Aggiornamenti recenti Febbraio 14th, 2025 9:10 AM
Dic 01, 2023 Marina Londei Approfondimenti, Attacchi, Campagne malware, Minacce, RSS, Scenario 0
Il mondo del cybercrimine sta cambiando rapidamente: gli attaccanti stanno migliorando le proprie tecniche per superare le difese dei sistemi, affidandosi sempre di più all’automazione delle attività per eseguire attacchi su larga scala, e l’intero ecosistema sta evolvendo verso un modello as-a-service che democratizza il cybercrime.
In un’intervista con John Shier, Field CTO threat hunting di Sophos, abbiamo approfondito il panorama attuale delle minacce e come stanno evolvendo gli obiettivi e i comportamenti degli attaccanti.
Oggi la maggior parte dei cybercriminali agisce in maniera opportunistica, cercando di guadagnare da tutto ciò che puòin ogni modo possibile; per questo, spiega Shier, il ransomware rimane una delle minacce più diffuse, con una percentuale di operatività che negli ultimi anni si aggira tra il 66% e il 75%. Al di sotto c’è tutta una serie di attività, come la data extortion, l’exfiltration, le botnet e i miner, che non fa altro che alimentare il mercato dei ransomware.
Poiché gli attaccanti agiscono per fini opportunistici, “Nessuno è un obiettivo e tutti sono un obiettivo” afferma Shier: i gruppi criminali sono sempre alla ricerca di debolezze nelle organizzazioni, siano esse software vulnerabili o credenziali esposte sul web, indipendentemente dal settore e dalla provenienza geografica.
Pixabay
Proprio la condivisione di credenziali sul dark web è uno dei problemi di sicurezza più comuni tra le aziende. Siti come BreachForums mettono a disposizione dei cybercriminali interi database di username e password ottenuti da breach a danno di organizzazioni e privati. “I cybercriminali possono accedere ai database, trovare username e password e semplicemente cominciare a provarli” afferma Shier.
Anche i breach più vecchi rappresentano un pericolo da non sottovalutare perché in gran parte dei casi gli utenti riutilizzano le stesse password per diversi servizi o non le aggiornano. Se gli attaccanti sono in possesso di credenziali ancora valide possono entrare facilmente nella rete dell’organizzazione, ottenere persistenza e compromettere altre risorse.
Un recente report di Sophos ha evidenziato che l’88% degli attacchi registrati contro le organizzazioni era di tipo “fast”, perpetrati accedendo a servizi esterni con account validi. “Stanno letteralmente entrando dalla porta principale e il più velocemente possibile” afferma Shier. “Ecco come i vecchi breach possono impattare su di noi, perché a volte non sappiamo nemmeno che le credenziali sono state compromesse”.
Credits: weerapat- Depositphotos
Se da una parte alcune aziende non hanno ancora implementato l’autenticazione multi-fattore o i servizi di Identity and Access Management, è anche vero che i cybercriminali stanno evolvendo le proprie tecniche per superare i controlli anti-phishing e impossessarsi dei token di autenticazione; proprio per questo la cybersecurity deve essere un impegno continuo nel tempo.
Un altro problema molto diffuso è la mancanza di adeguate misure di telemetria per approfondire l’impatto degli attacchi sui sistemi e comprendere l’operato degli attaccanti. Shier riporta che il 24% dei clienti di Sophos non aveva log disponibili da analizzare; ciò crea un ambiente dove i cybercriminali possono agire sostanzialmente indisturbati.
Shier ha parlato anche del nation-state cybercrime, ovvero delle attività criminali legate agli obiettivi di un governo che mirano a ottenere informazioni su altre nazioni. Questi attacchi non colpiscono soltanto le istituzioni governative, ma anche le grandi multinazionali che collaborano coi governi e che hanno quindi accesso a informazioni preziose.
In alcuni casi gli attacchi nation-state impattano non solo le singole realtà, ma possono riversarsi all’esterno e avere delle conseguenze anche sulla popolazione; ciò accade quando le compagnie colpite sono infrastrutture critiche per il Paese. Nonostante l’obiettivo primario sia il governo, a volte ci sono effetti indesiderati che colpiscono i cittadini.
È importante quindi che tutte le organizzazioni legate in qualche modo ai governi migliorino il proprio assetto di sicurezza. “Una buona cybersecurity protegge da gran parte dei cybercrimini” sottolinea Shier, invitando le aziende a investire maggiormente sulle soluzioni di difesa per proteggersi dagli attacchi.
Pixabay
Oggi identificare il gruppo responsabile di un attacco non è così semplice: in attacchi come i DDoS e i miner di criptovalute molte attività sono ormai automatizzate ed è difficile trovare i colpevoli con sicurezza.
La situazione è piuttosto complessa anche per quanto riguarda i ransomware: in alcuni casi le note di riscatto portano il nome di chi ha eseguito l’attacco, ma con la diffusione del ransomware-as-a-service questi attacchi non sono più il lavoro di un singolo gruppo, quanto più di un “brand”, come lo definisce Shier.
Negli ultimi anni è nata una rete di affiliati che opera per più gruppi ransomware e sceglie gli obiettivi da colpire in base alle risorse a disposizione e alle regole di ciascun gruppo. Anche nel mondo del cybercrimine esistono delle limitazioni: alcuni “brand” vietano di attaccare specifici target, mentre altri definiscono delle condizioni da rispettare.
Quando le tecniche del gruppo ransomware Conti sono diventate pubbliche, molte organizzazioni cybercriminali hanno iniziato a copiarle, rendendo più difficile distinguere il vero responsabile degli attacchi. Alcuni gruppi hanno comunque mantenuto alcuni tratti distintivi usando specifici strumenti che li identificano; tuttavia, non è sempre così semplice capire con certezza di chi si tratta.
Invece di cercare di individuare i gruppi specifici, ciò che fa Sophos è concentrarsi sulle tattiche e sulle tecniche utilizzate raggruppandole in dei cluster di attività; ciò consente di identificare i comportamenti ricorrenti e concentrare la threat response verso le minacce più comuni.
Feb 13, 2025 0
Feb 11, 2025 0
Feb 07, 2025 0
Feb 05, 2025 0
Feb 14, 2025 0
Feb 12, 2025 0
Feb 10, 2025 0
Feb 06, 2025 0
Feb 13, 2025 0
Ieri Microsoft ha pubblicato un’approfondita analisi...Gen 30, 2025 0
Quando si parla di dati e di privacy, gli utenti si dicono...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Gen 15, 2025 0
Gli ultimi giorni dell’anno sono da sempre...Gen 08, 2025 0
Se finora l’FBI e il governo degli Stati Uniti ha...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Feb 14, 2025 0
DNSperf, servizio indipendente per la misurazione delle...Feb 13, 2025 0
Ieri Microsoft ha pubblicato un’approfondita analisi...Feb 12, 2025 0
La polizia thailandese ha arrestato quattro hacker europei...Feb 11, 2025 0
Ieri Apple ha rilasciato un fix urgente per un bug...Feb 10, 2025 0
La scorsa settimana Brave ha annunciato l’arrivo dei...