Nel quadro delle minacce IT globali, il rischio aziendale ruota sempre più intorno ad alcune aree critiche, tra cui endpoint e workload in cloud, identità e i dati.
A dirlo sono i risultati del Global Threat Report 2022 di CrowdStrike che, giunto ormai alla sua ottava edizione, evidenzia un aumento degli attacchi ransomware e delle operazioni con impatto dirompente, delineando un’evoluzione dell’ecosistema eCrime.
Quest’anno l’analisi di CrowdStrike evidenzia, infatti, un aumento dell’82% delle fughe di dati causate dagli attacchi ransomware e il debutto di due nuovi avversari criminali (WOLF in Turchia e OCELOT in Colombia). Il report 2022 aggiunge 21 nuovi avversari a quelli monitorati in tutto il mondo.
Giunto, il Global Threat Report delinea inoltre nuove operazioni e tecniche da parte delle cosiddette Big Four: Iran, Cina, Russia e Corea del Nord. Esaminando le conseguenze degli attacchi Log4Shell, il rapporto mette in luce come gli avversari si stiano muovendo oltre il malware: 62% delle recenti rilevazioni sono infatti prive di malware.
Il rapporto, punto di riferimento di CrowdStrike Intelligence, documenta da un lato la continua evoluzione degli avversari nation-state affiliati e criminali e, dall’altro, l’aumento del livello di sofisticatezza, velocità e impatto degli attacchi ransomware mirati, delle operazioni dagli effetti dirompenti e degli attacchi legati al cloud nel 2021. I principali risultati emersi dal rapporto 2022 forniscono alle aziende le informazioni e gli insight necessari per innovare le loro strategie di sicurezza e difendere il proprio business dalle minacce informatiche, oggi sempre più prolifiche.
Minacce IT: continua l’espansione dei gruppi nation-state e criminali
Nel 2021, lo scenario delle minacce IT è apparso sempre più popolato e contraddistinto dalla nascita di nuovi avversari. Ad oggi, infatti, sono più di 170 quelli monitorati in totale da CrowdStrike Intelligence.
Ecco alcune delle principali rilevazioni:
- L’attività di eCrime motivata da questioni finanziarie continua a dominare i tentativi di intrusione interattiva tracciata da CrowdStrike OverWatch. Le intrusioni attribuite all’eCrime hanno rappresentato quasi la metà (49%) di tutte le attività osservate.
- Gli avversari basati in Iran adottano l’uso di ransomware e operazioni di “lock-and-leak”, usando il ransomware per crittografare le reti target e – successivamente – far trapelare le informazioni delle vittime attraverso profili o entità controllate dagli autori.
- Nel 2021, i Cina-nexus sono emersi come i principali autori in grado di sfruttare le vulnerabilità e hanno modificato le tattiche per prendere sempre più di mira i dispositivi e i servizi rivolti a Internet, come Microsoft Exchange. Secondo l’analisi di CrowdStrike Intelligence, gli autori Cina-nexus hanno sfruttato 12 vulnerabilità pubblicate nel 2021.
- L‘avversario Russia-nexus COZY BEAR espande i suoi obiettivi nel settore IT ai fornitori di servizi cloud, al fine di sfruttare le relazioni di fiducia da questi coltivate e guadagnare accesso ad ulteriori target attraverso il movimento laterale. Inoltre, FANCY BEAR aumenta l’utilizzo di tattiche di raccolta delle credenziali, comprese le tecniche di scansione su larga scala e attività di phishing dei siti web create ad hoc sulle vittime.
- La Repubblica Democratica Popolare di Corea (DPRK) ha preso di mira entità legate alla criptovaluta nel tentativo di continuare a generare lo stesso livello di profitti illeciti raggiunto durante le interruzioni economiche causate dalla pandemia da COVID-19.
- Gli autori di eCrime – inclusi gli affiliati DOPPEL SPIDER e WIZARD SPIDER – hanno adottato Log4Shell come vettore di accesso per consentire le operazioni ransomware. Gli attori sponsorizzati dagli stati, inclusi NEMESIS KITTEN (Iran) e AQUATIC PANDA (Cina), si sono affiliati probabilmente utilizzando Log4Shell prima della fine del 2021.
Lo spionaggio diventa sempre più sofisticato
Il rapporto evidenzia, per il 2021, una crescita e un impatto sorprendenti degli attacchi ransomware mirati, delle operazioni con impatto dirompente e degli attacchi legati al cloud, le cui conseguenze in quasi tutti i settori e i Paesi sono state evidenti.
- Nel 2021, CrowdStrike Intelligence ha osservato un aumento dell‘82% delle fughe di dati legate agli attacchi ransomware, con ben 2.686 attacchi registrati fino al 31 dicembre 2021, rispetto ai 1.474 avvenuti nel 2020.
- Il CrowdStrike eCrime Index (ECX) mostra come gli attacchi ransomware siano stati altamente redditizi per tutto il 2021. L’ECX mostra la forza, il volume e la sofisticatezza del mercato cyber-criminale ed è aggiornato settimanalmente sulla base di 20 indicatori unici dell’attività criminale; l’indice ha tracciato aspetti quali le vittime del Big Game Hunting, le fughe di dati e le domande di riscatto.Nel corso del 2021, il CrowdStrike eCrime Index ha riscontrato quanto segue:
- CrowdStrike ha osservato 721 incidenti di Big Game Hunting lo scorso anno;
- CrowdStrike Intelligence ha registrato una media di oltre 50 eventi ransomware mirati ogni settimana;
- le domande di riscatto legate ai ransomware sono state, in media, di $6.1 milioni per riscatto, con un aumento fino al 36% dal 2020;
- gli avversari sfruttano sempre di più le credenziali e l’identità rubate agli utenti per aggirare le soluzioni di sicurezza legacy – di tutte le rilevazioni indicizzate nel quarto trimestre del 2021, il 62% era infatti privo di malware.
Come sottolineato in una nota ufficiale da Adam Meyers, senior vice president of Intelligence di CrowdStrike: «Mentre i criminali informatici e gli avversari nation-state di tutto il mondo continuano ad adattarsi ad uno scenario in continua evoluzione e interconnesso, è fondamentale che le aziende facciano evolvere le loro tecniche di difesa contro queste minacce, integrando nuove tecnologie, soluzioni e strategie. La piattaforma CrowdStrike Falcon, alimentata da dati di intelligence a livello mondiale che sulla base dei quali viene redatto questo rapporto annuale, offre una gamma completa degli strumenti necessari a fornire rilevamenti della massima accuratezza, una protezione automatizzata e la capacità di neutralizzare necessaria a fermare le minacce sul nascere. Il Global Threat Report annuale dipinge un quadro che mostra come il rischio aziendale ruoti sempre più intorno a tre aree critiche – ovvero gli endpoint e workload in cloud, le identità e i dati – e fornisce una risorsa preziosa per le organizzazioni che cercano di rafforzare la loro strategia di sicurezza».
