I cybercriminali sono alla ricerca di nuove opportunità di attacco lungo tutta la superficie digitale. Allo stesso tempo stanno spostando i vettori di attacco - ad esempio prendendo di mira i servizi edge disponibili pubblicamente - per contrastare gli sforzi nella formazione e nell’education compiuti dalle aziende che affrontano tattiche popolari come il phishing.
Lo rivela l'ultimo Fortinet Threat Landscape Report relativo al terzo trimestre del 2019. Tra i dati contenuti nel report, si evidenzia come il Threat Landscape Index sia rimasto relativamente costante durante il trimestre.
Si evidenziano i punti salienti messi in luce dal Report:
Cambiare tattica per cogliere le aziende di sorpresa: la maggior parte dei malware vengono veicolati via email; questa loro caratteristica ha fatto sì che molte aziende abbiano affrontato attacchi di fishing attraverso la formazione degli end user e tramite l’implementazione di tool avanzati di email security. Questo ha fatto in modo che i criminali informatici andassero alla ricerca di altri strumenti per la distribuzione di malware dannosi. Tra di essi troviamo il targeting di servizi edge rivolti al pubblico come per esempio le infrastrutture web e i protocolli di comunicazione di rete, così come l’elusione degli strumenti di blocco per aprire vettori di attacco che non si basano sulle tradizionali tattiche di phishing.
Ad esempio, in questo trimestre i FortiGuard Labs hanno identificato alcuni attacchi contro le vulnerabilità che avrebbero consentito l'esecuzione di codice che aveva come obiettivo da remoto i principali servizi edge in tutte le regioni. Sebbene questa tattica non sia nuova, cambiare le strategie in situazioni in cui i responsabili di sicurezza potrebbero abbassare la guardia, può essere un modo efficace per cogliere alla sprovvista le aziende e aumentare le possibilità di successo di un attacco. Tutto questo risulta particolarmente problematico specialmente se avviene, ad esempio, prima di un periodo in cui si prevede un picco dello shopping online.
Ottimizzare il potenziale di guadagno: seguendo le orme del redditizio ransomware GandCrab, che è stato reso disponibile nel dark web come soluzione Ransomware-as-a-Service (RaaS), i cybercriminali stanno lanciando nuovi servizi per espandere il proprio potenziale di guadagno. Istituendo un network di partner affiliati, i criminali informatici sono in grado di diffondere il più possibile i ransomware, e incrementare i propri guadagni in modo esponenziale. I FortiGuard Labs hanno individuato almeno due famiglie di ransomware da tenere d’occhio: Sodinokibi e Nemty – impiegate come soluzioni RaaS. Si tratta solo dell’inizio di quella che in futuro potrebbe trasformarsi in una vera e propria ondata di servizi simili a questi.
Affinare il malware per avere successo: i criminali informatici stanno sempre più perfezionando il malware per eludere il rilevamento e portare a termine attacchi sempre più sofisticati e dannosi, come nel caso del malware Emotet. Si tratta senza dubbio di uno sviluppo preoccupante per le organizzazioni in quanto i cybercriminali utilizzano con sempre maggior frequenza il malware per eliminare gli altri payload su sistemi infetti con l’obiettivo di massimizzare le proprie opportunità di guadagno. Di recente, gli hacker hanno iniziato a utilizzare Emotet come meccanismo di delivery del payload per ransomware, ladri di informazioni e trojan bancari tra cui TrickBot, IcedID e Zeus Panda. Inoltre, dirottando i thread di posta elettronica da fonti attendibili e inserendovi malware dannosi, i criminali informatici aumentano in modo significativo la probabilità che tali allegati vengano aperti dei destinatari.
Massimizzare le opportunità con vulnerabilità e botnet meno recenti: una strategia di attacco sempre efficace è quella che prevede di prendere di mira sistemi più datati e vulnerabili che non sono stati adeguatamente protetti. I FortiGuard Labs hanno infatti messo in luce come gli hacker prendano di mira le vulnerabilità anche di una dozzina - e più - di anni fa, con molta più frequenza rispetto a quelle più recenti. Tanto che, a partire da ogni anno successivo rispetto ad allora, attaccano le vulnerabilità allo stesso ritmo di quelle attuali.
In modo simile, il trend di massimizzare le opportunità attualmente esistenti si estende alle botnet. Più di qualsiasi altro tipo di minaccia, esse tendono a trascinarsi da un trimestre all'altro e da una regione all'altra a livello globale, e con pochi cambiamenti. Tale dato suggerisce che l’infrastruttura di controllo sia permanente rispetto a tool o capacità particolari e che i criminali informatici non solo tendono a portare avanti nuove opportunità, ma sfruttano l'infrastruttura esistente ogni volta che è possibile per aumentare l'efficienza e ridurre le spese.
Protezione dagli imprevisti. Sicurezza ampia, integrata e automatizzata: l'espansione della superficie di attacco e il cambiamento delle strategie dei criminali informatici sono fattori che evidenziano come le aziende non possano permettersi di concentrarsi eccessivamente su una serie ristretta di minacce e relativi trend. È essenziale che le imprese adottino un approccio olistico per proteggere i loro ambienti distribuiti e collegati in rete, operazione che richiede l'implementazione di un security fabric ampio, integrato e automatizzato.
Questo approccio consentirà alle organizzazioni di ridurre e gestire la superficie di attacco ampliando la visibilità attraverso tutti i dispositivi integrati, bloccando le minacce avanzate attraverso la prevenzione delle breach basata sull'intelligenza artificiale e riducendo la complessità attraverso operazioni automatizzate e l’orchestrazione. Inoltre la threat intelligence, che è dinamica, proattiva e disponibile in tempo reale, svolge un ruolo cruciale nell'individuare le tendenze seguendo l'evoluzione dei metodi di attacco e quindi individuando le priorità di cyber hygiene.
“I criminali informatici puntano sempre a essere un passo avanti rispetto ai professionisti della sicurezza informatica", spiega Derek Manky, Chief, Security Insights & Global Threat Alliances di Fortinet. "Mentre sviluppano nuovi malware e attacchi zero-day, ripensano e adattano nuovamente tattiche precedentemente riuscite per massimizzare le opportunità su tutta la superficie di attacco. Oltre alle strategie essenziali come patching, segmentazione e training, le aziende devono far propri strumenti quali l'automazione e l'intelligenza artificiale per migliorare le proprie capacità di correlare l'intelligence delle minacce e rispondere in tempo reale. Questo approccio avrà successo solo quando le imprese integreranno tutte le loro risorse di sicurezza in un security fabric in grado di analizzare e adattarsi alla loro rete in rapida espansione.”