Tra agosto 2023 a marzo 2024, il furto di informazioni, i trojan e il ransomware emergono come le principali minacce informatiche. Questo è quanto evidenzia il Cisco Cyber Threat Trends Report 2024, analisi di dettaglio che sfrutta la capacità di Cisco di gestire una media di 715 miliardi di richieste Dns al giorno, basandosi sull’attività osservata dalle organizzazioni che utilizzano la soluzione Cisco Umbrella.
Il Domain Name System (Dns) consente di connettere gli utenti a siti Web e applicazioni in modo rapido e preciso, proprio per questo oggi svolge un ruolo cruciale anche per la sicurezza informatica. Cisco, con la sua capacità di risolvere miliardi di richieste Dns quotidianamente, si pone in una posizione di vantaggio che consente di individuare e bloccare le minacce informatiche prima che possano causare danni. Alla base Cisco Talos, è il gruppo di ricerca che con il suo lavoro alimenta tutti i servizi di sicurezza di Cisco, fornendo intelligence sulle minacce e analisi del traffico Dns che permette di identificare le attività malevole e i sistemi compromessi con maggiore precisione.
Furto di informazioni
Tra le principali minacce, il furto di informazioni. Gli information stealer sono programmi dannosi progettati per raccogliere vari tipi di informazioni personali e finanziarie da un sistema infetto. Questi malware catturano sequenze di tasti premuti, estraggono file, rubano dati del browser come password e cookie, etc.. Le campagne di malvertising e phishing sono i vettori di distribuzione più comuni per questi stealer. Ecco allora che il report evidenzia che il furto di informazioni è stato rilevato/bloccato dai sistemi Cisco in media 246 milioni di volte al mese. Redline, un information stealer identificato per la prima volta nel 2020, continua a essere una delle principali minacce: è in grado di rubare informazioni come password memorizzate nei browser, dati delle carte di credito, credenziali di accesso Vpn e altre informazioni sensibili. Questo malware viene generalmente diffuso tramite email e campagne di malvertising, e ha recentemente preso di mira la comunità dei giocatori utilizzando esche legate a Web3.
Il furto di informazioni è in continua evoluzione anche perché le tecniche di distribuzione utilizzate, come il phishing e il malvertising, sono estremamente efficaci nel raggiungere un ampio numero di vittime. L’incremento dell’attività degli stealer può essere attribuito proprio alla crescente sofisticazione di questi malware e alla loro capacità di eludere le misure di sicurezza tradizionali. Le informazioni rubate vengono poi spesso rivendute nel Dark Web, dove sono altamente valutate per attività criminali come il furto di identità e la frode finanziaria.
Trojan, minaccia camaleontica
Seconda minaccia considerata dal report: i trojan. Insidiosi, in quanto si presentano come software legittimo per ingannare gli utenti sulla loro vera natura. Una volta installati, possono fornire agli attaccanti accesso tramite backdoor ai sistemi infetti, permettendo loro di spiare l’utente, rubare dati sensibili e diffondere ulteriori malware. Il report evidenzia che l’attività dei trojan è stata bloccata in media 175 milioni di volte al mese. In particolare, Qakbot, un trojan multifunzionale e sofisticato, ha mostrato ottime capacità di rubare credenziali bancarie e altre informazioni personali, oltre a fornire un accesso backdoor per installare ulteriori malware. Questo trojan si diffonde sfruttando vulnerabilità delle reti e attacchi a forza bruta sulle credenziali degli account. E la sua capacità di sfruttare le vulnerabilità delle reti e di propagarsi -proprio attraverso attacchi a forza bruta – lo rende una minaccia persistente e diffusa. L’alta incidenza di blocchi di trojan evidenziata nel report sottolinea la necessità di misure di sicurezza proattive e di una vigilanza continua per proteggere le reti aziendali.
Ransomware, minacce persistenti
Rappresenta ancora una delle minacce informatiche più lucrative per i criminali informatici. La profittabilità del ransomware, unita alla disponibilità crescente di piattaforme per il ransomware-as-a-service, permette anche agli attaccanti meno esperti di lanciare campagne efficaci. Il report indica che l’attività dei malware è stata bloccata in media 154 milioni di volte al mese. E’ Lockbit uno dei ransomware più attivi oggi. Rappresenta oltre il 25% del numero totale di post sui siti di leak di dati. Nonostante un’operazione internazionale di forze dell’ordine nel febbraio 2024 sia riuscita a interrompere temporaneamente le attività di Lockbit, il gruppo è stato rapidamente in grado di riprendere le operazioni utilizzando nuovi server e crittografi. Le aziende devono adottare una strategia di difesa multilivello che includa il backup regolare dei dati, l’educazione degli utenti, l’implementazione di soluzioni avanzate di rilevamento e risposta agli incidenti per mitigare i rischi associati al ransomware.
Rat, Atp, botnet e backdoor… I trend
I Rat (Remote Access Trojans) sono malware che forniscono un accesso remoto amministrativo ai computer infetti. Permettono agli intrusi di monitorare il comportamento degli utenti, accedere a informazioni riservate, compiere azioni come l’attivazione della webcam del sistema e la distribuzione di ulteriori malware. Nel periodo analizzato, l’attività dei Rat è stata bloccata in media 46 milioni di volte al mese. Un esempio è Gh0st Rat, utilizzato in campagne di spionaggio per anni. La scoperta di nuove varianti, come SugarGh0st, dimostra che questi strumenti continuano a evolvere e a rappresentare una minaccia significativa. La capacità dei Rat di rimanere nascosti per lunghi periodi, e di fornire accesso continuo agli attaccanti, rende essenziale l’implementazione di misure di sicurezza rigorose e di monitoraggio costante delle reti.
Gli Apt (Advanced Persistent Threats) sono minacce complesse e sofisticate che colpiscono specifiche entità con l’intento di rubare informazioni o interrompere le operazioni. Queste minacce sono persistenti, spesso rimanendo non rilevate in una rete per lunghi periodi, e sono eseguite da gruppi ben finanziati o sponsorizzati da stati. Nel periodo analizzato, l’attività degli Apt è stata bloccata in media 40 milioni di volte al mese. In particolare Turla Group, noto per le sue operazioni di cyber spionaggio, continua a sviluppare nuove varianti di malware come TinyTurla-NG, si tratta allora di adottare un approccio proattivo alla sicurezza, combinando il monitoraggio continuo delle reti con l’intelligence sulle minacce per rilevare e mitigare gli Apt.
Ne abbiamo parlato in diversi contributi, così come anche delle botnet: si tratta di reti di computer infetti controllati da terzi. Questi computer possono essere usati per lanciare attacchi DDoS, inviare email spam, rubare dati o diffondere malware. Nel periodo analizzato, l’attività delle botnet è stata bloccata in media 31 milioni di volte al mese, con un picco di attività del 174% sopra la media nel mese di marzo 2024. Anche le botnet rappresentano una minaccia significativa per la capacità di propagarsi rapidamente attraverso un gran numero di dispositivi, inclusi quelli dell’Internet of Things (IoT). Un esempio su tutti: Mirai, che ha mostrato il suo potenziale distruttivo in particolare nel 2016. La crescita poi di botnet come TheMoon, che ha raggiunto 40mila endpoint in 88 Paesi, evidenzia la necessità di una protezione avanzata delle reti.
Arriviamo così all’analisi delle ultime due minacce in ordine di frequenza di rilevamento. I dropper sono la prima. Sono malware progettati per installare altri malware sul sistema bersaglio. Il loro scopo è bypassare le misure di sicurezza iniziali e stabilire una base da cui scaricare ed eseguire altri programmi dannosi. Nel periodo analizzato, l’attività dei dropper è stata bloccata in media 20 milioni di volte al mese. Un esempio l’azione di xHelper, un dropper noto per la sua persistenza, indicativa di come questi strumenti possano eludere i tentativi di rimozione e continuare a rappresentare una minaccia. La capacità dei dropper di aggirare le difese iniziali sottolinea allora l’importanza di un monitoraggio continuo e di una risposta rapida agli incidenti per proteggere le reti aziendali.
Infine, le sempiterne backdoor sono metodi che permettono agli utenti non autorizzati di bypassare l’autenticazione normale e ottenere accesso remoto a un computer o una rete. Nel periodo analizzato, l’attività delle backdoor è stata bloccata in media 14 milioni di volte al mese. Cobalt Strike, come strumento legittimo utilizzato per test di penetrazione è spesso sfruttato dai criminali informatici per scopi malevoli. La capacità di Cobalt Strike di mimetizzare il suo traffico di rete e di fornire un ampio set di strumenti per l’escalation dei privilegi e il movimento laterale rende le backdoor una delle minacce più difficili da rilevare e neutralizzare.
I 10 consigli di Cisco
In forma decisamente schematica proviamo a riassumere i più importanti consigli di Cisco per fare fronte allo scenario appena delineato.
- Utilizzare filtri Dns: bloccare l’accesso ai domini e agli indirizzi IP noti come malevoli può prevenire connessioni a server di comando e controllo, siti di phishing e altre risorse online pericolose.
- Sfruttare l’intelligence sulle minacce: integrare i feed di intelligenza sulle minacce con i sistemi di sicurezza per mantenere aggiornato l’elenco degli host malevoli.
- Monitorare il traffico Dns: analizzare regolarmente i log Dns per rilevare modelli insoliti che potrebbero indicare attività malevole.
- Proteggere i resolver Dns: configurare in modo sicuro i resolver Dns per prevenire attacchi di hijacking e cache poisoning.
- Segmentare le reti: limitare la diffusione del malware segmentando la rete. Se un dispositivo viene compromesso, la segmentazione può prevenire la propagazione laterale del malware.
- Protezione degli endpoint: utilizzare soluzioni di protezione avanzate per rilevare e bloccare il malware, comprese le minacce zero-day.
- Implementare controlli di accesso: utilizzare il principio del privilegio minimo e metodi di autenticazione forti per minimizzare l’impatto di backdoor e Rat che potrebbero ottenere l’accesso a un sistema.
- Applicare patch, aggiornare i sistemi, pianificare la risposta agli incident: serve mantenere tutti i sistemi e i software aggiornati con le ultime patch per proteggersi dalle vulnerabilità e sviluppare e testare regolarmente un piano di risposta agli incidenti per essere pronti a rispondere efficacemente agli incidenti di cybersecurity.
- Educare gli utenti: Formare i dipendenti sulle migliori pratiche di sicurezza per aiutarli a identificare i tentativi di phishing e altre tattiche di ingegneria sociale.
- Eseguire backup dei dati e creare strategia di difesa a più livelli: parliamo di backup regolari dei dati critici assicurandosi che siano archiviati in modo sicuro e che i dati possano essere ripristinati rapidamente. Infine, utilizzare un approccio stratificato alla sicurezza, combinando la sicurezza a livello di Dns con altri controlli di sicurezza come firewall, sistemi di rilevamento e prevenzione delle intrusioni (Ids/Ips).
© RIPRODUZIONE RISERVATA