Cybersecurity, il 2022 registra una proliferazione di attacchi record

Pubblicato il 19 luglio 2023
Proofpoint cybersecurity 2023

Proofpoint ha pubblicato il suo report di cybersecurity annuale Human Factor, che evidenzia come, dopo due anni di sconvolgimenti legati alla pandemia, il 2022 abbia rappresentato un ritorno alle normali attività per i cybercriminali di tutto il mondo. Con la fine delle misure sanitarie ed economiche del Covid-19, gli attaccanti hanno dovuto trovare nuovi modi per continuare a operare, affinando le loro abilità di social engineering, rendendo comuni tecniche di attacco un tempo sofisticate e cercando di identificare nuove opportunità creative.

Dall’incremento di attacchi – brute-force e mirati – rivolti ai tenant cloud all’aumento di azioni di smishing conversazionale fino alla proliferazione di bypass dell’autenticazione multifattoriale (MFA), il panorama delle attività cybercriminali ha visto sviluppi significativi su diversi fronti nel 2022.

“Con Microsoft 365 che costituisce un’ampia percentuale della superficie di attacco di un’organizzazione tradizionale, l’abuso esteso di questa piattaforma, dalle macro di Office ai documenti di OneNote, continua a definire il panorama delle minacce,” ha dichiarato Ryan Kalember, executive vice president, cybersecurity strategy di Proofpoint. “I controlli di sicurezza sono lentamente migliorati, ma gli attori delle minacce hanno innovato e scalato le loro strategie; tecniche come il superamento dell’MFA e l’invio di attacchi telefonici, una volta riservati al red team, sono ora comuni. Sebbene molti attori stiano ancora sperimentando, quello che rimane invariato è il loro concentrarsi sulle persone, che continuano a rappresentare la variabile più critica nella catena di attacco odierna.”

Human Factor è il report più completo del settore, realizzato da un unico vendor, e approfondisce i nuovi sviluppi nel panorama delle minacce, concentrandosi sulla combinazione di tecnologia e psicologia che rende i moderni attacchi informatici così pericolosi su tre principali sfaccettature di rischio per gli utenti: vulnerabilità, attacchi e privilegi. Il report si basa su uno dei più vasti e diversificati set di dati globali di cybersecurity del settore, relativi a email, cloud e mobile computing, provenienti da oltre 2,6 miliardi di messaggi email, 49 miliardi di URL, 1,9 miliardi di allegati, 28 milioni di account cloud, 1,7 miliardi di SMS sospetti e altro ancora.

Da tecniche complesse come il superamento dell’autenticazione a più fattori, ad attacchi telefonici e minacce conversazionali che si basano esclusivamente sulle capacità dei cybercriminali di trarre in inganno la vittima, il 2022 si è rivelato un anno di creatività senza precedenti tra gli attori delle minacce, che hanno modificato le catene di attacco, testando ed eliminando rapidamente i metodi di consegna.

L’uso delle macro di Office è crollato dopo l’introduzione dei controlli da parte di Microsoft per bloccarle: dopo quasi tre decenni come metodo popolare di distribuzione del malware, le macro di Office hanno finalmente iniziato a diminuire dopo che Microsoft ha cambiato il modo in cui il proprio software gestisce i file scaricati dal web. Le modifiche hanno dato il via a una continua sperimentazione da parte degli attori delle minacce, alla ricerca di tecniche alternative per compromettere gli obiettivi.

Gli attori delle minacce hanno iniziato a combinare il proprio ingegno con nuovi livelli di precisione e pazienza: minacce quali smishing conversazionale e pig butchering, che iniziano con l’invio di messaggi apparentemente innocui, sono aumentate lo scorso anno. In ambito mobile, questa è stata la minaccia in più rapida crescita, con un volume dodici volte superiore. La consegna di attacchi orientati al telefono (TOAD) ha raggiunto un picco di 13 milioni di messaggi al mese. Diversi attori APT sponsorizzati da uno Stato hanno investito molto tempo nello scambio di messaggi benevoli con i loro obiettivi per costruire un rapporto nel corso di settimane e mesi.

I kit di phishing per superare l’MFA sono diventati onnipresenti, consentendo anche a criminali non tecnici di avviare una campagna di phishing: framework per il bypass dell’MFA come EvilProxy, Evilginx2 e NakedPages sono stati responsabili di oltre un milione di messaggi di phishing al mese.

L’infrastruttura legittima svolge un ruolo chiave nella realizzazione di molti attacchi basati su cloud e mostra i limiti delle protezioni basate su regole: la maggior parte delle organizzazioni ha affrontato minacce provenienti dai noti giganti del cloud, Microsoft e Amazon, la cui infrastruttura ospita innumerevoli servizi legittimi su cui le organizzazioni fanno affidamento.

Nuovi metodi di distribuzione hanno portato SocGholish nella top five delle minacce informatiche per volume di messaggi: con un nuovo metodo di distribuzione che coinvolge download drive-by e falsi aggiornamenti del browser, l’attore dietro la minaccia SocGholish – TA569 – è stato sempre più in grado di infettare i siti web per distribuire malware esclusivamente attraverso download drive-by, convincendo le vittime a scaricarlo attraverso falsi aggiornamenti del browser. Molti siti che ospitano il malware SocGholish non ne sono consapevoli, facendo proliferare ulteriormente la sua diffusione.

Le minacce al cloud sono diventate onnipresenti: il 94% dei tenant cloud viene preso di mira ogni mese da un attacco cloud – mirato o brute-force – con una frequenza pari a quella dei vettori email e mobile. Il numero di attacchi brute-force, in particolare lo spraying di password, è passato da una media mensile di 40 milioni nel 2022 a quasi 200 milioni a inizio 2023.

Abusare della notorietà dei grandi brand è una delle forme più semplici di ingegneria sociale: i prodotti e servizi Microsoft occupano quattro delle prime cinque posizioni tra i brand abusati, mentre Amazon è quello più sfruttato in assoluto.

Un accesso iniziale riuscito può portare rapidamente ad attacchi a livello di dominio, come l’infezione da ransomware o il furto di dati: il 40% di identità di amministratore mal configurate o “shadow” può essere sfruttato in un solo passaggio, come la reimpostazione di una password di dominio per elevare i privilegi. Inoltre, il 13% degli shadow admin è risultato già in possesso di privilegi di amministratore di dominio, consentendo agli attaccanti di raccogliere le credenziali e accedere ai sistemi aziendali. Circa il 10% degli endpoint ha una password di account privilegiato non protetto e il 26% di questi account esposti sono amministratori di dominio.

Emotet è tornato a essere il più importante attore di minacce al mondo, un anno dopo la chiusura della botnet da parte delle forze dell’ordine nel gennaio 2021: nonostante l’invio di oltre 25 milioni di messaggi nel 2022 – più del doppio del volume del secondo attore di minacce più importante – la presenza di Emotet è stata intermittente e il gruppo ha mostrato segni di rallentamento nell’adattarsi al panorama delle minacce post-macro.

Sebbene il crimine a sfondo finanziario domini ampiamente il panorama delle minacce, un singolo attacco anomalo da parte di un attore di Advanced Persistent Threat (APT) può avere un impatto massiccio: una grande campagna di TA471, un gruppo APT allineato alla Russia e impegnato nello spionaggio aziendale e governativo, ha spinto questo attore ai vertici della classifica del volume di messaggi APT. TA416, allineato allo Stato cinese, è stato uno dei più attivi. In particolare, nuove campagne significative di TA416 hanno coinciso con l’inizio della guerra tra Russia e Ucraina, prendendo di mira entità diplomatiche europee coinvolte nei servizi per rifugiati e immigrati.



Contenuti correlati

Scopri le novità scelte per te x