Fortinet: escalation di cyber-attacchi e attività ransomware nel 2021

Pubblicato il 16 settembre 2021
Fortinet ransomware 2021

Secondo i risultati del FortiGuard Labs Global Threat Landscape Report semestrale di Fortinet, la threat intelligence relativa alla prima metà del 2021 mette in luce un aumento significativo del volume e della sofisticazione degli attacchi rivolti a individui, organizzazioni e infrastrutture sempre più critiche. La superficie di attacco in espansione dei ‘lavoratori ibridi’ e degli studenti, collocati dentro e fuori la rete tradizionale, continua a rappresentare un chiaro bersaglio per i cybercriminali. Una collaborazione tempestiva tra le forze dell’ordine e i settori pubblico e privato può essere efficace per interrompere i meccanismi del cybercrime nei prossimi mesi.

“Stiamo assistendo a un aumento significativo di cyber attacchi efficaci e distruttivi che colpiscono migliaia di organizzazioni in un singolo incidente, creando un punto di inflessione rilevante per la guerra al crimine informatico. Ora più che mai, ognuno di noi ha un ruolo importante nel rafforzare la kill chain. Allineare le forze attraverso la collaborazione deve essere una priorità per interrompere le supply chain dei criminali informatici. I dati condivisi e la capacità di creare partnership possono consentire risposte più efficaci e prevedere meglio le tecniche che verranno utilizzate in futuro, per scoraggiare gli sforzi dei cybercriminali. La formazione continua in tema di cybersicurezza, così come la prevenzione alimentata dall’AI, il rilevamento e le tecnologie di risposta integrate attraverso gli endpoint, le reti e il cloud, rimangono strumenti vitali per contrastare i criminali informatici”. Spiega Derek Manky, Chief, Security Insights & Global Threat Alliances dei FortiGuard Labs.

Il ransomware è molto più del semplice denaro: i dati dei FortiGuard Labs mostrano che l’attività ransomware media settimanale a giugno 2021 è più che decuplicata se comparata ai livelli di un anno fa. Questo dato dimostra un aumento costante e complessivamente stabile su un periodo di un anno. Gli attacchi hanno paralizzato le supply chain di varie organizzazioni, in particolari settori di importanza critica, e hanno avuto un impatto sulla vita quotidiana, sulla produttività e sul commercio come mai prima d’ora. Le organizzazioni del settore delle telecomunicazioni sono state le più prese di mira, seguite dall’ambito governativo, dai managed security service provider, dal settore automotive e da quello manifatturiero. Inoltre, alcuni cybercriminali hanno spostato la loro strategia dai payload via e-mail per concentrarsi sull’acquisizione e la vendita dell’accesso iniziale alle reti aziendali, mettendo così ulteriormente in luce la continua evoluzione del Ransomware-as-a-Service (RaaS) che alimenta il crimine informatico. Alla luce di tutto ciò, è evidente che Il ransomware rimane un pericolo chiaro ed attuale per tutte le organizzazioni, indipendentemente dal settore in cui operano o dalle loro dimensioni. Le organizzazioni devono pertanto adottare un approccio proattivo, che preveda la protezione degli endpoint in tempo reale, il rilevamento e le soluzioni di risposta automatica per proteggere gli ambienti oltre a un approccio di accesso zero-trust unito a segmentazione della rete e crittografia.

Più di un’organizzazione su quattro ha rilevato la presenza di malvertising: la classifica dei malware più rilevanti suddivisi in base alle famiglie delle di minacce cui appartengono mostra un aumento del malvertising, dell’ingegneria sociale e dello scareware. Più di un’organizzazione su quattro ha rilevato tentativi di malvertising o scareware con la famiglia di malware Cryxos. Da notare inoltre come un grande volume di rilevamenti sia probabilmente combinato con altre campagne JavaScript simili che potrebbero essere considerate malvertising. Il lavoro ‘ibrido’ ha senza dubbio incoraggiato questa tendenza nelle tattiche dei criminali informatici, i quali cercano di sfruttarla puntando non solo a spaventare le loro vittime, ma anche all’estorsione. Una maggiore consapevolezza dell’importanza della cybersicurezza è sicuramente essenziale per fornire una formazione e un’educazione informatica tempestiva ai dipendenti per evitare di cadere vittima di scareware e tattiche di malvertising.

Il cybercrime attacca i margini delle reti tramite botnet: l’analisi delle botnet rilevate mostra un’impennata negli attacchi dei criminali informatici. All’inizio dell’anno, il 35% delle organizzazioni ha rilevato attività botnet di vario tipo, e sei mesi dopo tale dato era del 51%. Il picco verificatosi nel mese di giugno è dovuto all’incremento dell’attività di TrickBot, che è emerso sulla scena del crimine informatico come un trojan bancario, ma da allora è stato sviluppato in un toolkit sofisticato e multistadio a supporto di una serie di attività illecite. Nel complesso, Mirai è stato il malware prevalente; ha superato Gh0st all’inizio del 2020 e da allora ha prevalso fino al 2021. Mirai ha continuato ad aggiungere nuove armi informatiche al suo arsenale, ma è probabile che il suo dominio derivi almeno in parte dai criminali che cercano di sfruttare i dispositivi Internet-of-Things (IoT) utilizzati da chi lavora oppure studia da casa. Anche Gh0st è molto attivo, si tratta di una botnet di accesso remoto che permette ai cybercriminali di prendere il pieno controllo del sistema infetto, catturare le immagini della webcam e il feed del microfono, o di scaricare file.

A più di un anno dall’inizio del lavoro a distanza e dal cambio di rotta nelle modalità di insegnamento e apprendimento, i criminali informatici continuano a prendere di mira le abitudini degli utenti, per sfruttare le opportunità che ne derivano. Per proteggere le reti e le applicazioni, le organizzazioni hanno bisogno di approcci di accesso zero-trust per fornire i minimi privilegi di accesso agli utenti, in modo tale da  proteggersi da endpoint e dispositivi IoT che dovessero entrare nel network.

Se il crimine informatico viene contrastato, i volumi diminuiscono: nella sicurezza informatica non tutte le azioni hanno un effetto immediato o duraturo, ma diversi eventi che sono avvenuti nel 2021 mettono in luce sviluppi positivi per coloro che difendono le strutture informatiche. Lo sviluppatore originale di TrickBot è stato chiamato in giudizio con molteplici accuse a giugno. Inoltre, il takedown coordinato di Emotet, una delle operazioni di malware più prolifiche della storia recente, così come le azioni messe in campo per interrompere le operazioni di ransomware Egregor, NetWalker e Cl0p rappresentano uno slancio significativo per quanto riguarda la difesa informatica e chi la mette in pratica, compresi i governi di tutto il mondo e le forze dell’ordine, per contenere il crimine informatico. In aggiunta, il livello di attenzione che alcuni attacchi hanno suscitato ha messo in allarme alcuni cybercriminali che utilizzavano il ransomware come metodologia di attacco, che hanno annunciato la cessazione delle operazioni. I dati dei FortiGuard Labs mostrano un rallentamento delle attività connesse alle minacce informatiche dopo l’eliminazione di Emotet. L’attività relativa alle varianti di TrickBot e Ryuk è tuttavia persistita dopo che la botnet Emotet è stata messa offline, ma il suo volume è stato ridotto. Questo ricorda quanto sia difficile sradicare immediatamente le minacce o le supply chain degli hacker, ma questi eventi sono risultati importanti a prescindere.

Le tecniche di defense evasion e privilege escalation sono le preferite dai criminali informatici: la threat intelligence avanzata rivela preziosi spunti su come le tecniche di attacco si stiano attualmente evolvendo: i FortiGuard Labs hanno analizzato la funzionalità specifica inerente al malware rilevato, facendo detonare i sample per osservare quale fosse l’esito desiderato dai cyber-avversari. Il risultato di tale analisi è un elenco di azioni negative che il malware avrebbe compiuto se i payload di attacco fossero stati eseguiti negli ambienti di destinazione.

Tutto ciò mette in luce come i cyber-avversari abbiano, tra le altre cose, cercato di sfruttare la privilege escalation, eludere le difese, muoversi lateralmente attraverso i sistemi interni ed esfiltrare i dati compromessi. Per esempio, il 55% delle funzionalità di escalation osservate ha sfruttato l’hooking e il 40% ha utilizzato la project injection. C’è una indubbia attenzione alla defense evasion e alle tattiche di privilege escalation. Anche se queste tecniche non sono nuove, chi si occupa della difesa informatica sarà in grado di proteggersi meglio dagli attacchi futuri, se armato di una conoscenza tempestiva. Gli approcci basati su piattaforma integrati e guidati dall’intelligenza artificiale (AI), alimentati da una threat intelligence fattibile, sono essenziali per attuare una difesa efficace di tutti i confini del perimetro e per identificare e rimediare alle mutevoli minacce che le organizzazioni devono affrontare al giorno d’oggi in tempo reale.

Partnership, formazione e prevenzione, rilevamento e risposta basati sull’AI sono vitali: i governi e le forze dell’ordine hanno intrapreso azioni contro il crimine informatico in passato, tuttavia la prima metà del 2021 potrebbe essere un game-changer in termini di slancio per il futuro. Entrambe queste realtà stanno infatti lavorando per intraprendere azioni dirette contro i criminali informatici lavorando con fornitori del settore, organizzazioni di intelligence delle minacce e altre organizzazioni di partnership globale per combinare le risorse e l’intelligence in tempo reale. Indipendentemente da tutto ciò, il rilevamento automatico e l’IA rimangono essenziali per consentire alle organizzazioni di affrontare gli attacchi in tempo reale e di mitigarli in scala lungo tutto il perimetro. Inoltre è importante una formazione sulla consapevolezza degli utenti in relazione alla cybersicurezza, dato che chiunque è un potenziale un bersaglio di possibili attacchi informatici. Per questo motivo, tutti hanno bisogno di istruzioni regolari sulle migliori pratiche per mantenere sicuri i singoli dipendenti e le organizzazioni.

L’ultimo Global Threat Landscape Report di Fortinet riflette l’analisi collettiva dei FortiGuard Labs, tratta da una vasta gamma di sensori Fortinet che raccolgono miliardi di eventi e attacchi osservati in tutto il mondo nella seconda metà del 2021. Simile al modo in cui il framework Mitre Att&ck classifica le strategie e le tecniche di attacco, con i primi tre raggruppamenti che coprono la ricognizione, lo sviluppo delle risorse e l’accesso iniziale, il FortiGuard Labs Global Threat Landscape Report sfrutta questo modello per descrivere come gli attori delle minacce trovino le vulnerabilità, costruiscano infrastrutture dannose e sfruttino i loro obiettivi. Il report comprende sia insight globali che regionali.



Contenuti correlati

  • L’arma segreta nella corsa per la cybersecurity

    Le imprese hanno adottato ampiamente i data lake come metodo per consolidare le informazioni provenienti da più fonti e migliorare i risultati grazie ad analisi e automazione. I responsabili della sicurezza, di conseguenza, stanno lavorando per allineare...

  • E4 Federico Pinca HPC
    Cybersicurezza nazionale, l’HPC avrà un ruolo chiave

    Federico Pinca, HPC Architect di E4 Computer Engineering, spiega come il calcolo ad alte prestazioni possa giocare un ruolo importante in tema di innovazione e sicurezza Noi che siamo nativi digitali (nati negli anni ‘80) almeno una...

  • Lapp: la connessione come ‘ponte’ fra safety e security

    Si è tenuta a Bologna la giornata di lavori intitolata “Industrial Network Security: come proteggere le infrastrutture 4.0?” organizzata da Lapp Italia e dedicata alla sicurezza. “Nata nl 1959 come azienda famigliare, Lapp conta oggi più di...

  • Industry 4.0: l’89% delle aziende è colpito da attacchi cyber e subisce milioni di perdite

    Nell’ultimo anno l’89% delle organizzazioni nei settori elettrico, oil&gas e manifatturiero ha subito un attacco cyber che ha danneggiato la produzione e la fornitura di energia. Il dato emerge da “The State of Industrial Cybersecurity”, l’ultimo studio...

  • Reply minacce informatiche
    Automation e AI sono la chiave per difendersi dalle minacce del mondo digitale

    La cybersecurity rappresenta oggi una priorità assoluta e contestuale all’implementazione di nuove tecnologie, dato il ruolo cruciale che sono arrivate ad occupare nelle nostre vite private e professionali. Smart Home, Connected Car, Delivery Robot: l’evoluzione non si...

  • Innovazione e ricerca, la Lombardia prima in europa nel campo della cybersicurezza

    È stato firmato nell’Aula Magna del Politecnico di Milano, l’accordo di collaborazione tra Politecnico di Milano, Regione Lombardia, Aria, Intesa Sanpaolo e il I Reggimento Trasmissioni dell’Esercito per la nascita di una rete di comunicazione quantistica a...

  • Lior Div Cybereason sicurezza informatica
    Sicurezza informatica, alcuni principi guida per il settore privato

    Cybereason ha pubblicato il report inaugurale del Cyber Defenders Council, un gruppo di 50 eminenze della sicurezza provenienti da organizzazioni del settore pubblico e privato in Nord America, EMEA e APAC. Il report intitolato Defend Forward: A Proactive...

  • Cybersecurity e convergenza IT/OT, le specificità del mercato farmaceutico

    Dall’arresto della filiera produttiva al furto di dati sanitari sensibili, fino alla manomissione di servizi pubblici primari, una cosa è certa: la continua evoluzione delle minacce digitali coinvolge sempre più i sistemi OT, con impatti devastanti sia...

  • A SPS Italia 2022 parliamo di cybersecurity con Stormshield

    A SPS Italia 2022 Automazione Oggi ha intervistato Davide Pala, pre-sales engineer di Stormshield. Automazione Oggi: Qual è lo stato normativo attuale in tema di cybersecurity industriale? Quali sono le conseguenze di questa situazione, quali misure e migliorie sarebbero...

  • Axitea gioca in squadra con Benetton Rugby

    Axitea, che opera come Global Security Provider sul mercato italiano e internazionale, ha siglato una partnership con Benetton Rugby, società sportiva di fama internazionale, tra le principali in Italia. L’accordo prevede la fornitura di servizi di sicurezza a...

Scopri le novità scelte per te x