Sofisticazione, velocità e tecniche di diversificazione degli attacchi dimostrano l’importanza di rafforzare l’intera Cyber Kill Chain

Fortinet, leader globale nelle soluzioni di cybersicurezza integrate e automatizzate, annuncia la pubblicazione dell’ultimo FortiGuard Labs Global Threat Landscape Report. La threat intelligence relativa alla seconda metà del 2021 rivela un incremento nell’automazione e nella velocità degli attacchi, mettendo in luce l’esistenza di strategie di cybercrime persistente più avanzato che sono ancora più distruttive e non prevedibili. In aggiunta, la superficie in espansione determinata dalla presenza di lavoratori ed IT ibridi è un punto focale che i cybercriminali stanno cercando di sfruttare.

“La cybersecurity è un settore dinamico e in rapida evoluzione, ma le recenti minacce informatiche mettono in luce come oggi gli avversari informatici stiano sviluppando ed eseguendo gli attacchi a velocità senza precedenti. Tecniche di attacco nuove e sempre in evoluzione abbracciano l’intera kill chain, soprattutto nella fase di weaponization, evidenziando l’evoluzione verso una strategia di cybercrimine persistente più avanzata, distruttiva e imprevedibile. Per proteggersi da questa vasta gamma di minacce, le organizzazioni hanno bisogno di implementare strategie di prevenzione, detection e response basate sull’AI e su un’architettura mesh di cybersecurity che consenta un’integrazione molto più stretta, una maggiore automazione e una response più rapida, coordinata ed efficace alle minacce su tutto il network esteso.” Spiega Derek Manky, Chief, Security Insights & Global Threat Alliances dei FortiGuard Labs.

Log4j evidenzia la drammatica velocità di diffusione degli exploit, con cui le organizzazioni devono confrontarsi: le vulnerabilità Log4j che hanno avuto luogo alla fine del 2021 dimostrano il rapido incremento nella velocità degli exploit, che i cybercriminali stanno cercando di utilizzare a loro vantaggio. Nonostante sia emersa di recente, nella seconda settimana di dicembre, l’attività di exploitation ha conosciuto un’escalation relativamente rapida, in meno di un mese, tale da renderla il rilevamento IPS più diffuso dell’intera seconda metà del 2021. Inoltre, Log4j ha avuto quasi 50 volte il volume di attività in confronto al ben noto focolaio di ProxyLogon, che ha avuto luogo precedentemente nel 2021. La verità è che le organizzazioni, data la velocità che gli avversari informatici stanno impiegando per massimizzare le nuove opportunità, hanno purtroppo pochissimo tempo per reagire o applicare patch. Le aziende, per ridurre il rischio complessivo, hanno pertanto bisogno di poter fare affidamento su sistemi di prevenzione delle intrusioni (IPS) alimentati da AI e ML, di strategie aggressive di gestione delle patch e della visibilità della threat intelligence per dare priorità alle minacce che si diffondono più rapidamente.

 

 

Il cybercrime punta a nuovi vettori attraverso la superficie di attacco: alcune minacce che attualmente possono essere considerate minori o di basso profilo hanno il potenziale per causare problemi più grandi in futuro e sono pertanto degne di attenzione. Un esempio è il malware di recente creazione progettato per sfruttare i sistemi Linux, spesso sotto forma di binari in formato eseguibile e linkabile (ELF). Linux esegue i sistemi back-end di molte reti e soluzioni basate su container per dispositivi IoT e applicazioni mission-critical, e sta diventando pertanto un obiettivo sempre più popolare per i criminali informatici.

 

Si evidenzia come il tasso di nuove firme di malware Linux nel Q4 sia arrivato a quadruplicare rispetto a quello del Q1 2021, tra gli esempi di minacce che prendono di mira questo sistema operativo: la variante ELF Muhstik, il malware RedXOR e persino Log4j. La prevalenza di ELF e altri rilevamenti di malware per Linux è raddoppiata durante il 2021. Questa crescita di varianti e di volumi  suggerisce che il malware Linux sia sempre più parte dell’arsenale dei cybercriminali. Linux pertanto necessita di essere protetto, monitorato e gestito come qualsiasi altro endpoint nella rete, con protezione avanzata e automatizzata oltre a detection e response. In aggiunta, la security hygiene dovrebbe essere prioritaria per fornire una protezione attiva contro le minacce per i sistemi che possono essere colpiti da minacce di basso livello.

 

I trend botnet mettono in luce un’evoluzione particolarmente sofisticata dei metodi di attacco: i trend relativi alle minacce informatiche dimostrano che le botnet si stanno evolvendo per adottare nuove e più evolute  tecniche di cyber attacco. Invece di essere principalmente monolitiche e perlopiù focalizzate su attacchi DDoS, le botnet sono ora veicoli di attacco con più utilizzi che sfruttano una varietà di tecniche di attacco più sofisticate, tra cui il ransomware. Per fare un esempio, gli attori delle minacce, compresi gli operatori delle botnet come Mirai, hanno integrato exploit per la vulnerabilità Log4j nei loro kit di attacco.

 

In aggiunta, l’attività delle botnet è stata tracciata in associazione a una nuova variante del malware RedXOR, che mira ai sistemi Linux per l’esfiltrazione dei dati. I rilevamenti delle botnet che consegnano una variante del malware RedLine Stealer sono aumentati anche all’inizio di ottobre, trasformandosi per trovare nuovi obiettivi utilizzando un file a tema COVID. Per proteggere le reti e le applicazioni, le organizzazioni devono implementare soluzioni di accesso zero trust per fornire i minimi privilegi di accesso, in particolare per proteggere gli endpoint IoT e i dispositivi che si connettono al network, così come la detection automatizzata e le capacità di response per monitorare i comportamenti anomali.

 

I trend del malware mettono in luce che i cybercriminali massimizzano il “remote everything”: l’analisi della prevalenza delle varianti malware per regione geografica mostra l’interesse dei criminali informatici nel massimizzare i vettori di attacco verso il lavoro e l’apprendimento da remoto. In particolare, varie forme di malware basate sul browser si sono dimostrate prevalenti. Questo spesso prende la forma di esche di phishing o di script che iniettano codice o reindirizzano gli utenti verso siti dannosi. I rilevamenti specifici variano da una regione all’altra, ma possono essere in gran parte raggruppati in tre grandi meccanismi di distribuzione: gli eseguibili di Microsoft Office (MSExcel/, MSOffice/), i file PDF e gli script del browser (HTML/, JS/).

 

Tali tecniche continuano ad essere un modo popolare tra i criminali informatici di sfruttare il desiderio delle persone di rimanere aggiornate sulla pandemia, la politica, lo sport o altre tematiche, per poi trovare una via d’accesso alle reti aziendali. Con il lavoro ibrido e l’apprendimento da remoto ancora in auge, ci sono meno livelli di protezione tra il malware e le sue potenziali vittime.  Le organizzazioni devono adottare un approccio “work-from-anywhere” per quanto concerne la propria sicurezza, implementando soluzioni in grado di seguire, abilitare e proteggere gli utenti ovunque essi si trovino. Le aziende, in particolare, hanno bisogno di sicurezza avanzata sull’endpoint (EDR) combinata con soluzioni di zero trust access, tra cui lo ZTNA. La SD-WAN sicura è anche fondamentale per garantire una connettività WAN sicura per il network esteso.

 

L’attività ransomware è ancora elevata e diventa sempre più distruttiva: i dati dei FortiGuard Labs rivelano che la presenza di ransomware non si è abbassata dai livelli di picco dell’ultimo anno e, al contrario, la sofisticazione, l’aggressività e l’impatto di questo tipo di minacce stanno aumentando. I criminali informatici continuano ad attaccare le organizzazioni con una varietà di ceppi di ransomware sia nuovi che già visti, spesso lasciando dietro di sé una scia di distruzione. I vecchi ransomware vengono attivamente aggiornati e migliorati, a volte con malware wiper inclusi, mentre altri ransomware si stanno evolvendo per adottare modelli di business Ransomware-as-a-Service (RaaS).

 

Il Ransomware as a Service consente a un maggior numero di cybercriminali di sfruttare e distribuire il malware senza doversi però occupare di crearlo. I FortiGuard Labs hanno osservato un livello consistente di attività dannose che coinvolgono più ceppi di ransomware, comprese le nuove versioni di Phobos, Yanluowang e BlackMatter. Gli operatori dietro a BlackMatter hanno dichiarato che non avrebbero attaccato organizzazioni del settore sanitario e di altri settori nelle  infrastrutture critiche, ma lo hanno fatto comunque. Gli attacchi ransomware rimangono una realtà per tutte le organizzazioni, indipendentemente dal settore o dalle dimensioni. Le organizzazioni devono adottare un approccio proattivo con visibilità in tempo reale, analisi, protezione e remediation, insieme a soluzioni di accesso zero trust, segmentazione e backup regolare dei dati.

 

Una comprensione più approfondita delle tecniche di attacco può aiutare a fermare più velocemente il cybercrime: analizzare gli obiettivi di attacco dei criminali informatici è importante per essere in grado di dispiegare meglio le difese contro le tecniche di attacco in rapido mutamento. Per poter analizzare gli esiti malevoli dei vari attacchi, i FortiGuard Labs hanno analizzato la funzionalità del malware rilevato facendo detonare i campioni di malware raccolti durante l’anno. Il risultato è stato un elenco delle singole tattiche, tecniche e procedure (TTP) che il malware avrebbe messo in atto se i payload dell’attacco fossero stati eseguiti.

 

Questa intelligence estremamente dettagliata dimostra che fermare un avversario prima che possa agire è oggi più critico che mai, e che utilizzando alcune delle tecniche identificate, in alcune situazioni un’organizzazione potrebbe essere in grado di bloccare i metodi di attacco di un malware. Per fare un esempio, le prime tre tecniche per la fase di “esecuzione” rappresentano l’82% dell’attività. Le prime due tecniche per guadagnare un punto d’appoggio nella fase di “persistenza” rappresentano quasi il 95% della funzionalità osservata. Sfruttare questa analisi può avere un effetto importante sul modo in cui le organizzazioni danno priorità alle loro strategie di sicurezza per massimizzare la propria difesa.

 

 

Protezione contro i cyber-avversari in rapida evoluzione: poiché gli attacchi continuano a svilupparsi in sofisticazione e si estendono all’intera superficie di attacco a velocità sempre maggiori, le organizzazioni hanno bisogno di soluzioni progettate per interoperare tra loro piuttosto che funzionare in modo isolato le une dalle altre. La messa in sicurezza contro le tecniche di attacco in costante evoluzione richiederà soluzioni sempre più intelligenti, che sappiano elaborare l’intelligence delle minacce in tempo reale, rilevare i modelli e le impronte digitali delle minacce, correlare enormi quantità di dati per rilevare le anomalie e avviare automaticamente una risposta coordinata. I prodotti singoli devono essere sostituiti da una piattaforma mesh di cybersecurity che fornisca gestione centralizzata, automazione e soluzioni integrate che lavorino di concerto tra loro.

 

Uno sguardo complessivo al report: l’ultimo Global Threat Landscape Report di Fortinet riflette l’analisi collettiva dei FortiGuard Labs, tratta da una vasta gamma di sensori Fortinet che raccolgono miliardi di eventi e attacchi osservati in tutto il mondo nella seconda metà del 2010. Simile al modo in cui il framework MITRE ATT&CK classifica le strategie e le tecniche di attacco, con i primi tre raggruppamenti che coprono la ricognizione, lo sviluppo delle risorse e l’accesso iniziale, il FortiGuard Labs Global Threat Landscape Report sfrutta questo modello per descrivere come gli attori delle minacce trovano le vulnerabilità, costruiscono infrastrutture dannose e sfruttano i loro obiettivi. Il report comprende sia prospettive globali che regionali.