Aggiornamenti recenti Dicembre 3rd, 2024 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Vulnerabilità 0-day in Windows Server 2012: 0patch rilascia una fix gratuita
- In Italia raddoppiano gli attacchi contro l’istruzione e il settore governativo e militare
- CERT-AGID 23 – 29 novembre: è assalto all’INPS e alle PEC
- Per limitare le perdite finanziarie più investimenti in sicurezza
- Zscaler estende l’architettura Zero Trust a filiali, stabilimenti e cloud
Il nuovo ecosistema del cybercrimine è fatto di opportunismo e malware-as-a-service
Il mondo del cybercrimine sta cambiando rapidamente: gli attaccanti stanno migliorando le proprie tecniche per superare le difese dei sistemi, affidandosi sempre di più all’automazione delle attività per eseguire attacchi su larga scala, e l’intero ecosistema sta evolvendo verso un modello as-a-service che democratizza il cybercrime.
In un’intervista con John Shier, Field CTO threat hunting di Sophos, abbiamo approfondito il panorama attuale delle minacce e come stanno evolvendo gli obiettivi e i comportamenti degli attaccanti.
Oggi la maggior parte dei cybercriminali agisce in maniera opportunistica, cercando di guadagnare da tutto ciò che puòin ogni modo possibile; per questo, spiega Shier, il ransomware rimane una delle minacce più diffuse, con una percentuale di operatività che negli ultimi anni si aggira tra il 66% e il 75%. Al di sotto c’è tutta una serie di attività, come la data extortion, l’exfiltration, le botnet e i miner, che non fa altro che alimentare il mercato dei ransomware.
Poiché gli attaccanti agiscono per fini opportunistici, “Nessuno è un obiettivo e tutti sono un obiettivo” afferma Shier: i gruppi criminali sono sempre alla ricerca di debolezze nelle organizzazioni, siano esse software vulnerabili o credenziali esposte sul web, indipendentemente dal settore e dalla provenienza geografica.
Pixabay
I vecchi breach perseguitano le aziende
Proprio la condivisione di credenziali sul dark web è uno dei problemi di sicurezza più comuni tra le aziende. Siti come BreachForums mettono a disposizione dei cybercriminali interi database di username e password ottenuti da breach a danno di organizzazioni e privati. “I cybercriminali possono accedere ai database, trovare username e password e semplicemente cominciare a provarli” afferma Shier.
Anche i breach più vecchi rappresentano un pericolo da non sottovalutare perché in gran parte dei casi gli utenti riutilizzano le stesse password per diversi servizi o non le aggiornano. Se gli attaccanti sono in possesso di credenziali ancora valide possono entrare facilmente nella rete dell’organizzazione, ottenere persistenza e compromettere altre risorse.
Un recente report di Sophos ha evidenziato che l’88% degli attacchi registrati contro le organizzazioni era di tipo “fast”, perpetrati accedendo a servizi esterni con account validi. “Stanno letteralmente entrando dalla porta principale e il più velocemente possibile” afferma Shier. “Ecco come i vecchi breach possono impattare su di noi, perché a volte non sappiamo nemmeno che le credenziali sono state compromesse”.
Credits: weerapat- Depositphotos
Se da una parte alcune aziende non hanno ancora implementato l’autenticazione multi-fattore o i servizi di Identity and Access Management, è anche vero che i cybercriminali stanno evolvendo le proprie tecniche per superare i controlli anti-phishing e impossessarsi dei token di autenticazione; proprio per questo la cybersecurity deve essere un impegno continuo nel tempo.
Un altro problema molto diffuso è la mancanza di adeguate misure di telemetria per approfondire l’impatto degli attacchi sui sistemi e comprendere l’operato degli attaccanti. Shier riporta che il 24% dei clienti di Sophos non aveva log disponibili da analizzare; ciò crea un ambiente dove i cybercriminali possono agire sostanzialmente indisturbati.
Il cybercrimine e gli attacchi nation-state
Shier ha parlato anche del nation-state cybercrime, ovvero delle attività criminali legate agli obiettivi di un governo che mirano a ottenere informazioni su altre nazioni. Questi attacchi non colpiscono soltanto le istituzioni governative, ma anche le grandi multinazionali che collaborano coi governi e che hanno quindi accesso a informazioni preziose.
In alcuni casi gli attacchi nation-state impattano non solo le singole realtà, ma possono riversarsi all’esterno e avere delle conseguenze anche sulla popolazione; ciò accade quando le compagnie colpite sono infrastrutture critiche per il Paese. Nonostante l’obiettivo primario sia il governo, a volte ci sono effetti indesiderati che colpiscono i cittadini.
È importante quindi che tutte le organizzazioni legate in qualche modo ai governi migliorino il proprio assetto di sicurezza. “Una buona cybersecurity protegge da gran parte dei cybercrimini” sottolinea Shier, invitando le aziende a investire maggiormente sulle soluzioni di difesa per proteggersi dagli attacchi.
Pixabay
Il malware-as-a-service complica l’identificazione dei colpevoli
Oggi identificare il gruppo responsabile di un attacco non è così semplice: in attacchi come i DDoS e i miner di criptovalute molte attività sono ormai automatizzate ed è difficile trovare i colpevoli con sicurezza.
La situazione è piuttosto complessa anche per quanto riguarda i ransomware: in alcuni casi le note di riscatto portano il nome di chi ha eseguito l’attacco, ma con la diffusione del ransomware-as-a-service questi attacchi non sono più il lavoro di un singolo gruppo, quanto più di un “brand”, come lo definisce Shier.
Negli ultimi anni è nata una rete di affiliati che opera per più gruppi ransomware e sceglie gli obiettivi da colpire in base alle risorse a disposizione e alle regole di ciascun gruppo. Anche nel mondo del cybercrimine esistono delle limitazioni: alcuni “brand” vietano di attaccare specifici target, mentre altri definiscono delle condizioni da rispettare.
Quando le tecniche del gruppo ransomware Conti sono diventate pubbliche, molte organizzazioni cybercriminali hanno iniziato a copiarle, rendendo più difficile distinguere il vero responsabile degli attacchi. Alcuni gruppi hanno comunque mantenuto alcuni tratti distintivi usando specifici strumenti che li identificano; tuttavia, non è sempre così semplice capire con certezza di chi si tratta.
Invece di cercare di individuare i gruppi specifici, ciò che fa Sophos è concentrarsi sulle tattiche e sulle tecniche utilizzate raggruppandole in dei cluster di attività; ciò consente di identificare i comportamenti ricorrenti e concentrare la threat response verso le minacce più comuni.
Condividi l'articolo
Okta, altro che 1%: il breach ha colpito tutti gli utenti
Google potenzia le difese contro lo spam con RETVec
Articoli correlati
Altro in questa categoria
Approfondimenti
-
In Italia raddoppiano gli attacchi contro... L’Italia continua a essere uno dei Paesi più colpiti... -
Ingecom Ignition: “Siamo più forti, ma dobbiamo... Ingecom, fondata nel 1996 a Bilbao, è un distributore a... -
Oltre 400.000 sistemi sono esposti alle vulnerabilità più... Di recente CISA ha pubblicato la classifica delle... -
Convergenza tra IA e cybersecurity: le previsioni di Palo... Ora che l’intelligenza artificiale è entrata a far... -
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Vulnerabilità 0-day in Windows Server 2012: 0patch... I ricercatori di 0patch, piattaforma per la distribuzione... -
In Italia raddoppiano gli attacchi contro... L’Italia continua a essere uno dei Paesi più colpiti...
-
CERT-AGID 23 – 29 novembre: è assalto all’INPS e alle... Nel corso di questa settimana, il CERT-AGID ha identificato... -
Per limitare le perdite finanziarie più investimenti in... Le crescenti perdite finanziarie dovute ai cyber-attacchi... -
Zscaler estende l’architettura Zero Trust a filiali,... Zscaler ha annunciato la sua soluzione di segmentazione...
Ransomware: la serie
No posts found.
