerabilità sfruttate per l’accesso iniziale (55%), seguito da Log4J (14%), SonicWall (7%), ProxyLogon (5%) e Zoho ManageEngine ADSelfService Plus (4%).
- Nella metà dei casi di IR, gli investigatori hanno scoperto che le organizzazioni non disponevano dell’autenticazione a più fattori sui sistemi critici rivolti a Internet, come la webmail aziendale, le soluzioni di rete privata virtuale (VPN) o altre soluzioni di accesso remoto.
- Nel 13% dei casi, le aziende non disponevano di misure di mitigazione per garantire il blocco dell’account in caso di attacchi con credenziali brute-force.
- Nel 28% dei casi, la presenza di procedure di gestione delle patch inadeguate ha contribuito al successo delle minacce.
- Nel 44% dei casi, le organizzazioni non disponevano di una soluzione di sicurezza per il rilevamento e la risposta degli endpoint (EDR) o per il rilevamento e la risposta estesi (XDR), oppure non era completamente implementata sui sistemi inizialmente colpiti.