Fortinet ha annunciato ieri i risultati del suo ultimo Global Threat Landscape Report. La ricerca rivela che i criminali informatici stanno evolvendo i metodi di attacco per aumentare le probabilità di successo e accelerarne la diffusione. Mentre il ransomware continua a incidere sulle organizzazioni in maniera distruttiva, alcuni indicatori rivelano che i criminali informatici preferiscono ora i sistemi di dirottamento e li usano per il cryptomining piuttosto che tenerli in ostaggio per chiedere un riscatto.

I dati indicano inoltre che i criminali informatici stanno migliorando e sono più sofisticati nell’uso del malware e nello sfruttamento di nuove vulnerabilità zero-day annunciate per attaccare in maniera rapida e su vasta scala. Mentre il numero di rilevazioni di exploit per impresa è diminuito del 13% nel primo trimestre del 2018, il numero di rilevamenti di exploit unici è cresciuto di oltre l’11%, mentre il 73% delle aziende ha registrato un grave exploit. Ecco alcuni dei punti salienti del nuovo report.

Picchi di cryptojacking

La prevalenza del malware cryptomining è più che raddoppiata da un trimestre all’altro passando dal 13% al 28%. Anche il malware criptojacking sta mostrando un’incredibile diversità per una minaccia relativamente nuova. I criminali informatici stanno creando malware più efficaci senza alcun file per iniettare il codice infetto nei browser con una minore probabilità di rilevamento. Gli hacker hanno come obiettivo più sistemi operativi e diverse criptovalute, tra cui Bitcoin e Monero.

Attacchi mirati per il massimo impatto

L’impatto del malware distruttivo rimane elevato, in particolare quando i criminali lo combinano ad attacchi a firma dell’ideatore. Per questo genere di attacchi più mirati gli hacker conducono una ricognizione significativa su un’organizzazione prima di lanciare un attacco, il che li aiuta ad aumentare le probabilità di successo. Il malware Olympic Destroyer e il più recente ransomware SamSam sono esempi in cui i criminali informatici combinano un attacco a una carica distruttiva per il massimo impatto.

cryptomining

Il ransomware continua a disturbare

La crescita del volume e della sofisticazione del ransomware continua a rappresentare una sfida significativa per la sicurezza delle organizzazioni. Il ransomware continua ad evolversi, sfruttando nuovi canali di consegna come il social engineering e nuove tecniche come gli attacchi a più stadi per eludere il rilevamento e infettare i sistemi. Il ransomware GandCrab è emerso a gennaio con la peculiarità di essere il primo ransomware a richiedere la criptovaluta Dash come strumento di pagamento. BlackRuby e SamSam erano altre due varianti di ransomware emerse come principali minacce durante il primo trimestre del 2018.

Vettori di attacco multipli

Sebbene gli attacchi ai canali laterali soprannominati Meltdown e Spectre abbiano dominato i titoli dei giornali nel corso del trimestre, alcuni dei principali attacchi hanno preso di mira i dispositivi mobili o gli exploit noti su tecnologie router, web o Internet. Il 21% delle organizzazioni ha segnalato malware mobile, in aumento del 7%, a dimostrazione che i dispositivi IoT continuano a essere presi di mira. Microsoft ha continuato a essere il bersaglio numero uno per gli exploit, mentre i router si sono posizionati al secondo posto nel volume di attacco totale. Anche i Content Management Systems (CMS) e le tecnologie web oriented sono state fortemente presi di mira.

Cyber Hygiene: più che semplici patch

Misurando la durata delle infezioni botnet in base al numero di giorni consecutivi in cui vengono rilevate le comunicazioni continue, emerge che la cyber hygene richiede più che semplici patch. Si tratta anche di pulizia. I dati hanno mostrato che il 58,5% delle infezioni da botnet è stato rilevato e pulito lo stesso giorno. Il 17,6% delle botnet è rimasto per due giorni consecutivi e il 7,3% tre giorni. Circa il 5% è durato più di una settimana. Ad esempio, la botnet Andromeda è stata rimossa nel quarto trimestre 2017, ma i dati del primo trimestre successivo lo hanno rilevato con evidenza sia in termini di volume che di prevalenza.

“Stiamo affrontando una preoccupante convergenza di tendenze nel panorama della sicurezza informatica. I criminali informatici stanno dimostrando la loro efficienza e abilità nello sfruttare la superficie di attacco digitale in espansione, attraverso nuove minacce zero-day e massimizzando l’accessibilità del malware per perpetrare attacchi. Inoltre, i team IT e OT spesso non dispongono delle risorse necessarie per mantenere i sistemi adeguatamente protetti ed efficaci. Fortunatamente, l’implementazione di un tessuto di sicurezza che privilegia la velocità, l’integrazione, l’analisi avanzata e il processo decisionale basato sul rischio, può consentire una protezione completa a velocità e scalabilità della macchina” ha dichiarato Phil Quade, chief information security officer di Fortinet.