Cybersecurity, il 2022 registra una proliferazione di attacchi record
Proofpoint ha pubblicato il suo report di cybersecurity annuale Human Factor, che evidenzia come, dopo due anni di sconvolgimenti legati alla pandemia, il 2022 abbia rappresentato un ritorno alle normali attività per i cybercriminali di tutto il mondo. Con la fine delle misure sanitarie ed economiche del Covid-19, gli attaccanti hanno dovuto trovare nuovi modi per continuare a operare, affinando le loro abilità di social engineering, rendendo comuni tecniche di attacco un tempo sofisticate e cercando di identificare nuove opportunità creative.
Dall’incremento di attacchi – brute-force e mirati – rivolti ai tenant cloud all’aumento di azioni di smishing conversazionale fino alla proliferazione di bypass dell’autenticazione multifattoriale (MFA), il panorama delle attività cybercriminali ha visto sviluppi significativi su diversi fronti nel 2022.
“Con Microsoft 365 che costituisce un’ampia percentuale della superficie di attacco di un’organizzazione tradizionale, l’abuso esteso di questa piattaforma, dalle macro di Office ai documenti di OneNote, continua a definire il panorama delle minacce,” ha dichiarato Ryan Kalember, executive vice president, cybersecurity strategy di Proofpoint. “I controlli di sicurezza sono lentamente migliorati, ma gli attori delle minacce hanno innovato e scalato le loro strategie; tecniche come il superamento dell’MFA e l’invio di attacchi telefonici, una volta riservati al red team, sono ora comuni. Sebbene molti attori stiano ancora sperimentando, quello che rimane invariato è il loro concentrarsi sulle persone, che continuano a rappresentare la variabile più critica nella catena di attacco odierna.”
Human Factor è il report più completo del settore, realizzato da un unico vendor, e approfondisce i nuovi sviluppi nel panorama delle minacce, concentrandosi sulla combinazione di tecnologia e psicologia che rende i moderni attacchi informatici così pericolosi su tre principali sfaccettature di rischio per gli utenti: vulnerabilità, attacchi e privilegi. Il report si basa su uno dei più vasti e diversificati set di dati globali di cybersecurity del settore, relativi a email, cloud e mobile computing, provenienti da oltre 2,6 miliardi di messaggi email, 49 miliardi di URL, 1,9 miliardi di allegati, 28 milioni di account cloud, 1,7 miliardi di SMS sospetti e altro ancora.
Da tecniche complesse come il superamento dell’autenticazione a più fattori, ad attacchi telefonici e minacce conversazionali che si basano esclusivamente sulle capacità dei cybercriminali di trarre in inganno la vittima, il 2022 si è rivelato un anno di creatività senza precedenti tra gli attori delle minacce, che hanno modificato le catene di attacco, testando ed eliminando rapidamente i metodi di consegna.
L’uso delle macro di Office è crollato dopo l’introduzione dei controlli da parte di Microsoft per bloccarle: dopo quasi tre decenni come metodo popolare di distribuzione del malware, le macro di Office hanno finalmente iniziato a diminuire dopo che Microsoft ha cambiato il modo in cui il proprio software gestisce i file scaricati dal web. Le modifiche hanno dato il via a una continua sperimentazione da parte degli attori delle minacce, alla ricerca di tecniche alternative per compromettere gli obiettivi.
Gli attori delle minacce hanno iniziato a combinare il proprio ingegno con nuovi livelli di precisione e pazienza: minacce quali smishing conversazionale e pig butchering, che iniziano con l’invio di messaggi apparentemente innocui, sono aumentate lo scorso anno. In ambito mobile, questa è stata la minaccia in più rapida crescita, con un volume dodici volte superiore. La consegna di attacchi orientati al telefono (TOAD) ha raggiunto un picco di 13 milioni di messaggi al mese. Diversi attori APT sponsorizzati da uno Stato hanno investito molto tempo nello scambio di messaggi benevoli con i loro obiettivi per costruire un rapporto nel corso di settimane e mesi.
I kit di phishing per superare l’MFA sono diventati onnipresenti, consentendo anche a criminali non tecnici di avviare una campagna di phishing: framework per il bypass dell’MFA come EvilProxy, Evilginx2 e NakedPages sono stati responsabili di oltre un milione di messaggi di phishing al mese.
L’infrastruttura legittima svolge un ruolo chiave nella realizzazione di molti attacchi basati su cloud e mostra i limiti delle protezioni basate su regole: la maggior parte delle organizzazioni ha affrontato minacce provenienti dai noti giganti del cloud, Microsoft e Amazon, la cui infrastruttura ospita innumerevoli servizi legittimi su cui le organizzazioni fanno affidamento.
Nuovi metodi di distribuzione hanno portato SocGholish nella top five delle minacce informatiche per volume di messaggi: con un nuovo metodo di distribuzione che coinvolge download drive-by e falsi aggiornamenti del browser, l’attore dietro la minaccia SocGholish – TA569 – è stato sempre più in grado di infettare i siti web per distribuire malware esclusivamente attraverso download drive-by, convincendo le vittime a scaricarlo attraverso falsi aggiornamenti del browser. Molti siti che ospitano il malware SocGholish non ne sono consapevoli, facendo proliferare ulteriormente la sua diffusione.
Le minacce al cloud sono diventate onnipresenti: il 94% dei tenant cloud viene preso di mira ogni mese da un attacco cloud – mirato o brute-force – con una frequenza pari a quella dei vettori email e mobile. Il numero di attacchi brute-force, in particolare lo spraying di password, è passato da una media mensile di 40 milioni nel 2022 a quasi 200 milioni a inizio 2023.
Abusare della notorietà dei grandi brand è una delle forme più semplici di ingegneria sociale: i prodotti e servizi Microsoft occupano quattro delle prime cinque posizioni tra i brand abusati, mentre Amazon è quello più sfruttato in assoluto.
Un accesso iniziale riuscito può portare rapidamente ad attacchi a livello di dominio, come l’infezione da ransomware o il furto di dati: il 40% di identità di amministratore mal configurate o “shadow” può essere sfruttato in un solo passaggio, come la reimpostazione di una password di dominio per elevare i privilegi. Inoltre, il 13% degli shadow admin è risultato già in possesso di privilegi di amministratore di dominio, consentendo agli attaccanti di raccogliere le credenziali e accedere ai sistemi aziendali. Circa il 10% degli endpoint ha una password di account privilegiato non protetto e il 26% di questi account esposti sono amministratori di dominio.
Emotet è tornato a essere il più importante attore di minacce al mondo, un anno dopo la chiusura della botnet da parte delle forze dell’ordine nel gennaio 2021: nonostante l’invio di oltre 25 milioni di messaggi nel 2022 – più del doppio del volume del secondo attore di minacce più importante – la presenza di Emotet è stata intermittente e il gruppo ha mostrato segni di rallentamento nell’adattarsi al panorama delle minacce post-macro.
Sebbene il crimine a sfondo finanziario domini ampiamente il panorama delle minacce, un singolo attacco anomalo da parte di un attore di Advanced Persistent Threat (APT) può avere un impatto massiccio: una grande campagna di TA471, un gruppo APT allineato alla Russia e impegnato nello spionaggio aziendale e governativo, ha spinto questo attore ai vertici della classifica del volume di messaggi APT. TA416, allineato allo Stato cinese, è stato uno dei più attivi. In particolare, nuove campagne significative di TA416 hanno coinciso con l’inizio della guerra tra Russia e Ucraina, prendendo di mira entità diplomatiche europee coinvolte nei servizi per rifugiati e immigrati.
Contenuti correlati
-
Le previsioni di Unit 42: Il 2025 sarà l’anno della disruption
Sam Rubin di Unit 42 di Palo Alto Networks analizza e condivide le tendenze di cybersecurity del 2025: “Anno delle interruzioni delle attività”, è questo il termine che contraddistinguerà il 2025, che si presenta come un periodo...
-
Investimenti digitali in Italia, +1,5% nel 2025 secondo gli Osservatori del PoliMi
Nonostante l’incertezza economica, le aziende italiane confermano gli investimenti nel digitale, ritenuto essenziale per mantenere competitività. Secondo i dati della ricerca degli Osservatori Startup Thinking e Digital Transformation Academy del Politecnico di Milano, per il 2025 si...
-
Digitalizzazione, IoT e cybersecurity: il nuovo volto del mobile hydraulics
Grazie alle tecnologie IoT, il comparto mobile hydraulics si dirige verso una continua integrazione tra automazione, connettività e gestione intelligente dei dati. Il settore mobile hydraulics sta attraversando una trasformazione senza precedenti. L’integrazione delle tecnologie IoT e...
-
Scuole e cybersecurity, ecco il patentino di cittadinanza digitale per gli studenti
“Noi cittadini digitali” è la nuova iniziativa di education di Trend Micro indirizzata agli studenti delle scuole italiane in collaborazione con Junior Achievement Italia, parte di Junior Achievement Worldwide, la più vasta organizzazione non profit al mondo...
-
Mancano 5 milioni di esperti di cybersecurity – e adesso?
ISC2, la principale organizzazione non-profit al mondo per i professionisti della sicurezza informatica, ha stimato che quest’anno la carenza di professionisti della cybersecurity raggiungerà quota 4,8 milioni, segnando una crescita del 19% su base annua. Il gap...
-
Non c’è innovazione senza cybersecurity: il caso Dolomiti Energia
La cybersecurity è diventata una priorità per le aziende, da quando la tecnologia e l’innovazione hanno permeato i processi di produzione e di comunicazione. Da questa consapevolezza è nata la necessità del Gruppo Dolomiti Energia, a seguito...
-
Omron Europe ottiene la certificazione IEC 62443-4-1
Il reparto di ricerca e sviluppo di Omron Europe BV ha ottenuto la certificazione per lo standard IEC 62443-4-1 sui requisiti per lo sviluppo sicuro dei prodotti durante il loro intero ciclo di vita. Questa certificazione, rilasciata dall’ente riconosciuto a...
-
Advantech lancia il servizio di certificazione IEC 62443
Advantech lancia il servizio di certificazione IEC 62443, pensato per le esigenze di certificazione delle apparecchiature di edge computing in conformità alla norma IEC 62443 e agli standard correlati. Advantech offre una soluzione completa per aumentare la...
-
PMI sotto attacco: la direttiva NIS2 apre una nuova fase per la cybersecurity
La direttiva NIS2 (Network and Information Security Directive) rappresenta l’occasione per introdurre una nuova consapevolezza nei consigli di amministrazione delle aziende, nell’ottica di elaborare una strategia di cybersecurity a lungo termine e incentivare la competitività garantendo la...
-
Stormshield Data Security ottiene la certificazione Cspn da Anssi
Stormshield, esperto europeo in cybersecurity, ha ottenuto la certificazione di livello 1 (CSPN) per la versione on-premise della sua soluzione di protezione dei dati Stormshield Data Security (SDS). Questo riconoscimento da parte dell’Agence nationale de la sécurité des...