Fortinet Global Threat Landscape Report: cybercriminali sempre in agguato

Pubblicato il 12 marzo 2020

Fortinet, tra i leader mondiali nelle soluzioni di cyber sicurezza integrate e automatizzate, annuncia i risultati dell’ultimo Global Threat Landscape Report dei FortiGuard Labs.

La ricerca, relativa al Q4 2019, mette in luce come i cybercriminali tentino continuamente di approfittare di ogni opportunità offerta dell’infrastruttura digitale, massimizzando in particolare  situazioni e congiunture globali per quanto riguarda gli aspetti economici e politici per raggiungere i propri obiettivi.

I trend globali dimostrano come la prevalenza e l’identificazione delle minacce possano differenziarsi a livello geografico, anche se il livello di sofisticazione e l’automazione degli attacchi rimangono consistenti ovunque nel mondo. Inoltre, la necessità di dare priorità alla cybersecurity hygiene rimane prioritaria dal momento che le minacce hanno la scalabilità più alta mai riscontrata prima.

Di seguito alcuni highlights dal report.

  1. Charming Kitten, una minaccia pericolosa: le ricerche mostrano livelli significativi di attività attraverso varie aree geografiche, collegati a Charming Kitten, un gruppo di minacce APT (Advanced Persistent Threat) connesso all’Iran. Attivo indicativamente dal 2014, tale specifico attore di minacce è stato associato a numerose campagne di cyberspionaggio. Gli ultimi eventi suggeriscono come si sia espanso fino a interferire con  il business delle elezioni, essendo stato collegato a una serie di attacchi su account email mirati associati con una campagna elettorale per le presidenziali. Come se non bastasse, si è notato come Charming Kitten abbia impiegato quattro nuove tattiche contro le vittime designate, tutte progettate per indurle a rilasciare informazioni sensibili.
  2. I rischi per la sicurezza dei dispositivi IoT si amplificano: i dispositivi IoT continuano a essere messi alla prova da software exploitabile e queste minacce possono riguardare dispositivi insospettabili come le telecamere wireless IP. La situazione viene amplificata quando i componenti e il software sono incorporati in vari dispositivi, commercializzati con vari brand, a volte da vendor diversi. Molti di questi componenti e servizi spesso vengono programmati utilizzando parti di codice già scritto, disponibili da una varietà di fonti. Tali componenti comuni e codici già scritti sono spesso vulnerabili agli exploit e questo è il motivo per cui le medesime vulnerabilità compaiono ripetutamente su un’ampia gamma di device. La scalabilità, combinata con l’incapacità di applicare patch a questi dispositivi in modo sicuro, è una sfida sempre crescente e mette in luce le difficoltà della security nella supply chain. Una mancanza di percezione dell’importanza delle patch, come la disponibilità delle stesse, la prevalenza di vulnerabilità in alcuni dispositivi IoT e i tentativi documentati di includere questi device nelle botnet IoT, sono tutti fattori che hanno fatto in modo che questi exploit presentassero il terzo volume più alto tra tutte le rilevazioni IPS durante il trimestre.
  3. Le minacce si danno supporto vicendevolmente: di fronte alla costante pressione per rimanere al passo con le nuove minacce, le aziende a volte dimenticano che gli exploit e le vulnerabilità non hanno una data di scadenza e i cybercriminali continueranno ad utilizzarle finché funzioneranno. Il caso in questione riguarda EternalBlue. Il malware è stato adattato nel tempo per sfruttare le vulnerabilità comuni e le più importanti. È stato utilizzato in numerose campagne, incluse – tra le più note – quelle legate agli attacchi ransomware WannaCry e NotPetya. Inoltre, lo scorso maggio è stata rilasciata una patch per BlueKeep, una vulnerabilità che – se fosse sfruttata – potrebbe essere “wormable”: presenta infatti la possibilità di diffondersi alla stessa velocità e scalabilità di WannaCry e NotPetya. Ora, una nuova versione dell’Eternal Blue Downloader Troajn si è presentata nel corso dell’ultimo trimestre, con la sua abilità di sfruttare la vulnerabilità BlueKeep. Fortunatamente, la versione attualmente in circolazione non è completamente risolta, costringendo i dispositivi presi di mira ad andare in crash prima di caricarsi. Ma, guardando al tradizionale ciclo di sviluppo del malware, è possibile che i cybercriminali particolarmente determinati possano entrare in un prossimo futuro in possesso di una versione funzionale di questo pacchetto malware dagli effetti disastrosi. Il continuo interesse dei cybercriminali verso EternalBlue e BlueKeep è un reminder per  le aziende per assicurarsi che i propri sistemi siano patchati in modo adeguato e protetti da entrambe le minacce.
  4. I trend mostrano una nuova prospettiva sul commercio globale dello spam: lo spam continua a rappresentare uno dei principali nodi critici con cui le aziende e i singoli individui devono confrontarsi. Il report dell’ultimo quarter combina il volume del flusso di spam tra le nazioni con i dati che mostrano il rapporto tra spam ‘inviato’ e spam ‘ricevuto’, rivelando una nuova prospettiva in merito a una vecchia criticità. La maggior parte dello spam sembra seguire trend di natura economica e politica. Per esempio, tra i principali “spam trade partners” degli Stati Uniti troviamo Polonia, Russia, Germania, Giappone e Brasile. In più, in termini di volumi di spam esportato dalle regioni geografiche, l’Europa dell’Est è la più grande produttrice di spam in tutto il mondo. La maggior parte degli spam più pesanti in uscita provengono dalla sottoregione asiatica; le restanti sottoregioni europee sono in cima al gruppo di quelle con un negative spam ratio, ricevendo più di quanto inviino, seguite poi nell’ordine da America e Africa.
  5. Tenere traccia del passaggio dei cybercriminali per capire cosa ci si deve aspettare in futuro: prestare attenzione ai trigger IPS rilevati in una determinata regione non solo mostra quali risorse vengono prese di mira, ma può anche indicare su cosa i cybercriminali potrebbero focalizzarsi nel futuro, o perché un numero sufficiente di questi attacchi hanno avuto successo, o semplicemente perché c’è più di una determinata tecnologia impiegata in alcune regioni. Ma non è sempre così. Ad esempio, la grande maggioranza dei deployment ThinkPHP si trova in Cina, con un numero di installazioni pari a 10 volte quelle degli USA, secondo shodan.io. Supponendo che le aziende mettano delle patch al proprio software più o meno allo stesso ritmo in ogni regione, se una botnet stesse semplicemente indagando alla ricerca di istanze vulnerabili di ThinkPHP prima di distribuire un exploit, il numero di trigger rilevati dovrebbe essere molto più alto in APAC. Tuttavia, solo il 6% di IPS trigger sono stati rilevati da un recente exploit in tutto APAC rispetto al nord America, il che significa che queste botnet stanno semplicemente distribuendo l’exploit a qualsiasi istanza ThinkPHP trovata. Inoltre, se si prendono in esame in modo similare le rilevazioni di malware, la maggior parte di minacce che prendono di mira le aziende sono macro VBA (Visual Basic for Applications). Questo accade probabilmente perché sono ancora attive e stanno producendo risultati. In generale, i rilevamenti per ciò che non è operativo non rimarranno alti a lungo; se ci sono un numero significativo di rilevamenti, qualcuno sta cadendo preda di questi attacchi
  6. La necessità di una sicurezza ampia, integrata e automatizzata. Man mano che le applicazioni proliferano e il numero di dispositivi connessi si estende nel perimetro, vengono creati miliardi di nuovi confini che devono essere gestiti e protetti. Inoltre, le aziende si trovano a far fronte a una maggiore sofisticazione degli attacchi contro l’infrastruttura digitale in espansione, tra cui alcuni guidati dall’intelligenza artificiale e dall’apprendimento automatico. Per proteggere efficacemente le proprie reti distribuite, le aziende devono passare dalla protezione dei soli perimetri di sicurezza alla protezione della diffusione dei dati attraverso i loro nuovi network edge, utenti, sistemi, dispositivi e applicazioni critiche. Solo una piattaforma di sicurezza informatica progettata per fornire visibilità e protezione complete su tutta la superficie di attacco – inclusi dispositivi, utenti, endpoint mobili, ambienti multi-cloud e infrastrutture SaaS – è in grado di proteggere le reti in rapida evoluzione odierne guidate dall’innovazione digitale.

 



Contenuti correlati

  • OT e IoT Security: adottare una mentalità post-breach oggi

    Non passa un giorno senza che si legga di violazioni alla cybersecurity e di attacchi informatici alle infrastrutture critiche di tutto il mondo. Quella che solo 10 anni fa era un’evenienza rinvenibile una o due volte all’anno...

  • I tre maggiori trend tecnologici del futuro nel report ‘Tech in 2021’

    Forrester prevede fino al 20% delle aziende Fortune 500 non arriverà ‘sana’ alla fine del 2021... Il rapporto Tech in 2021 approfondisce le tendenze tecnologiche e lavorative che il Covid-19 ha accelerato e fornisce indicazioni su come i leader...

  • Innodisk accorpa le filiali garantendo un servizio a tutto tondo

    Innodisk, fornitore globale di memorie industriali embedded flash e DRAM, combina le complesse tecnologie di base hardware e software per creare una soluzione AIoT cloud-to-edge all-in-one che semplifica la compatibilità e riduce i tempi di realizzazione delle...

  • Piattaforme cloud industriali per ridisegnare la gestione degli asset

    Nel mondo dell’automazione, le piattaforme industrial IoT (IIoT) aiutano a migliorare i processi decisionali nell’amministrazione delle risorse, e a controllare con maggior efficienza impianti e infrastrutture. La pandemia da Covid-19 ha inoltre contribuito ad accrescere il divario...

  • People for Process Automation

    Fondata in Germania nel 1953, Endress+Hauser è un fornitore di riferimento su scala mondiale di strumentazione, soluzioni e servizi per l’automazione industriale, grazie alla sua ampia gamma di strumenti per misure di processo e alla sua forte...

  • Intervista a Max Mauri, CEO di Seco

    Seco è un’azienda italiana che opera nel mercato dell’alta tecnologia, progettando, sviluppando e producendo soluzioni per il medicale, l’automazione, l’aerospace e la difesa, il vending, il wellness fino ad arrivare all’Intelligenza Artificiale, e alla creazione di soluzioni...

  • Un’intuizione, un’idea, una realtà

    Silmek, il cui core business è la produzione di macchine e impianti per la costruzione di trasformatori elettrici di media tensione, ha sviluppato con il supporto di Mitsubishi Electric una macchina completamente automatica per la costruzione ed...

  • Bonfiglioli punta al data-driven manufacturing con il supporto di SDG Group e di Snowflake

    Bonfiglioli, azienda manifatturiera che opera a livello globale, ha scelto SDG Group, azienda internazionale di management consulting, e Snowflake, la data cloud company, come partner per il proprio progetto di trasformazione digitale che ha condotto l’azienda in...

  • Fortinet ransomware 2021
    Fortinet: escalation di cyber-attacchi e attività ransomware nel 2021

    Secondo i risultati del FortiGuard Labs Global Threat Landscape Report semestrale di Fortinet, la threat intelligence relativa alla prima metà del 2021 mette in luce un aumento significativo del volume e della sofisticazione degli attacchi rivolti a...

  • Progetti personalizzati in tempi rapidi

    Irem, azienda piemontese specializzata nella produzione di macchine elettriche destinate al controllo e alla generazione di energia, ha scelto il software Spac Automazione di SDProget per standardizzare e snellire la progettazione dell’automazione a bordo macchina Leggi l’articolo

Scopri le novità scelte per te x