Home » News » Cybersecurity

Global Threat Landscape Report: dati 2022 e trends minacce IT e OT

Global Threat Landscape Report trends e minacce

Il crimine informatico e le tattiche dei cybercriminali sono in costante evoluzione: l’elevato numero di varianti Ransomware-as-a-Service, l’utilizzo di tecniche di evasione della ricognizione e della difesa, le vulnerabilità del work-from-anywhere e la sempre maggiore diffusione dei wipers sono gli aspetti principali rivelati dal Global Threat Landscape Report di Fortinet ® (NASDAQ: FTNT).

Il report riflette l’analisi collettiva dei FortiGuard Labs, che hanno raccolto e analizzato i dati di miliardi di eventi e attacchi osservati in tutto il mondo nella prima metà del 2022, e comprende prospettive sia globali che regionali, così come i trends relativi alle minacce che riguardano IT e OT.

“I cybercriminali – sottolinea Derek Manky, Chief Security Strategist & VP Global Threat Intelligence dei FortiGuard Labs – stanno perfezionando i propri playbooks per ostacolare le difese e ampliare le proprie reti di affiliati. In particolare utilizzano strategie aggressive, come l’estorsione o la cancellazione dei dati, e si concentrano sulle tattiche di ricognizione prima dell’attacco per garantire un migliore ritorno sugli investimenti delle minacce. Per combattere gli attacchi avanzati e sofisticati, le organizzazioni hanno bisogno di soluzioni di sicurezza integrate, in grado di acquisire in tempo reale le informazioni sulle minacce, rilevarne i modelli e correlare enormi quantità di dati per identificare le anomalie e avviare automaticamente una risposta coordinata attraverso le reti ibride”.

Aumento esponenziale delle varianti ransomware

Il ransomware rimane una delle principali minacce per la cybersecurity, con gli hackers che investono molte risorse nelle nuove tecniche di attacco. Negli ultimi sei mesi si è registrata una crescita di quasi il 100% delle varianti ransomware: i FortiGuard Labs hanno rilevato 10.666 varianti, mentre nel semestre precedente esse ammontavano a 5.400. Il RaaS, molto popolare nel dark web, continua ad alimentare l’industria del crimine informatico, costringendo le organizzazioni a considerare l’opizione del pagamento dopo essere state colpite da un ransowmare.

“Per proteggersi – continuano da Fortinet -, indipendentemente dal settore in cui operano o dalle proprie dimensioni, le organizzazioni devono adottare un approccio proattivo. La visibilità, la protezione e la remediation in tempo reale, insieme allo zero-trust network access (ZTNA) e alla detection e response degli endpoints (EDR), sono fondamentali”.

Evasione della defense: la tattica più diffusa

L’esame delle strategie attuate dai criminali informatici rivela come le tattiche di attacco si stiano evolvendo. Dall’analisi delle funzionalità dei malwares rilevati effettuata dai FortiGuardLabs per individuare gli approcci più diffusi negli ultimi sei mesi, è emerso che l’elusione della difesa, che si basa sull’esecuzione di proxies binari di sistema, è stata la principale delle otto tattiche e tecniche focalizzate sull’endpoint utilizzate dagli sviluppatori di malwares. Nascondere le intenzioni malevole è uno degli aspetti più importanti per gli hackers, che cercano di eludere le difese mascherandole e tentando di nascondere i comandi utilizzando un certificato legittimo per eseguire un processo affidabile e conseguire i propri obiettivi.

La seconda tecnica più diffusa è la process injection, grazie alla quale i criminali iniettano codice nello spazio degli indirizzi di un altro processo per eludere le difese e migliorare così la furtività delle proprie azioni.

“Se metteranno in pratica un’intelligence che fornisce informazioni tattiche – evidenziano da Fortinet -, le organizzazioni saranno in grado di proteggersi al meglio dai toolkits utilizzati dal cybercrime. Per proteggere tutti i perimetri delle reti ibride risultano essere molto importanti le piattaforme di cybersecurity integrate, basate su AI e ML, con capacità avanzate di rilevamento e risposta alimentate da un’intelligence sulle minacce che fornisce informazioni tattiche”.

Tecniche di elusione della difesa cybercriminali

Attacchi alle aziende attraverso OT ed endpoints

A causa del work-from-anywhere diffuso, gli endpoints continuano ad essere uno dei principali obiettivi dei cybercriminali che vogliono accedere alle reti aziendali. Inoltre, gli ambienti OT e IT sono bersagli di particolare interesse per gli hackers alla costante ricerca delle opportunità che possono nascere dall’espansione della superficie di attacco e dalla convergenza IT/OT. Molti exploits delle vulnerabilità a livello di endpoint coinvolgono utenti non autorizzati che accedono a uno specifico sistema, con l’obiettivo di attuare un movimento laterale che consenta di entrare più in profondità nelle reti aziendali. Ad esempio, una vulnerabilità di spoofing (CVE 2022-26925) e una di esecuzione di codice remoto (RCE) (CVE 2022-26937) hanno avuto un grande impatto sulle aziende.

L’analisi delle vulnerabilità degli endpoints in base al volume e ai rilevamenti evidenzia il percorso inarrestabile dei criminali informatici che cercano di ottenere accesso alle reti delle organizzazioni sfruttando al massimo vulnerabilità vecchie e nuove.

Nemmeno il settore OT è stato risparmiato: un’ampia gamma di dispositivi e piattaforme ha subito exploits in-the-wild, dimostrando la crescente convergenza IT e OT in ambito cybersicurezza e gli obiettivi dirompenti degli avversari.

“La tecnologia avanzata per gli endpoints – suggeriscono da Fortinet – può aiutare a mitigare e ad attuare una remediation efficace dei dispositivi infetti nelle prime fasi di un attacco. Inoltre, è possibile utilizzare un DRPS (Digital Risk Protection Service) per eseguire valutazioni della superficie esterna delle minacce, individuare e correggere i problemi di sicurezza e contribuire a ottenere informazioni contestuali sulle minacce attuali e imminenti.

Wipers in crescita

Il fatto che i wipers, software dannosi che distruggono i dati, siano in tendenza rivela un’inquietante evoluzione delle tecniche di attacco più distruttive e sofisticate. La guerra in Ucraina, ad esempio, ha contribuito a determinare un aumento sostanziale di questi malwares, che cancellano il contenuto del disco rigido, tra i cybercriminali che mirano principalmente alle infrastrutture critiche.

Nei primi sei mesi del 2022, i FortiGuard Labs hanno identificato almeno sette nuove varianti di wipers, che sono state utilizzate in diverse campagne contro organizzazioni governative, militari e private; il loro numero si avvicina a quello di varianti wiper rilevate pubblicamente dal 2012. I wipers sono stati rilevati in 25 Paesi, Ucraina compresa.

Il consiglio di Fortinet per ridurre al minimo l’impatto di questo tipo di attacchi e rilevare meglio le intrusioni è di utilizzare la Network Detection and Response (NDR) con intelligenza artificiale (AI) dotata di autoapprendimento, e di archiviare off-site e offline i backups.

Difendersi dai cybercriminali: sicurezza AI-powered

Chiari i consigli di Fortinet per la protezione dalle minacce informatiche: “Quando le organizzazioni acquisiscono una comprensione più approfondita degli obiettivi e delle tattiche utilizzate dai cybercriminali attraverso la threat intelligence, possono allineare al meglio le proprie difese per adattarsi e reagire in modo proattivo alle tecniche di attacco. Le informazioni sulle minacce sono fondamentali per aiutare a stabilire le priorità delle strategie di patching per proteggere al meglio gli ambienti. Anche la consapevolezza e la formazione in materia di cybersecurity sono importanti per mantenere aggiornati i dipendenti e i teams di sicurezza, in quanto il panorama delle minacce è in continua evoluzione. Le organizzazioni hanno bisogno di security operations in grado di funzionare alla velocità delle macchine per tenere il passo con il volume, la sofisticazione e la velocità delle minacce informatiche odierne. Le strategie di prevenzione, rilevamento e risposta basate su AI e ML e su un’architettura mesh di cybersecurity consentono un’integrazione molto più stretta, una maggiore automazione e una risposta più rapida, coordinata ed efficace alle minacce in tutta la rete” concludono.

La metodologia

Simile al modo in cui il framework MITRE ATT&CK classifica le strategie e le tecniche di attacco, con i primi tre raggruppamenti che coprono la ricognizione, lo sviluppo delle risorse e l’accesso iniziale, il FortiGuard Labs Global Threat Landscape Report sfrutta questo modello per descrivere come gli attori delle minacce trovano le vulnerabilità, costruiscono infrastrutture dannose e sfruttano i loro obiettivi.

Immagini: Fortinet.

Condividi questo articolo su:

RIVISTA

Scarica l’ultimo numero in versione PDF.



Fiere ed eventi

S NewsLetter

Rimani sempre aggiornato sulle ultime novità della sicurezza.

Ho letto e compreso la vostra privacy policy.