Aggiornamenti recenti Aprile 26th, 2024 9:14 AM
Dic 01, 2023 Marina Londei Approfondimenti, Attacchi, Campagne malware, Minacce, RSS, Scenario 0
Il mondo del cybercrimine sta cambiando rapidamente: gli attaccanti stanno migliorando le proprie tecniche per superare le difese dei sistemi, affidandosi sempre di più all’automazione delle attività per eseguire attacchi su larga scala, e l’intero ecosistema sta evolvendo verso un modello as-a-service che democratizza il cybercrime.
In un’intervista con John Shier, Field CTO threat hunting di Sophos, abbiamo approfondito il panorama attuale delle minacce e come stanno evolvendo gli obiettivi e i comportamenti degli attaccanti.
Oggi la maggior parte dei cybercriminali agisce in maniera opportunistica, cercando di guadagnare da tutto ciò che puòin ogni modo possibile; per questo, spiega Shier, il ransomware rimane una delle minacce più diffuse, con una percentuale di operatività che negli ultimi anni si aggira tra il 66% e il 75%. Al di sotto c’è tutta una serie di attività, come la data extortion, l’exfiltration, le botnet e i miner, che non fa altro che alimentare il mercato dei ransomware.
Poiché gli attaccanti agiscono per fini opportunistici, “Nessuno è un obiettivo e tutti sono un obiettivo” afferma Shier: i gruppi criminali sono sempre alla ricerca di debolezze nelle organizzazioni, siano esse software vulnerabili o credenziali esposte sul web, indipendentemente dal settore e dalla provenienza geografica.
Proprio la condivisione di credenziali sul dark web è uno dei problemi di sicurezza più comuni tra le aziende. Siti come BreachForums mettono a disposizione dei cybercriminali interi database di username e password ottenuti da breach a danno di organizzazioni e privati. “I cybercriminali possono accedere ai database, trovare username e password e semplicemente cominciare a provarli” afferma Shier.
Anche i breach più vecchi rappresentano un pericolo da non sottovalutare perché in gran parte dei casi gli utenti riutilizzano le stesse password per diversi servizi o non le aggiornano. Se gli attaccanti sono in possesso di credenziali ancora valide possono entrare facilmente nella rete dell’organizzazione, ottenere persistenza e compromettere altre risorse.
Un recente report di Sophos ha evidenziato che l’88% degli attacchi registrati contro le organizzazioni era di tipo “fast”, perpetrati accedendo a servizi esterni con account validi. “Stanno letteralmente entrando dalla porta principale e il più velocemente possibile” afferma Shier. “Ecco come i vecchi breach possono impattare su di noi, perché a volte non sappiamo nemmeno che le credenziali sono state compromesse”.
Se da una parte alcune aziende non hanno ancora implementato l’autenticazione multi-fattore o i servizi di Identity and Access Management, è anche vero che i cybercriminali stanno evolvendo le proprie tecniche per superare i controlli anti-phishing e impossessarsi dei token di autenticazione; proprio per questo la cybersecurity deve essere un impegno continuo nel tempo.
Un altro problema molto diffuso è la mancanza di adeguate misure di telemetria per approfondire l’impatto degli attacchi sui sistemi e comprendere l’operato degli attaccanti. Shier riporta che il 24% dei clienti di Sophos non aveva log disponibili da analizzare; ciò crea un ambiente dove i cybercriminali possono agire sostanzialmente indisturbati.
Shier ha parlato anche del nation-state cybercrime, ovvero delle attività criminali legate agli obiettivi di un governo che mirano a ottenere informazioni su altre nazioni. Questi attacchi non colpiscono soltanto le istituzioni governative, ma anche le grandi multinazionali che collaborano coi governi e che hanno quindi accesso a informazioni preziose.
In alcuni casi gli attacchi nation-state impattano non solo le singole realtà, ma possono riversarsi all’esterno e avere delle conseguenze anche sulla popolazione; ciò accade quando le compagnie colpite sono infrastrutture critiche per il Paese. Nonostante l’obiettivo primario sia il governo, a volte ci sono effetti indesiderati che colpiscono i cittadini.
È importante quindi che tutte le organizzazioni legate in qualche modo ai governi migliorino il proprio assetto di sicurezza. “Una buona cybersecurity protegge da gran parte dei cybercrimini” sottolinea Shier, invitando le aziende a investire maggiormente sulle soluzioni di difesa per proteggersi dagli attacchi.
Oggi identificare il gruppo responsabile di un attacco non è così semplice: in attacchi come i DDoS e i miner di criptovalute molte attività sono ormai automatizzate ed è difficile trovare i colpevoli con sicurezza.
La situazione è piuttosto complessa anche per quanto riguarda i ransomware: in alcuni casi le note di riscatto portano il nome di chi ha eseguito l’attacco, ma con la diffusione del ransomware-as-a-service questi attacchi non sono più il lavoro di un singolo gruppo, quanto più di un “brand”, come lo definisce Shier.
Negli ultimi anni è nata una rete di affiliati che opera per più gruppi ransomware e sceglie gli obiettivi da colpire in base alle risorse a disposizione e alle regole di ciascun gruppo. Anche nel mondo del cybercrimine esistono delle limitazioni: alcuni “brand” vietano di attaccare specifici target, mentre altri definiscono delle condizioni da rispettare.
Quando le tecniche del gruppo ransomware Conti sono diventate pubbliche, molte organizzazioni cybercriminali hanno iniziato a copiarle, rendendo più difficile distinguere il vero responsabile degli attacchi. Alcuni gruppi hanno comunque mantenuto alcuni tratti distintivi usando specifici strumenti che li identificano; tuttavia, non è sempre così semplice capire con certezza di chi si tratta.
Invece di cercare di individuare i gruppi specifici, ciò che fa Sophos è concentrarsi sulle tattiche e sulle tecniche utilizzate raggruppandole in dei cluster di attività; ciò consente di identificare i comportamenti ricorrenti e concentrare la threat response verso le minacce più comuni.
Apr 22, 2024 0
Apr 22, 2024 0
Apr 16, 2024 0
Apr 11, 2024 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 18, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 26, 2024 0
I ricercatori di Avast hanno scoperto una nuova campagna...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...