I Fortiguard Labs di Fortinet, attraverso la raccolta di dati a livello globale da una vasta gamma di sensori sollecitati dagli eventi relativi alle minacce informatiche, osservano ed analizzano i fenomeni più rilevanti per quanto riguarda la cybersecurity. Dati e analisi convergono ogni semestre nel Global Threat Landscape Report. Quelli relativi ai primi sei mesi del 2020, sono ora disponibili con i rilievi degli esperti Fortinet e le prospettive sia globali che locali sul tema, arricchiti da una ricerca su tre aspetti centrali e complementari del panorama: exploit, malware e botnet.
Il primo rilievo, in linea con quanto segnalato in questi ultimi mesi da tutti gli esperti di cybersecurity, riguarda la capacità del cybercrime, come anche degli stati-nazione, di sfruttare l’emergenza sanitaria a proprio vantaggio, a partire dai cambiamenti di abitudini delle persone – facendo leva anche su paura e incertezza – e dalle diverse modalità operative che le aziende hanno dovuto adottare per la business continuity. Il passaggio al lavoro remoto, l’utilizzo esponenziale rispetto al passato, hanno ampliato la superficie esposta agli attacchi e alimentato le possibilità di successo degli attacchi basati sul phishing.
Gli esperti di Fortinet infatti spiegano come spesso in passato temi di attualità sono stati utilizzati come esche per il social engineering, ma questa tattica si è ulteriormente evoluta e sono state trovate molteplici modalità per sfruttare la pandemia globale. Intenso quindi l’utilizzo di strategie di phishing e business e-mail compromise, campagne nation-state-backed e attacchi ransomware. Di fatto sono state perfettamente combinate tutte le variabili offerte da una pandemia che ha colpito tutti nel mondo e ha determinato un’improvvisa espansione della superficie di attacco digitale. Il cybercrime si è saputo muovere decisamente in velocità.
Così commenta Derek Manky, chief, Security Insights & Global Threat Alliances dei Fortiguard Labs: “]…[Il drammatico incremento e la rapida evoluzione dei metodi di attacco dimostrano l’agilità dei criminali informatici, che cambiano rapidamente le proprie strategie per massimizzare i recenti eventi globali collegati alla pandemia di Covid-19. ]…[Le organizzazioni devono adattare le proprie strategie di difesa per tener pienamente conto dell’estensione sin dentro casa del perimetro del network ed fondamentale adottare misure volte a proteggere i propri dipendenti in remoto e, nel lungo termine, i dispositivi e le reti domestiche”. Manky, traslando l’approccio adottato per la tutela della salute nel mondo reale sottolinea l’importanza del cyber-social distancing che consiste nel “saper riconoscere i rischi e mantenere le distanze da essi”. Di fatto il perimetro della rete si sia esteso all’ambiente domestico, e i criminali informatici cercano di violare le reti aziendali sfruttando i dispositivi che i lavoratori da remoto potevano utilizzare per connettersi.
Le reti delle aziende che si sono organizzate per la business continuity hanno registrato infatti diversi cambiamenti nella struttura del traffico, che i cybercriminali hanno valutato come un’opportunità. Nella prima metà del 2020, i tentativi di exploit contro diversi router di livello consumer e dispositivi IoT sono stati in cima alla lista dei rilevamenti Ips. Mirai e Gh0st hanno dominato l’elenco dei rilevamenti di botnet più diffuse, grazie al crescente interesse degli hacker verso le vulnerabilità, vecchie e nuove, nei prodotti IoT.
Ed insieme ai router anche i browser sono finiti nel mirino del cybercrime per gli stessi obiettivi. Così il malware web-based, utilizzato nelle campagne di phishing e in altre tipologie di truffa, ha superato all’inizio di quest’anno il più tradizionale vettore della posta elettronica. E al primo posto nella lista dei malware nei mesi di gennaio e febbraio è approdata una famiglia di malware che include tutte le varianti di truffe di phishing web-based per uscirne solo a giugno, a dimostrazione della capacità degli hacker di sfruttare il momento di vulnerabilità dell’utente che naviga da casa.
Ransomware, sempre presente
Se questi rilievi sono salienti e strettamente correlati ai cambiamenti dettati dalla pandemia, il report conferma anche una serie di driver di azione costanti indipendenti dal momento. Per esempio, che ransomware e attacchi che hanno come obiettivo i dispositivi IoT e i sistemi Scada industriali non stanno affatto diminuendo, piuttosto evolvono per diventare ancora più mirati e sofisticati. Per esempio il ransomware Ekans, in circolazione da inizio anno evidenzia come si stia continuando ad ampliare il focus degli attacchi di questo tipo per includere gli ambienti OT.
Oltre al ransomware veicolato attraverso allegati di posta a tema Covid, i Fortiguard Labs hanno registrato una tipologia di ransomware in grado di riscrivere sul disco di avvio le istruzioni di avvio dei pc (Master Boot Record) prima di crittografare i dati, in altri casi i dati crittografati sono stati letteralmente rubati alle aziende, minacciando la distribuzione su larga scala e nessun verticale è stato risparmiato, mentre i primi cinque settori sotto attacco nell’ordine si sono rivelati: telco, Mssp, istruzione, governo e tecnologia.
Per quanto riguarda la distribuzione geografica, invece, la maggior parte delle minacce è stata rilevata in tutto il mondo e in tutti gli ambiti, con alcune variazioni geografiche o per settori verticali. Si è notato come l’iniziale diffusione a livello locale sia destinata sempre a propagarsi comunque in modo esteso, di fatto costringendo tutte le aziende ad elevare lo stato di allerta. La diffusione effettiva poi nelle diverse regioni dipende spesso da fattori come policy, pratiche messe in atto e tattiche di response.
I consigli di Fortinet
L’estensione fino al domicilio dei lavoratori da remoto del perimetro entro il quale si svolgono le attività aziendali ha esteso ulteriormente le possibilità per gli attaccanti e reso ancora più labile l’idea di “perimetro”.
Poiché la strategia di attacco prevede sempre l‘individuazione dell’anello debole per infiltrarsi nelle aziende, che rimangono obiettivo primario, le aziende devono attrezzarsi per proteggere gli utenti e i loro dispositivi utilizzati da remoto con le stesse modalità adottate per la rete in azienda, e a questo scopo si rivelerà funzionale la capacità di comprendere in modo approfondito i metodi e le tattiche utilizzate dagli attaccanti. La disponibilità di una piattaforma di sicurezza progettata per consentire la piena visibilità anche sulle applicazioni utilizzate in multicloud e sulla rete resta un punto nodale per una protezione efficace.
© RIPRODUZIONE RISERVATA
