Aumentano ancora una volta gli attacchi alle imprese. A lanciare l’allarme è l’ultimo Global Threat Landscape di Fortinet, che ha anche sottolineato come gli attacchi “swarm” automatizzati e sofisticati stiano accelerando, rendendo sempre più difficile per le organizzazioni proteggere utenti, applicazioni e dispositivi.
Vediamo i punti salienti del report:
Cyberattacchi “swarm” aumentano in termini di volume, varietà e velocità
La sofisticazione degli attacchi rivolti alle organizzazioni sta accelerando a un ritmo senza precedenti. La trasformazione digitale non solo sta rimodellando il business, ma i criminali informatici stanno sfruttando la crescente superficie di attacco creata per nuove e dirompenti opportunità di attacco. Stanno implementando nuove funzionalità simili a “swarm" prendendo al contempo di mira più vulnerabilità, dispositivi e punti di accesso. La combinazione di uno sviluppo rapido delle minacce con l'aumento della propagazione di nuove varianti è sempre più difficile da combattere per molte organizzazioni.
Volume senza precedenti: è stata riscontrata una media di 274 rilevamenti di exploit per impresa, che rappresenta un aumento significativo dell'82% rispetto al trimestre precedente. Anche il numero di famiglie di malware è aumentato del 25% e le varianti uniche sono aumentate del 19%. I dati indicano non solo la crescita del volume, ma anche un’evoluzione del malware. Inoltre, il traffico crittografato tramite HTTPS e SSL è cresciuto come percentuale del traffico di rete totale a un massimo di circa il 60% in media. Se la crittografia può certamente aiutare a proteggere i dati in movimento nel trasferimento tra ambienti core, cloud ed endpoint, rappresenta anche una vera sfida per le soluzioni di sicurezza tradizionali.
· Intensità degli attacchi IoT: tre dei principali venti attacchi identificati erano mirati a dispositivi IoT e le attività di exploit quadruplicate su dispositivi come le telecamere WiFi. Nessuno di questi rilevamenti è stato associato a un CVE noto o denominato, che è uno degli aspetti problematici dei dispositivi IoT vulnerabili. Inoltre, a differenza dei precedenti attacchi, incentrati sullo sfruttamento di una singola vulnerabilità, i nuovi botnet IoT come Reaper e Hajime possono prendere di mira più vulnerabilità contemporaneamente. Questo approccio multi-vettore è molto più difficile da combattere.
La struttura flessibile di Reaper significa che, diversamente dagli attacchi statici e preprogrammati dei precedenti exploit IoT, il codice di Reaper viene facilmente aggiornato per diffodersi più velocemente eseguendo attacchi nuovi e maggiormente dannosi man mano che diventano disponibili. A dimostrazione della sua capacità di proliferazione, il volume di exploit associato a Reaper ha mostrato un balzo da 50.000 a 2,7 milioni in pochi giorni prima di tornare alla normalità.
· Il ransomware prevale ancora: diversi ceppi di ransomware hanno scalato la classifica delle varianti di malware. Locky era la variante di malware più diffusa, seguita al secondo posto da GlobeImposter. Un nuovo ceppo di Locky è emerso, ingannando i destinatari con lo spam prima di richiedere un riscatto. Inoltre, sulla darknet c'è stato un passaggio dall'accettare solo Bitcoin per il pagamento ad altre forme di moneta digitale come Monero.
· Sottrazione di criptovaluta in aumento: il malware Cryptomining è aumentato, il che sembra essere correlato al cambiamento del prezzo dei Bitcoin. I criminali informatici riconoscono la crescita delle valute digitali e utilizzano una tecnica di criptojacking per estrarre le criptovalute sui computer utilizzando le risorse della CPU in background a insaputa dell’utente. Il cryptojacking implica il caricamento di uno script in un browser web, senza necessità di installare o memorizzare nulla sul computer.
· Malware industriale sofisticato: un aumento dell'attività di exploit nei confronti di sistemi di controllo industriale (ICS) e di sistemi strumentali di sicurezza (SIS) suggerisce che questi attacchi rimasti nell’ombra potrebbero crescere salendo nel radar dei criminali informatici. Ad esempio, l’attacco con nome in codice Triton è di natura sofisticata e ha la capacità di coprire le sue tracce sovrascrivendo il malware stesso con dati spuri per ostacolare l'analisi forense. Poiché queste piattaforme influenzano le infrastrutture critiche vitali, sono allettanti per chi perpetra tali minacce. Questi attacchi ben riusciti possono causare danni significativi con un impatto di vasta portata.
Varietà degli attacchi: la steganografia è un attacco che incorpora il codice dannoso nelle immagini. È un vettore di attacco che non ha avuto molta visibilità negli ultimi anni, ma sembra essere in ripresa. L’exploit kit di Sundown utilizza la steganografia per sottrarre informazioni, ed essendo in giro da tempo, è stato segnalato da più organizzazioni di qualsiasi altro exploit kit. Sono state scoperte sue molteplici varianti di ransomware.
Per combattere gli attacchi “swarm” serve una sicurezza integrata
I dati sulle minacce nel report di questo trimestre rafforzano molte delle previsioni per il 2018 presentate dal team di ricerca globale Fortinet FortiGuard Labs, che ha previsto l'ascesa di hivenet e swarmbot all'orizzonte. Nei prossimi due anni, la superficie di attacco continuerà ad espandersi mentre diminuiranno la visibilità e il controllo sulle infrastrutture odierne. Per affrontare i problemi di velocità e scala posti dagli avversari, le organizzazioni devono adottare strategie basate su automazione e integrazione. La sicurezza dovrebbe operare a velocità digitali automatizzando le risposte e applicando intelligence e autoapprendimento in modo che le reti possano prendere decisioni efficaci e autonome.
"Il volume, la sofisticazione e la varietà delle minacce informatiche continuano ad accelerare con la trasformazione digitale della nostra economia globale – ha commentato Phil Quade, chief information security officer di Fortinet.-. I criminali informatici sono incoraggiati nei loro metodi di attacco mentre affrontano tale trasformazione e i loro strumenti sono ora nelle mani di molti. La dura realtà è che le tradizionali strategie e architetture di sicurezza non sono più sufficienti per un'organizzazione che dipende dal digitale. C'è un'incredibile urgenza di contrastare gli attacchi odierni con una trasformazione della sicurezza che rispecchi gli sforzi della digital transformation. Le soluzioni del passato, funzionando individualmente, non sono adeguate. Prodotti singoli e difese statiche devono far posto a soluzioni integrate e automatizzate che operano a velocità e su scala”.
