Stepping Ahead of Risk: Report Trend Micro sulle minacce di cybersecurity del primo semestre 2023
20/23
STEPPING AHEAD
OF RISK
Report Trend Micro sulle minacce di cybersecurity del primo semestre 2023
Il nostro report sulle minacce di cybersecurity del primo semestre, mostra come i cybercriminali stiano cambiando obiettivi, utilizzando nuovi strumenti e diventando più creativi, con l'obiettivo di aumentare l'efficienza e la prolificità degli attacchi. Per questo è fondamentale disporre di una serie di soluzioni di sicurezza proattive e olistiche.
Gli strumenti basati sull'intelligenza artificiale hanno semplificato la possibilità di compiere truffe, automatizzato la ricerca degli obiettivi e aumentato la scalabilità per una serie di nuovi crimini. Quest'anno, i cybercriminali esperti di ransomware hanno implementato sempre più spesso attacchi di tipo bring-your-own-vulnerable-driver (BYOVD), sfruttando anche vulnerabilità zero-day come quelle di GoAnywhere, 3CX, PaperCut e MOVEit. Nel frattempo, le minacce a livello enterprise hanno continuato a sfruttare accessi tramite password deboli o predefinite.
I nostri dati sulla gestione del rischio della superficie di attacco (Attack Surface Risk Management, ASRM) nella prima metà del 2023, mostrano che Stati Uniti, Brasile e India hanno registrato il maggior numero di eventi a rischio, e che i settori manifatturiero, sanitario e tecnologico hanno contato il maggior numero di rilevamenti.
Nelle seguenti infografiche sono raffigurati i punti salienti che sono emersi dai nostri dati di telemetria, che riguardano oltre 500.000 organizzazioni commerciali e milioni di clienti consumer. Grazie a sensori nativi su endpoint, email e messaggistica, traffico di rete e web, cloud e tecnologia operativa, siamo in grado di presentare le principali tecniche, tattiche e tendenze delle attività cybercriminali. Ci occupiamo anche di rendere comprensibili le minacce di tipo ransomware, cloud ed enterprise, oltre agli attacchi APT (Advanced Persistent Threats).
RANSOMWARE
Agisci subito e rimani al passo con i gruppi ransomware alla ricerca di obiettivi in continua evoluzione
I gruppi ransomware continuano ad aggiornare i loro strumenti e le loro tecniche per raggiungere obiettivi più ampi e ottenere un'estrazione efficiente di dati. All'inizio di quest'anno, il nuovo soggetto Mimic ha abusato del legittimo strumento di ricerca Everything per interrogare estensioni e nomi di file con l'obiettivo di determinare quali file crittografare e quali evitare. Nel frattempo, il ransomware Royal ha ampliato i suoi obiettivi con un aggiornamento mirato alle piattaforme Linux.
Le nostre indagini su Royal e Mimic hanno suggerito connessioni con il più grande e famigerato gruppo ransomware Conti, mentre la nostra indagine su TargetCompany ha mostrato i suoi legami con altre famiglie di ransomware come BlueSky e GlobeImposter. Queste connessioni sono coerenti con il nostro approfondimento sulla rivoluzione ransomware, che spiegava come le diverse collaborazioni avrebbero potuto portare a costi inferiori e a una maggiore presenza sul mercato, mantenendo al tempo stesso l'efficacia delle attività criminali.
Nel frattempo, il guadagno potrebbe non essere l'unica motivazione per i gruppi ransomware, poiché alcuni enti governativi potrebbero offrire opportunità di reclutamento agli operatori, in alternativa ad azioni penali. Nel nostro rapporto di maggio sulla backdoor RomCom, abbiamo dibattuto di come l'utilizzo storico della backdoor negli attacchi a sfondo geopolitico contro l'Ucraina, almeno da ottobre 2022, suggerisca uno spostamento degli obiettivi di Void Rabisu. I recenti attacchi ransomware sono ora paragonabili a quelli dei gruppi APT, in termini di competenze, approccio e capacità.
I gruppi dediti al ransomware che continuano a operare per denaro potrebbero anche orientare i loro sforzi di esfiltrazione di dati verso il furto di criptovaluta, gli attacchi Business Email Compromise (BEC) e l'implementazione di schemi short-and-distort per la manipolazione del mercato azionario. Le criptovalute hanno inoltre reso più efficienti gli schemi di pagamento a favore dei criminali, sottolineando la necessità di spostare la protezione a monte, ovvero implementare quante più misure possibili per impedire innanzitutto di accedere alla rete, anticipando gli attacchi ransomware che innescano l'estorsione.
ALTRE LETTURE CONSIGLIATE
INTELLIGENZA ARTIFICIALE
Le innovazioni dell'IA semplificano le attività, anche per i cybercriminali
Già nel 2021, il 52% delle aziende ha accelerato i piani di adozione dell'IA a causa della crisi del COVID-19. Nel frattempo, le organizzazioni stanno sempre più spesso integrando funzionalità di intelligenza artificiale nelle attività. L'adozione dell'IA è proseguita a ritmo stabile l'anno scorso, con il 35% delle aziende che utilizza l'intelligenza artificiale. Un'azienda su quattro, inoltre, sta adottando l'IA per colmare le lacune in termini di manodopera e competenze, mentre due aziende su tre stanno pianificando di applicare l'IA agli obiettivi di sostenibilità.
Nel settore della cybersecurity è lecito attendersi un aumento di richieste di tecniche antifrode basate sull'identità, e un aumento di cybercriminali che sfruttano l'intelligenza artificiale per compiere crimini virtuali in modo più efficiente. I rapitori virtuali , ad esempio, utilizzano attualmente la clonazione della voce, il SIM jacking, ChatGPT e la modellazione dell'analisi, oltre allo studio delle propensioni sui social network (Social Network Analysis And Propensities, SNAP,) per identificare gli obiettivi più redditizi e portare avanti gli attacchi.
Nel frattempo, ChatGPT e altri strumenti di intelligenza artificiale creano livelli nidificati di automazione per raccogliere informazioni, generare gruppi target e identificare e dare priorità ai comportamenti vulnerabili in base alle entrate previste. L'obiettivo è dirigere attacchi di Harpoon Whaling (Caccia con l'arpione), o basati su truffe romantiche, contro vittime famose (note anche come "pesci grossi"). Altri cybercriminali si danno scadenze meno a breve termine, e ingannano le vittime sottraendo loro denaro attraverso truffe sugli investimenti in criptovaluta, note come pig butchering (macellazione del maiale). Ci sono anche segnalazioni che affermano come gli assistenti di codifica basati su IA e ChatGPT possano essere indotti a scrivere codice dannoso.
Il verificarsi di questi crimini informatici aumenterà man mano che sempre più individui e imprese adotteranno e investiranno nell'intelligenza artificiale per semplificare le proprie attività.
ALTRE LETTURE CONSIGLIATE
VULNERABILITÀ
L'indice di rischio informatico scende a un livello moderato, ma le minacce abbondano ancora e i cybercriminali innovano
Secondo un sondaggio condotto su oltre 3.700 imprese in quattro aree globali, l'Indice di rischio informatico (Cyber Risk Index, CRI) è sceso a un livello moderato con un punteggio di +0,01 nel secondo semestre del 2022. Tuttavia, i dettagli del nostro rapporto mostrano che il CRI del Nord America è il più elevato tra le regioni, con un indice di preparazione informatica (Cyber Preparedness Index) che peggiora da 5,30 a 5,29 e un indice relativo alle minacce cyber (Cyber Threat Index) che scende da 5,63 a 5,39. Per quanto riguarda gli avvisi di vulnerabilità, nel primo semestre del 2023 ne sono stati pubblicati 894, solo 50 in meno rispetto a quelli pubblicati nel primo semestre dell'anno precedente.
Nel frattempo, i criminali tessono una rete più ampia sfruttando le vulnerabilità di piattaforme di dimensioni minori alla ricerca di obiettivi più specifici, come il servizio di trasferimento di file MOVEit, il software di comunicazione aziendale 3CX e le soluzioni software per la gestione della stampa PaperCut. A giugno il ransomware Clop ha sfruttato una vulnerabilità in MOVEit e, all'inizio di quest'anno, ha compromesso varie agenzie governative negli Stati Uniti, in particolare il Dipartimento dell'Energia, alcuni sistemi universitari in diversi stati e aziende private.
A maggio, Google ha lanciato otto nuovi domini di primo livello (TLD), inclusi .zip e .mov. Questo può comportare rischi per la sicurezza, nel momento in cui i cyber criminali li possono sfruttare per nascondere URL dannosi dietro siti web legittimi e distribuire malware o altri attacchi: una tecnica collaudata che rimane efficace ancora oggi.
Mentre le innovazioni continuano a evolvere e coinvolgono più dati, i criminali stanno trovando sempre più modi per mietere nuove vittime. Ad esempio, le connected car di oggi contengono oltre 100 milioni di righe di codice, forniscono funzionalità intelligenti agli utenti ma aprono anche le porte agli hacker. Man mano che auto più intelligenti andranno a saturare il mercato, i cybercriminali cercheranno di ottenere l'accesso ai dati dell'account utente e sfruttarli per commettere i crimini.
Queste minacce sottolineano la necessità di una gestione proattiva del rischio informatico che renda operativi gli elementi di una strategia zero-trust e garantisca strumenti di visibilità e valutazione continue durante l'intero ciclo di vita del rischio che include scoperta, valutazione e mitigazione. Gli investimenti in rilevamento e risposta estesi si potrebbero tradurre in dati, analisi e integrazioni sufficienti da cui i team di sicurezza e i ricercatori possono raccogliere informazioni sull'attività delle minacce e sul modo in cui le difese le stanno affrontando.
CAMPAGNE
Le minacce si ripresentano con nuovi strumenti che eludono il rilevamento ed espandono la portabilità
I cybercriminali continuano a creare strumenti e tecniche nuovi e aggiornati per ridurre al minimo il rilevamento del loro arsenale e stendere una rete più ampia per catturare le proprie vittime.
Nell'ultima campagna dello scorso anno, APT34 ha utilizzato la comunicazione di centri di comando e controllo (C&C) basata su DNS combinata con traffico di posta SMTP (Simple Mail Transfer Protocol) legittimo per aggirare le politiche di sicurezza all'interno dei perimetri di rete. Ulteriori indagini rivelano che APT34 potrebbe godere di un'entratura profonda nella selva dei domini governativi.
Earth Preta ha spostato la sua attenzione verso l'attacco di infrastrutture critiche e istituzioni chiave che possono influenzare le relazioni, le economie e i titoli nazionali e internazionali. Il gruppo APT ora utilizza tecniche ibride per distribuire malware attraverso link di Google Drive incorporati in documenti esca e sfrutta i vettori fisici per l'intrusione. Sfrutta anche WinRAR e curl (noto anche come cURL) e porzioni di malware mai visti prima per raccogliere e trasferire dati. L'intreccio tra il mestiere tradizionale di intelligence e le attività di raccolta informatica dei dati indica un'operazione di cyber spionaggio altamente coordinata.
Anche altre minacce persistenti stanno riaffiorando con strumenti nuovi e migliorati e indizi che fanno pensare a un cambiamento di obiettivi. Dopo un periodo di inattività, il sottogruppo di APT41 Earth Longzhi è tornato al lavoro con una nuova tecnica che abbiamo soprannominato ""stack rumbling"" e che disabilita i prodotti di sicurezza tramite Image File Execution Options (IFEO). In particolare si tratta di una nuova tecnica di negazione del servizio (denial-of-service, DoS) osservata per la prima volta in questa campagna. Mentre i campioni di questa campagna rivelano che il gruppo punta ad aziende nelle Filippine, Tailandia, Taiwan e Fiji, i documenti incorporati suggeriscono che il gruppo potrebbe prendere di mira anche le imprese in Vietnam e Indonesia.
ALTRE LETTURE CONSIGLIATE
IL PANORAMA DELLE MINACCE IN BREVE
85629564910
NUMERO COMPLESSIVO DI MINACCE BLOCCATE DURANTE IL PRIMO SEMESTRE DEL 2023
37 MILIARDI
DI MINACCE TRAMITE EMAIL BLOCCATE
NEL PRIMO SEMESTRE 2023
1,1 MILIARDI
DI URL DANNOSI BLOCCATI
NEL PRIMO SEMESTRE 2023
45,9 MILIARDI
DI FILE DANNOSI BLOCCATI
NEL PRIMO SEMESTRE 2023
44,1 MILIARDI
DI QUERY DI EMAIL REPUTATION
NEL PRIMO SEMESTRE 2023
2.100 MILIARDI
DI QUERY DI URL REPUTATION
NEL PRIMO SEMESTRE 2023
1.100 MILIARDI
DI QUERY DI FILE REPUTATION
NEL PRIMO SEMESTRE 2023
Like it? Add this infographic to your site:
1. Click on the box below. 2. Press Ctrl+A to select all. 3. Press Ctrl+C to copy. 4. Paste the code into your page (Ctrl+V).
Image will appear the same size as you see above.
Ultime notizie
- Ransomware Spotlight: Ransomhub
- Unleashing Chaos: Real World Threats Hidden in the DevOps Minefield
- From Vulnerable to Resilient: Cutting Ransomware Risk with Proactive Attack Surface Management
- AI Assistants in the Future: Security Concerns and Risk Management
- Silent Sabotage: Weaponizing AI Models in Exposed Containers