Fortinet: il ransomware non è scomparso
Fortinet ha presentato il nuovo Threat Landscape Report per il primo trimestre 2019 basandosi sui risultati delle ricerche dei FortiGuard Labs.
In particolare, il report ha evidenziato quanto segue:
Traffico di rete pre e post attacco
Valutare se i cybercriminali mettano in atto gli attacchi in diversi giorni della settimana è un punto importante per capire come siano sempre alla ricerca di nuove modalità e opportunità. Quando si confronta il volume del web filtering per due fasi della cyber kill chain durante i giorni feriali e nel fine settimana, ne emerge come l’attività di pre-compromise sia circa tre volte più probabile durante la settimana lavorativa, mentre il traffico post-compromise mostra una minore differenziazione.
Ciò è principalmente dovuto al fatto che l’attività di diffusione di un exploit spesso richiede a qualcuno di intraprendere un’azione come, ad esempio, quella di fare clic su un messaggio di phishing. Differentemente, l’attività di controllo e comando (C2) non ha questo requisito e, pertanto, può verificarsi in qualsiasi momento. I criminali informatici lavorano per massimizzare le opportunità durante la settimana, quando l’attività sul web è più elevata. Differenziare tra le pratiche di web filtering nei giorni feriali e nei fine settimana è importante per comprendere appieno la kill chain dei singoli attacchi.
La maggior parte delle minacce condividono un’infrastruttura
Il grado di condivisione delle infrastrutture delle diverse minacce mostra alcuni trend particolarmente rilevanti. Alcune minacce infatti fanno leva sull’utilizzo di un’infrastruttura comune rispetto a una unica o dedicata. Quasi il 60% delle minacce ha come denominatore comune almeno un dominio, il che indica che la maggior parte delle botnet sfrutta un’infrastruttura consolidata.
IcedID è un esempio di questo comportamento, che si può riassumere con la domanda “perché compri quando puoi prendere in prestito?”. Inoltre, quando le minacce condividono l’infrastruttura, tendono a farlo nella stessa fase della kill chain. Da qui si comprende come l’infrastruttura giochi un ruolo fondamentale quando viene utilizzata per mettere in atto la diffusione di particolari minacce informatiche. Capire quali di esse condividono l’infrastruttura e in quali punti è un vantaggio competitivo per le aziende, per prevedere le potenziali evoluzioni future di malware e botnet.
Il Content Management deve essere sempre controllato e gestito
Gli hacker tendono ad adottare comportamenti che permettano loro di massimizzare le opportunità, come passare da una minaccia all’altra in cluster, mirando alle vulnerabilità. Un esempio di nuove tecnologie nel mirino dei criminali informatici sono le piattaforme web che rendono più facile la presenza online di utenti e imprese; continuano infatti a essere prese di mira, anche quando sono associate a plugin di terze parti. Questo conferma l’importanza di applicare immediatamente le patch e essere consapevoli che il mondo degli exploit è in continua evoluzione.
Il ransomware è tutto tranne che scomparso
In generale, il numero elevato di ransomware è stato sostituito da attacchi più mirati, ma questo tipo di minaccia è ben lungi dall’essere scomparsa dai radar. Al contrario, gli attacchi multipli dimostrano come siano stati personalizzati per raggiungere target particolarmente importanti e per fornire agli hacker un accesso privilegiato alla rete. LockerGoga è un esempio di attacco multi-stage mirato. LockerGoga si distingue per pochi aspetti dagli altri ransomware in termini di sofisticazione funzionale. In questo caso l’attacco era mirato e c’era una precisa volontà di rendere il malware difficilmente individuabile.
Prendendo invece in esame Anatova ne emerge che, come per la maggior parte degli altri ransomware, l’obiettivo principale sia crittografare il maggior numero di file possibili presenti nel sistema di chi ne viene colpito. In questo caso, però, il ransomware evita di crittografare gli elementi che possono influire sulla stabilità del sistema che sta infettando. Entrambe queste varianti di ransomware dimostrano l’importanza per i responsabili della sicurezza di rimanere concentrati su come mettere in atto strategie di applicazione patch e backup per agire contro i ransomware. Tuttavia le minacce mirate richiedono difese più personalizzate per garantire una protezione da metodologie sofisticate di attacco.
Strumenti e tattiche per il Living off the Land
Poiché gli hacker per massimizzare i propri sforzi operano utilizzando gli stessi modelli di business delle loro ‘vittime’, i metodi di attacco spesso continuano a svilupparsi anche dopo il primo accesso. Per raggiungere questo obiettivo, nel perpetrare un attacco, i cyber criminali utilizzano sempre più strumenti dual-use oppure che siano già preinstallati sui sistemi. Questa tattica di “Living off the Land” (LoTL) consente loro di nascondere le loro attività all’interno di processi legittimi e rende più difficile rilevarli. Tali tool rendono inoltre anche l’attribuzione degli attacchi molto più difficile. Sfortunatamente, gli hacker possono usare una vasta gamma di strumenti legittimi per raggiungere il proprio obiettivo e mascherarsi.
Il bisogno di una Threat Intelligence dinamica e proattiva
Migliorare la capacità di un’organizzazione non solo di difendersi adeguatamente dalle minacce, ma anche di prepararsi all’evoluzione e all’automazione degli attacchi richiede un’intelligence delle minacce dinamica, proattiva e disponibile su tutta la rete distribuita. Tale approccio può essere utile per identificare le tendenze, evidenziando l’evoluzione dei metodi di attacco, e per individuare le priorità di cyber hygiene in base agli obiettivi degli hacker. La capacità di intervenire sulla gestione delle minacce si riduce significativamente se non può essere attuabile in tempo reale su ogni dispositivo. Solo una security fabric ampia, integrata e automatizzata può fornire protezione per l’intero ambiente di rete.