Com’è cambiato il panorama della cybersicurezza nel 2022 secondo Proofpoint
Proofpoint ha pubblicato il suo report annuale Human Factor che evidenzia come, dopo due anni di sconvolgimenti legati alla pandemia, il 2022 abbia rappresentato un ritorno alle normali attività per i cybercriminali di tutto il mondo. Con la fine delle misure sanitarie ed economiche del COVID-19, gli attaccanti hanno dovuto infatti trovare nuovi modi per continuare a operare, affinando le loro abilità di social engineering, rendendo comuni tecniche di attacco un tempo sofisticate e cercando di identificare nuove opportunità creative.
Dall’incremento di attacchi brute-force e mirati rivolti ai tenant cloud all’aumento di azioni di smishing conversazionale fino alla proliferazione di bypass dell’autenticazione multifattoriale (MFA), secondo Proofpoint il panorama delle attività cybercriminali ha visto sviluppi significativi su diversi fronti nel 2022.
“Con Microsoft 365 che costituisce un’ampia percentuale della superficie di attacco di un’organizzazione tradizionale, l’abuso esteso di questa piattaforma, dalle macro di Office ai documenti di OneNote, continua a definire il panorama delle minacce” ha dichiarato Ryan Kalember, executive vice president, cybersecurity strategy di Proofpoint. “I controlli di sicurezza sono lentamente migliorati, ma gli attori delle minacce hanno innovato e scalato le loro strategie; tecniche come il superamento dell’MFA e l’invio di attacchi telefonici, una volta riservati al red team, sono ora comuni. Sebbene molti attori stiano ancora sperimentando, quello che rimane invariato è il loro concentrarsi sulle persone, che continuano a rappresentare la variabile più critica nella catena di attacco odierna.”
I principali risultati evidenziati nel report Human Factor 2023 di Proofpoint includono:
- L’uso delle macro di Office è crollato dopo l’introduzione dei controlli da parte di Microsoft per bloccarle: dopo quasi tre decenni come metodo popolare di distribuzione del malware, le macro di Office hanno finalmente iniziato a diminuire dopo che Microsoft ha cambiato il modo in cui il proprio software gestisce i file scaricati dal web. Le modifiche hanno dato il via a una continua sperimentazione da parte degli attori delle minacce, alla ricerca di tecniche alternative per compromettere gli obiettivi.
- Gli attori delle minacce hanno iniziato a combinare il proprio ingegno con nuovi livelli di precisione e pazienza: minacce quali smishing conversazionale e pig butchering, che iniziano con l’invio di messaggi apparentemente innocui, sono aumentate lo scorso anno. In ambito mobile, questa è stata la minaccia in più rapida crescita, con un volume dodici volte superiore. La consegna di attacchi orientati al telefono (TOAD) ha raggiunto un picco di 13 milioni di messaggi al mese. Diversi attori APT sponsorizzati da uno Stato hanno investito molto tempo nello scambio di messaggi benevoli con i loro obiettivi per costruire un rapporto nel corso di settimane e mesi.
- I kit di phishing per superare l’MFA sono diventati onnipresenti, consentendo anche a criminali non tecnici di avviare una campagna di phishing: framework per il bypass dell’MFA come EvilProxy, Evilginx2 e NakedPages sono stati responsabili di oltre un milione di messaggi di phishing al mese.
- L’infrastruttura legittima svolge un ruolo chiave nella realizzazione di molti attacchi basati su cloud e mostra i limiti delle protezioni basate su regole: la maggior parte delle organizzazioni ha affrontato minacce provenienti dai noti giganti del cloud, Microsoft e Amazon, la cui infrastruttura ospita innumerevoli servizi legittimi su cui le organizzazioni fanno affidamento.
- Nuovi metodi di distribuzione hanno portato SocGholish nella top five delle minacce informatiche per volume di messaggi: con un nuovo metodo di distribuzione che coinvolge download drive-by e falsi aggiornamenti del browser, l’attore dietro la minaccia SocGholish – TA569 – è stato sempre più in grado di infettare i siti web per distribuire malware esclusivamente attraverso download drive-by, convincendo le vittime a scaricarlo attraverso falsi aggiornamenti del browser. Molti siti che ospitano il malware SocGholish non ne sono consapevoli, facendo proliferare ulteriormente la sua diffusione.
- Le minacce al cloud sono diventate onnipresenti: il 94% dei tenant cloud viene preso di mira ogni mese da un attacco cloud – mirato o brute-force – con una frequenza pari a quella dei vettori email e mobile. Il numero di attacchi brute-force, in particolare lo spraying di password, è passato da una media mensile di 40 milioni nel 2022 a quasi 200 milioni a inizio 2023.
- Abusare della notorietà dei grandi brand è una delle forme più semplici di ingegneria sociale: i prodotti e servizi Microsoft occupano quattro delle prime cinque posizioni tra i brand abusati, mentre Amazon è quello più sfruttato in assoluto.
- Un accesso iniziale riuscito può portare rapidamente ad attacchi a livello di dominio, come l’infezione da ransomware o il furto di dati: il 40% di identità di amministratore mal configurate o “shadow” può essere sfruttato in un solo passaggio, come la reimpostazione di una password di dominio per elevare i privilegi. Inoltre, il 13% degli shadow admin è risultato già in possesso di privilegi di amministratore di dominio, consentendo agli attaccanti di raccogliere le credenziali e accedere ai sistemi aziendali. Circa il 10% degli endpoint ha una password di account privilegiato non protetto e il 26% di questi account esposti sono amministratori di dominio.
- Emotet è tornato a essere il più importante attore di minacce al mondo, un anno dopo la chiusura della botnet da parte delle forze dell’ordine nel gennaio 2021: nonostante l’invio di oltre 25 milioni di messaggi nel 2022 segnalato da Proofpoint (più del doppio del volume del secondo attore di minacce più importante), la presenza di Emotet è stata intermittente e il gruppo ha mostrato segni di rallentamento nell’adattarsi al panorama delle minacce post-macro.