Attacchi da tutti i fronti: Report sulla cybersecurity del primo semestre 2021










Attacchi da tutti fronti: Report sulla cybersecurity del primo semestre 2021 Scarica Attacchi da tutti i fronti: Report sulla cybersecurity del primo semestre 2021

Nella prima metà di quest'anno, le fortezze della cybersecurity sono state circondate da cyber criminali pronti ad attaccare alla vista anche della minima crepa nelle difese, con l'obiettivo di saccheggiare risorse preziose.

Minacce e rischi su tutti i fronti si sono presto fatti più ravvicinati, portando con sé tattiche aggiornate e una maggiore motivazione per colpire i settori presi di mira. Questi problemi di sicurezza includono moderni attacchi ransomware di alto profilo, campagne attive, vulnerabilità critiche, truffe legate al Covid-19 e altre minacce, per non parlare delle minacce in via di sviluppo nei settori del cloud e dell'Internet delle cose (IoT).

Nel nostro report del primo semestre, "Attacchi da tutti i fronti: Report sulla cybersecurity del primo semestre 2021", indaghiamo tutti questi temi.

Per prepararci al meglio per il futuro, ritorniamo sui passi compiuti finora quest'anno, nell'instabile panorama della cybersecurity.

Da dove vorresti iniziare?



01

Ransomware

Il ransomware ha continuato a evolversi come una delle minacce informatiche più pericolose, accumulando oltre 7 milioni di rilevamenti totali di minacce in email, URL e file. I cybercriminali si sono mossi rapidamente e in modo aggressivo con attacchi a settori critici come quello bancario, governativo e manifatturiero. Gli attori delle minacce si sono mossi rapidamente e in modo aggressivo con attacchi a settori critici come quello bancario, governativo e manifatturiero.

Settore bancario
15.537
Enti pubblici
10.225
Produzione industriale
4.957
Assistenza sanitaria
4.802
Cibo e bevande
2.330

I cinque settori maggiormente interessati dal ransomware nel primo semestre del 2021

Anche se alcune delle strategie dei malintenzionati, come la loro propensione a prendere di mira settori cruciali, sono rimaste costanti, molte delle loro tattiche si sono evolute drasticamente e rapidamente. Le varianti di spicco di ransomware hanno alzato la posta in gioco mentre le nuove famiglie di questo tipo di attacchi hanno aggravato i rischi. Alcuni attori delle minacce si sono affrettati a cogliere l'opportunità e hanno finto di essere bande dedite al ransomware, come nel caso di una falsa campagna DarkSide.

Famiglie ransomware di rilevo


DarkSide

DarkSide ha lanciato una serie di attacchi di alto profilo, incluso l'incidente della Colonial Pipeline.

Ha anche aggiornato attivamente la sua tecnica, ad esempio con una variante di DarkSide Linux destinata ai server VMware ESXi.


REvil
(alias Sodinokibi)

REvil si è impegnato di recente in un attacco all'importante fornitore di carne JBS.

Nella prima metà del 2021, anche i rilevamenti di REvil nei file da parte di Trend Micro sono più che raddoppiati rispetto allo stesso periodo dell'anno scorso.


Hello

Hello, una nuova variante ransomware, sfrutta la vulnerabilità di Microsoft SharePoint denominata CVE-2019-0604.

Abbiamo anche scoperto che ha distribuito la web shell China Chopper per eseguire i comandi PowerShell.

Tali incidenti hanno stimolato discussioni sulle delicate questioni del pagamento del riscatto, dell'assicurazione contro i rischi informatici e della potenziale legislazione. Ci sono stati anche sforzi aggressivi da parte delle autorità e dei ricercatori della sicurezza per colpire le bande dedite al ransomware, che hanno portato a una serie di arresti di alto profilo come nei casi delle operazioni sugli utilizzatori di Egregor e Clop.

Tecniche raffinate

Gli operatori del ransomware hanno ampliato il loro uso di strumenti legittimi. Hanno anche alzato la posta delle loro tecniche di estorsione, dalla crittografia all'esposizione di dati rubati, all'incorporazione di attacchi DDoS (Distributed Denial-Of-Service), alle molestie dirette nei confronti dei clienti e delle parti interessate delle organizzazioni vittime.

Tecniche di multi-estorsione legate al ransomware



02

Minacce persistenti avanzate (Advanced Persistent Threats, APT)

Anche le APT hanno dato segni di attività poiché nella prima metà di quest'anno sono state protagoniste di diverse campagne.

I gruppi di malintenzionati dietro a queste APT hanno utilizzato sia tecniche collaudate che tattiche innovative. Le prime includeva l'uso di email di spear-phishing e script malevoli, mentre le seconde hanno ha coinvolto nuove piattaforme legittime, varianti di malware e strumenti di accesso remoto (Remote Access Tool, RAT) come il caricatore PlugX.

APT di rilevo


Team TNT

Il TeamTNT si è messo di nuovo all'opera, questa volta puntando alle credenziali di Amazon Web Services (AWS) e ai cluster Kubernetes. Questi attacchi sono legati anche al mining di criptovalute.

Per quest'ultimo obiettivo, la maggior parte degli indirizzi IP compromessi corrisponde a utenze in Cina e USA.


Water Pamola

Abbiamo notato alcuni cambiamenti nelle tattiche di Water Pamola. Questi consistono principalmente in una tendenza a concentrarsi principalmente su obiettivi in Giappone. Inoltre, invece di utilizzare lo spam, gli attacchi vengono lanciati sfruttando una vulnerabilità di cross-site scripting (XSS) nel portale di amministrazione online di un negozio.


Earth Vetala

Earth Vetala – MuddyWater ha lanciato campagne contro organizzazioni in Medio Oriente e nelle regioni circostanti. Per distribuire i payload ha sfruttato strumenti legittimi di amministrazione remota come ScreenConnect e RemoteUtilities.


Iron Tiger

Iron Tiger, noto per prendere di mira le società di gioco d'azzardo nel sud-est asiatico, ha aggiornato il suo toolkit con una variante del malware SysUpdate evoluta. Il gruppo ora utilizza anche cinque file (invece di tre) nella sua routine di infezione.


Earth Wendigo

Trend Micro ha scoperto che un APT ha preso di mira le organizzazioni di Taiwan dal 2019. Abbiamo soprannominato i cybercriminali con il nome di Earth Wendigo. Gli attacchi utilizzano email di spear-phishing con JavaScript malevolo iniettato su un sistema di webmail ampiamente utilizzato.

APT notevoli del primo semestre 2021

Il flusso di attacco dell'operazione Earth Wendigo



03

Vulnerabilità

Vulnerabilità di rilevo sono salite agli onori delle cronache quando i ricercatori si sono affrettati a correggere i sistemi interessati prima che questi difetti potessero rappresentare un pericolo e interrompere le configurazioni di lavoro, comprese quelle remote.

ProxyLogon

Un attacco hacker attribuito al gruppo Hafnium ha visto lo sfruttamento di quattro vulnerabilità zero-day nelle versioni locali di Microsoft Exchange Server. Queste vulnerabilità sono CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065, denominate collettivamente ProxyLogon.

Vulnerabilità di Microsoft SharePoint

Cinque notevoli vulnerabilità di esecuzione di codice remoto (RCE) hanno interessato anche Microsoft SharePoint, una piattaforma di gestione e archiviazione di documenti online che può essere utilizzata anche in configurazioni di lavoro remoto.

CVE-2021-24066Vulnerabilità legata all'esecuzione di codice in modalità remota nella deserializzazione di dati non attendibili nel flusso di lavoro
CVE-2021-27076Vulnerabilità legata all'esecuzione di codice in modalità remota nella deserializzazione di dati non attendibili nell'elenco InfoPath
CVE-2021-31181Vulnerabilità legata all'esecuzione di codice in modalità remota nel conflitto di interpretazione di WebPart
CVE-2021-28474Vulnerabilità legata all'esecuzione di codice in modalità remota nel conflitto di interpretazione del controllo lato server
CVE-2021-26420Vulnerabilità legata all'esecuzione di codice in modalità remota nella funzione pericolosamente esposta WorkflowCompilerInternal

Vulnerabilità RCE di Microsoft SharePoint del primo semestre 2021

Vulnerabilità VPN

Finché le configurazioni per il lavoro da remoto (WFH) continuano a essere largamente utilizzate, le reti private virtuali (VPN) rimangono uno strumento vitale per garantire la sicurezza. I rilevamenti relativi a queste vulnerabilità hanno continuato a proliferare, con alcuni picchi rispetto allo stesso periodo dell'anno scorso.

Fortinet

Pulse Secure

Citrix Systems

CVE-2018-13379

CVE-2019-11510

CVE-2019-11539

CVE-2019-19781

2020

Gen

15,834

88,506

9

 

856

287

 

Feb

9,864

66,164

12

 

52

19

 

Mar

14,910

63,716

115

 

118

18

 

Apr

18,312

62,862

69

 

2,703

1

 

Mag

20,897

60,791

60

 

2,921

7

 

Giu

27,110

39,994

123

 

2,783

5

2021

Gen

113,330

45,937

787

 

1,388

3

 

Feb

77,853

15,627

488

 

579

761

 

Mar

75,785

27,876

566

1

713

158

 

Apr

68,651

21,440

956

 

988

5

 

Mag

70,083

15,230

508

 

650

5

 

Giu

61,467

9,558

301

11

418

15

Rilevamenti per vulnerabilità VPN per il primo semestre 2020 e il primo semestre 2021

PrintNightmare

"PrintNightmare" è il nome attribuito a CVE-2021-1675, una vulnerabilità critica di Windows Print Spooler che consente l'esecuzione di codice arbitrario con privilegi a livello di sistema. La pubblicazione accidentale di un codice exploit proof-of-concept ha innescato una corsa per correggere questa vulnerabilità il prima possibile.

Nel complesso, il numero di rilevamenti di vulnerabilità ha mostrato una piccola diminuzione, con un notevole calo delle vulnerabilità critiche.

GravitàConteggio 1H 2021Conteggio 1H 2020
Critica16121
Elevata553547
Media10776
Bassa9442
Totale770786

Confronto semestrale della ripartizione della gravità, basato sul CVSS delle vulnerabilità divulgate tramite il nostro programma Zero Day Initiative (ZDI).
Fonte: Programma ZDI di Trend Micro



04

Truffe legate al Covid-19 e altre minacce

Anche in mezzo a una pandemia, l'attività per molti attori delle minacce prosegue come al solito con l'obiettivo di scatenare nuove minacce o rinnovare quelle attuali. Alcuni cyber criminali hanno approfittato direttamente della pandemia, sfruttando l'incertezza e il disagio causati dalla situazione come munizioni di ingegneria sociale, per portare a compimento le loro truffe.

Minacce legate al Covid-19

Mentre i programmi di vaccinazione continuano a essere in corso in tutto il mondo, anche le minacce legate ai vaccini contro il Covid-19 non smettono di proliferare. Si tratta di file dannosi, email, messaggi di testo, siti di disinformazione e pagine di phishing. Gli obiettivi abituali sono i settori delle telecomunicazioni, quello bancario, quello della vendita al dettaglio, gli enti pubblici e il settore finanziario.

Stati Uniti
1.584.337
Germania
832.750
Colombia
462.005
Italia
131.197
Spagna
111.663
Altri
1.287.440

I paesi maggiormente colpiti dalle minacce legate al Covid-19 nel primo semestre 2021

Minacce attive

XCSSET

XCSSET prende di mira gli utenti Mac e infetta i progetti Xcode. A pochi mesi dall'inizio dell'anno, gli attori delle minacce hanno aggiornato XCSSET con funzionalità che gli consentono di adattarsi sia ai Mac basati su ARM64 che a quelli basati su x86_x64. Il malware ha anche acquisito la capacità di raccogliere informazioni sensibili da alcuni siti web, comprese le piattaforme di trading di criptovaluta.

PandaStealer

PandaStealer è un nuovo sistema per il furto di informazioni in grado di prelevare dati sensibili come chiavi private e registrazioni delle transazioni passate dai portafogli di valuta digitale di un bersaglio. Può anche prelevare credenziali da altre applicazioni, acquisire schermate ed estrarre dati dai browser. Viene propagato principalmente tramite email di spam che richiedono preventivi aziendali.



05

Il cloud e l'Internet delle cose (IoT)

Le circostanze determinate dalla pandemia hanno catalizzato l'adozione di sistemi online basati su tecnologie come cloud e IoT. Tuttavia, questi settori presentano il loro specifico insieme di minacce e rischi.

Cloud

Alcune delle principali minacce di quest'anno includono gli attacchi di TeamTNT. All'inizio dell'anno, abbiamo scoperto che gli attori delle minacce dietro TeamTNT stavano prendendo di mira alcuni sistemi cloud:

  • Credenziali AWS. TeamTNT ha sottratto le credenziali AWS tramite un codice binario contenente uno script shell hard-coded. Sono state compromesse oltre 4.000 istanze.
  • Cluster Kubernetes. TeamTNT ha compromesso i cluster Kubernetes non protetti. Sono stati coinvolti quasi 50.000 indirizzi IP su più cluster.

L'IoT

Abbiamo scoperto rischi in vari aspetti dell'IoT, tra cui Long Range Wide Area Network (LoRaWAN), 5G e router.

LoRaWAN

Sebbene utili nelle imprese e nella realizzazione delle smart city, i dispositivi LoRaWAN non sono immuni alla compromissione. Dopo aver identificato vulnerabilità sfruttabili in questi dispositivi, abbiamo creato lo strumento LoRaPWN per valutare la sicurezza delle comunicazioni LoRaWAN.

5G

La creazione di reti campus 4G/5G per le imprese comporta dei rischi. Per studiare questi pericoli, abbiamo identificato diversi scenari di attacco tra cui dirottamento DNS, dirottamento MQTT, dirottamento Modbus/TCP, download o ripristino di controller logici programmabili (PLC) non protetti, desktop remoto e scambio di SIM.

Router

I router sono sempre stati afflitti da problemi di sicurezza. Abbiamo analizzato le infezioni dei router e abbiamo identificato VPNFilter, una botnet IoT, come una delle minacce più importanti. Per compromettere router e dispositivi di archiviazione, VPNFilter utilizza account backdoor e diversi exploit.



06

Panorama
delle minacce

40.956.909.973

Numero complessivo di minacce bloccate durante il primo semestre 2021



Minacce tramite email bloccate

Q1
16.089.334.070
Q2
17.226.781.018

File dannosi bloccati

Q1
2.343.479.304
Q2
3.997.341.419

URL dannosi bloccati

Q1
535.451.111
Q2
764.523.051

Query di email reputation

Q1
20.910.330.826
Q2
22.075.108.541

Query di file reputation

Q1
442.384.974.451
Q2
517.455.645.611

Query di URL reputation

Q1
848.818.567.862
Q2
796.857.859.588

Scarica il nostro report completo per ottenere informazioni sulle pressanti minacce cyber e sui rischi che hanno afflitto il primo semestre 2021 e per ulteriori informazioni sui nostri consigli di sicurezza da parte degli esperti, per utenti e aziende.









HIDE

Like it? Add this infographic to your site:
1. Click on the box below.   2. Press Ctrl+A to select all.   3. Press Ctrl+C to copy.   4. Paste the code into your page (Ctrl+V).

Image will appear the same size as you see above.