DarkSide ha lanciato una serie di attacchi di alto profilo, incluso l'incidente della Colonial Pipeline.
Ha anche aggiornato attivamente la sua tecnica, ad esempio con una variante di DarkSide Linux destinata ai server VMware ESXi.
Attacchi da tutti i fronti: Report sulla cybersecurity del primo semestre 2021
Scarica Attacchi da tutti i fronti: Report sulla cybersecurity del primo semestre 2021
Nella prima metà di quest'anno, le fortezze della cybersecurity sono state circondate da cyber criminali pronti ad attaccare alla vista anche della minima crepa nelle difese, con l'obiettivo di saccheggiare risorse preziose.
Minacce e rischi su tutti i fronti si sono presto fatti più ravvicinati, portando con sé tattiche aggiornate e una maggiore motivazione per colpire i settori presi di mira. Questi problemi di sicurezza includono moderni attacchi ransomware di alto profilo, campagne attive, vulnerabilità critiche, truffe legate al Covid-19 e altre minacce, per non parlare delle minacce in via di sviluppo nei settori del cloud e dell'Internet delle cose (IoT).
Nel nostro report del primo semestre, "Attacchi da tutti i fronti: Report sulla cybersecurity del primo semestre 2021", indaghiamo tutti questi temi.
Per prepararci al meglio per il futuro, ritorniamo sui passi compiuti finora quest'anno, nell'instabile panorama della cybersecurity.
Da dove vorresti iniziare?
01
Ransomware
Il ransomware ha continuato a evolversi come una delle minacce informatiche più pericolose, accumulando oltre 7 milioni di rilevamenti totali di minacce in email, URL e file. I cybercriminali si sono mossi rapidamente e in modo aggressivo con attacchi a settori critici come quello bancario, governativo e manifatturiero. Gli attori delle minacce si sono mossi rapidamente e in modo aggressivo con attacchi a settori critici come quello bancario, governativo e manifatturiero.
Settore bancario
Enti pubblici
Produzione industriale
Assistenza sanitaria
Cibo e bevande
I cinque settori maggiormente interessati dal ransomware nel primo semestre del 2021
Anche se alcune delle strategie dei malintenzionati, come la loro propensione a prendere di mira settori cruciali, sono rimaste costanti, molte delle loro tattiche si sono evolute drasticamente e rapidamente. Le varianti di spicco di ransomware hanno alzato la posta in gioco mentre le nuove famiglie di questo tipo di attacchi hanno aggravato i rischi. Alcuni attori delle minacce si sono affrettati a cogliere l'opportunità e hanno finto di essere bande dedite al ransomware, come nel caso di una falsa campagna DarkSide.
Famiglie ransomware di rilevo
DarkSide
REvil
(alias Sodinokibi)
REvil si è impegnato di recente in un attacco all'importante fornitore di carne JBS.
Nella prima metà del 2021, anche i rilevamenti di REvil nei file da parte di Trend Micro sono più che raddoppiati rispetto allo stesso periodo dell'anno scorso.
Hello
Hello, una nuova variante ransomware, sfrutta la vulnerabilità di Microsoft SharePoint denominata CVE-2019-0604.
Abbiamo anche scoperto che ha distribuito la web shell China Chopper per eseguire i comandi PowerShell.
Tali incidenti hanno stimolato discussioni sulle delicate questioni del pagamento del riscatto, dell'assicurazione contro i rischi informatici e della potenziale legislazione. Ci sono stati anche sforzi aggressivi da parte delle autorità e dei ricercatori della sicurezza per colpire le bande dedite al ransomware, che hanno portato a una serie di arresti di alto profilo come nei casi delle operazioni sugli utilizzatori di Egregor e Clop.
Tecniche raffinate
Gli operatori del ransomware hanno ampliato il loro uso di strumenti legittimi. Hanno anche alzato la posta delle loro tecniche di estorsione, dalla crittografia all'esposizione di dati rubati, all'incorporazione di attacchi DDoS (Distributed Denial-Of-Service), alle molestie dirette nei confronti dei clienti e delle parti interessate delle organizzazioni vittime.
Tecniche di multi-estorsione legate al ransomware
02
Minacce persistenti avanzate (Advanced Persistent Threats, APT)
Anche le APT hanno dato segni di attività poiché nella prima metà di quest'anno sono state protagoniste di diverse campagne.
I gruppi di malintenzionati dietro a queste APT hanno utilizzato sia tecniche collaudate che tattiche innovative. Le prime includeva l'uso di email di spear-phishing e script malevoli, mentre le seconde hanno ha coinvolto nuove piattaforme legittime, varianti di malware e strumenti di accesso remoto (Remote Access Tool, RAT) come il caricatore PlugX.
APT di rilevo
Team TNT
Il TeamTNT si è messo di nuovo all'opera, questa volta puntando alle credenziali di Amazon Web Services (AWS) e ai cluster Kubernetes. Questi attacchi sono legati anche al mining di criptovalute.
Per quest'ultimo obiettivo, la maggior parte degli indirizzi IP compromessi corrisponde a utenze in Cina e USA.
Water Pamola
Abbiamo notato alcuni cambiamenti nelle tattiche di Water Pamola. Questi consistono principalmente in una tendenza a concentrarsi principalmente su obiettivi in Giappone. Inoltre, invece di utilizzare lo spam, gli attacchi vengono lanciati sfruttando una vulnerabilità di cross-site scripting (XSS) nel portale di amministrazione online di un negozio.
Earth Vetala
Earth Vetala – MuddyWater ha lanciato campagne contro organizzazioni in Medio Oriente e nelle regioni circostanti. Per distribuire i payload ha sfruttato strumenti legittimi di amministrazione remota come ScreenConnect e RemoteUtilities.
Iron Tiger
Iron Tiger, noto per prendere di mira le società di gioco d'azzardo nel sud-est asiatico, ha aggiornato il suo toolkit con una variante del malware SysUpdate evoluta. Il gruppo ora utilizza anche cinque file (invece di tre) nella sua routine di infezione.
Earth Wendigo
Trend Micro ha scoperto che un APT ha preso di mira le organizzazioni di Taiwan dal 2019. Abbiamo soprannominato i cybercriminali con il nome di Earth Wendigo. Gli attacchi utilizzano email di spear-phishing con JavaScript malevolo iniettato su un sistema di webmail ampiamente utilizzato.
APT notevoli del primo semestre 2021
Il flusso di attacco dell'operazione Earth Wendigo
03
Vulnerabilità
Vulnerabilità di rilevo sono salite agli onori delle cronache quando i ricercatori si sono affrettati a correggere i sistemi interessati prima che questi difetti potessero rappresentare un pericolo e interrompere le configurazioni di lavoro, comprese quelle remote.
ProxyLogon
Un attacco hacker attribuito al gruppo Hafnium ha visto lo sfruttamento di quattro vulnerabilità zero-day nelle versioni locali di Microsoft Exchange Server. Queste vulnerabilità sono CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065, denominate collettivamente ProxyLogon.
Vulnerabilità di Microsoft SharePoint
Cinque notevoli vulnerabilità di esecuzione di codice remoto (RCE) hanno interessato anche Microsoft SharePoint, una piattaforma di gestione e archiviazione di documenti online che può essere utilizzata anche in configurazioni di lavoro remoto.
| CVE-2021-24066 | Vulnerabilità legata all'esecuzione di codice in modalità remota nella deserializzazione di dati non attendibili nel flusso di lavoro |
| CVE-2021-27076 | Vulnerabilità legata all'esecuzione di codice in modalità remota nella deserializzazione di dati non attendibili nell'elenco InfoPath |
| CVE-2021-31181 | Vulnerabilità legata all'esecuzione di codice in modalità remota nel conflitto di interpretazione di WebPart |
| CVE-2021-28474 | Vulnerabilità legata all'esecuzione di codice in modalità remota nel conflitto di interpretazione del controllo lato server |
| CVE-2021-26420 | Vulnerabilità legata all'esecuzione di codice in modalità remota nella funzione pericolosamente esposta WorkflowCompilerInternal |
Vulnerabilità RCE di Microsoft SharePoint del primo semestre 2021
Vulnerabilità VPN
Finché le configurazioni per il lavoro da remoto (WFH) continuano a essere largamente utilizzate, le reti private virtuali (VPN) rimangono uno strumento vitale per garantire la sicurezza. I rilevamenti relativi a queste vulnerabilità hanno continuato a proliferare, con alcuni picchi rispetto allo stesso periodo dell'anno scorso.
Fortinet | Pulse Secure | Citrix Systems | |||||
CVE-2018-13379 | CVE-2019-11510 | CVE-2019-11539 | CVE-2019-19781 | ||||
2020 | Gen | 15,834 | 88,506 | 9 | | 856 | 287 |
| Feb | 9,864 | 66,164 | 12 | | 52 | 19 |
| Mar | 14,910 | 63,716 | 115 | | 118 | 18 |
| Apr | 18,312 | 62,862 | 69 | | 2,703 | 1 |
| Mag | 20,897 | 60,791 | 60 | | 2,921 | 7 |
| Giu | 27,110 | 39,994 | 123 | | 2,783 | 5 |
2021 | Gen | 113,330 | 45,937 | 787 | | 1,388 | 3 |
| Feb | 77,853 | 15,627 | 488 | | 579 | 761 |
| Mar | 75,785 | 27,876 | 566 | 1 | 713 | 158 |
| Apr | 68,651 | 21,440 | 956 | | 988 | 5 |
| Mag | 70,083 | 15,230 | 508 | | 650 | 5 |
| Giu | 61,467 | 9,558 | 301 | 11 | 418 | 15 |
Rilevamenti per vulnerabilità VPN per il primo semestre 2020 e il primo semestre 2021
PrintNightmare
"PrintNightmare" è il nome attribuito a CVE-2021-1675, una vulnerabilità critica di Windows Print Spooler che consente l'esecuzione di codice arbitrario con privilegi a livello di sistema. La pubblicazione accidentale di un codice exploit proof-of-concept ha innescato una corsa per correggere questa vulnerabilità il prima possibile.
Nel complesso, il numero di rilevamenti di vulnerabilità ha mostrato una piccola diminuzione, con un notevole calo delle vulnerabilità critiche.
| Gravità | Conteggio 1H 2021 | Conteggio 1H 2020 |
| Critica | 16 | 121 |
| Elevata | 553 | 547 |
| Media | 107 | 76 |
| Bassa | 94 | 42 |
| Totale | 770 | 786 |
Confronto semestrale della ripartizione della gravità, basato sul CVSS delle vulnerabilità divulgate tramite il nostro programma Zero Day Initiative (ZDI).
Fonte: Programma ZDI di Trend Micro
04
Truffe legate al Covid-19 e altre minacce
Anche in mezzo a una pandemia, l'attività per molti attori delle minacce prosegue come al solito con l'obiettivo di scatenare nuove minacce o rinnovare quelle attuali. Alcuni cyber criminali hanno approfittato direttamente della pandemia, sfruttando l'incertezza e il disagio causati dalla situazione come munizioni di ingegneria sociale, per portare a compimento le loro truffe.
Minacce legate al Covid-19
Mentre i programmi di vaccinazione continuano a essere in corso in tutto il mondo, anche le minacce legate ai vaccini contro il Covid-19 non smettono di proliferare. Si tratta di file dannosi, email, messaggi di testo, siti di disinformazione e pagine di phishing. Gli obiettivi abituali sono i settori delle telecomunicazioni, quello bancario, quello della vendita al dettaglio, gli enti pubblici e il settore finanziario.
Stati Uniti
Germania
Colombia
Italia
Spagna
Altri
I paesi maggiormente colpiti dalle minacce legate al Covid-19 nel primo semestre 2021
Minacce attive
XCSSET
XCSSET prende di mira gli utenti Mac e infetta i progetti Xcode. A pochi mesi dall'inizio dell'anno, gli attori delle minacce hanno aggiornato XCSSET con funzionalità che gli consentono di adattarsi sia ai Mac basati su ARM64 che a quelli basati su x86_x64. Il malware ha anche acquisito la capacità di raccogliere informazioni sensibili da alcuni siti web, comprese le piattaforme di trading di criptovaluta.
PandaStealer
PandaStealer è un nuovo sistema per il furto di informazioni in grado di prelevare dati sensibili come chiavi private e registrazioni delle transazioni passate dai portafogli di valuta digitale di un bersaglio. Può anche prelevare credenziali da altre applicazioni, acquisire schermate ed estrarre dati dai browser. Viene propagato principalmente tramite email di spam che richiedono preventivi aziendali.
05
Il cloud e l'Internet delle cose (IoT)
Le circostanze determinate dalla pandemia hanno catalizzato l'adozione di sistemi online basati su tecnologie come cloud e IoT. Tuttavia, questi settori presentano il loro specifico insieme di minacce e rischi.
Cloud
Alcune delle principali minacce di quest'anno includono gli attacchi di TeamTNT. All'inizio dell'anno, abbiamo scoperto che gli attori delle minacce dietro TeamTNT stavano prendendo di mira alcuni sistemi cloud:
- Credenziali AWS. TeamTNT ha sottratto le credenziali AWS tramite un codice binario contenente uno script shell hard-coded. Sono state compromesse oltre 4.000 istanze.
- Cluster Kubernetes. TeamTNT ha compromesso i cluster Kubernetes non protetti. Sono stati coinvolti quasi 50.000 indirizzi IP su più cluster.
L'IoT
Abbiamo scoperto rischi in vari aspetti dell'IoT, tra cui Long Range Wide Area Network (LoRaWAN), 5G e router.
LoRaWAN
Sebbene utili nelle imprese e nella realizzazione delle smart city, i dispositivi LoRaWAN non sono immuni alla compromissione. Dopo aver identificato vulnerabilità sfruttabili in questi dispositivi, abbiamo creato lo strumento LoRaPWN per valutare la sicurezza delle comunicazioni LoRaWAN.
5G
La creazione di reti campus 4G/5G per le imprese comporta dei rischi. Per studiare questi pericoli, abbiamo identificato diversi scenari di attacco tra cui dirottamento DNS, dirottamento MQTT, dirottamento Modbus/TCP, download o ripristino di controller logici programmabili (PLC) non protetti, desktop remoto e scambio di SIM.
Router
I router sono sempre stati afflitti da problemi di sicurezza. Abbiamo analizzato le infezioni dei router e abbiamo identificato VPNFilter, una botnet IoT, come una delle minacce più importanti. Per compromettere router e dispositivi di archiviazione, VPNFilter utilizza account backdoor e diversi exploit.
06
Panorama
delle minacce
40.956.909.973
Numero complessivo di minacce bloccate durante il primo semestre 2021
Minacce tramite email bloccate
Q1
Q2
File dannosi bloccati
Q1
Q2
URL dannosi bloccati
Q1
Q2
Query di email reputation
Q1
Q2
Query di file reputation
Q1
Q2
Query di URL reputation
Q1
Q2
Scarica il nostro report completo per ottenere informazioni sulle pressanti minacce cyber e sui rischi che hanno afflitto il primo semestre 2021 e per ulteriori informazioni sui nostri consigli di sicurezza da parte degli esperti, per utenti e aziende.
HIDE
Like it? Add this infographic to your site:
1. Click on the box below. 2. Press Ctrl+A to select all. 3. Press Ctrl+C to copy. 4. Paste the code into your page (Ctrl+V).
Image will appear the same size as you see above.
Cellular IoT Vulnerabilities: Another Door to Cellular Networks
Today’s Cloud and Container Misconfigurations Are Tomorrow’s Critical Vulnerabilities
Ransomware Spotlight: INC
The Realities of Quantum Machine Learning