Oltre un attacco su quattro, in Italia è costituito da ransomware ed in più della metà dei casi il vettore utilizzato sono le vulnerabilità presenti nelle aziende, mentre quasi il 50% degli incident italiani viene rilevato nell’industria manifatturiera, che supera anche finance e insurance. Numeri che dovrebbero far riflettere su come oggi il cybercrime sia in grado di valutare in modo intelligente l’importanza dei bersagli nei singoli Paesi e che il report X-Force Threat Intelligence Index, con i dati relativi al 2021, evidenzia anche nel rapporto, considerato come il dato percentuale globale degli attacchi al comparto manifatturiero si fermi invece a poco più del 23%. La ricerca traccia le tendenze e i modelli di attacco che Ibm Security osserva e analizza attingendo da miliardi di datapoint (rete, dispositivi di endpoint detection, risposte agli incident, tracciamento dei kit di phishing, etc.) compresi i dati forniti da Intezer.
Meno stupisce, invece, che sia proprio il phishing la causa più comune dei cyberattacchi, e che la capacità di sfruttare le vulnerabilità dei software non aggiornati resti il punto di ingresso preferito dal cybercrime, tanto da rappresentare a livello globale la causa del 44% degli attacchi ransomware (e del 47% in Italia). Lo sfruttamento delle vulnerabilità di fatto è sempre più popolare, con una percentuale in crescita del 33% rispetto all’anno precedente. Sono due quelle più sfruttate nel 2021 rinvenute nelle applicazioni aziendali tra le più utilizzate (Microsoft Exchange, Apache Log4J Library). Con il progredire dei progetti di trasformazione digitale sarà importante quindi applicare una strategia zero trust per proteggere le proprie architetture informatiche.
Complessivamente il report segnala negli ultimi dieci anni oltre 146.000 vulnerabilità, ma anche un incremento solo nell’ultimo anno del 50%, segno che la crescita maggiore è avvenuta solo in tempi recenti, caratterizzati proprio dalla trasformazione digitale delle imprese e presumibilmente di come la sfida nella gestione delle vulnerabilità debba ancora raggiungere il suo picco.
“I criminali informatici di solito inseguono il denaro. Ora con i ransomware stanno puntando a ciò che amplifica i risultati – spiega Charles Henderson, head of Ibm X-Force -. Le vulnerabilità mettono le aziende in una situazione di stallo, mentre gli attori di ransomware le usano a loro vantaggio. Questa non è una sfida binaria. La superficie di attacco sta diventando sempre più vasta e non è più sufficiente operare con il presupposto che ogni vulnerabilità nel proprio ambiente è stata corretta da patch: le imprese dovrebbero operare presupponendo di essere, prima o poi, vittime di attacco e migliorare di conseguenza la gestione delle vulnerabilità adottando una strategia zero trust“.
Non conforta nemmeno il riscontro relativo alla capacità di fronteggiare i gruppi dediti agli attacchi ransomware che sopravvivono agli sforzi delle autorità e sanno “rimodellare” attività, modalità di azione e nomi. La vita media di un gruppo ransomware è oggi di circa 17 mesi, ma Revil – responsabile del 37% di tutti gli attacchi ransomware nel 2021 – è oltre quattro anni che passa attraverso i rebrand, riemergendo e facendosi di fatto riconoscere nei tratti distintivi della sua attività che sarebbe stata interrotta con un’operazione guidata da più governi a metà del 2021.
Gli interventi dei governi di fatto possono rallentare il cybercrime e costringerlo a modificare piani e strategie, ma non certo a fermarlo, per questo le aziende devono riuscire a sfruttare le azioni di “disturbo e rallentamento” degli attacchi per predisporre una strategia difensiva efficace. Anche perché X-Force Threat Intelligence Index aggiunge un ulteriore elemento di riflessione. La ricerca segnala come il cybercrime stia ponendo le basi per prendere di mira gli ambienti cloud. Lo dice il dato che rivela l’aumento del 146% di nuovo codice ransomware Linux e uno spostamento del target di attacco verso Docker.
Gli aggressori riconoscono che i container rappresentano uno spazio comune alle organizzazioni e, quindi, stanno cercando i modi per massimizzare il Roi con malware in grado di attaccare trasversalmente le piattaforme per poi attaccare altri componenti delle infrastrutture delle loro vittime. Visibilità completa ed estesa sull’infrastruttura ibridi, interoperabilità e standard aperti possono aiutare le aziende ad eliminare i punti ciechi più vulnerabili.
© RIPRODUZIONE RISERVATA
