Come mostra un nuovo rapporto, i criminali informatici continuano a fare affidamento sulla compromissione della posta elettronica aziendale oltre al ransomware e utilizzano vulnerabilità note da tempo e senza patch per gli attacchi. Il rapporto mostra che le richieste di riscatto stanno diventando sempre più scandalose.
Il Threat Report di Arctic Wolf Labs è stato creato sulla base dei dati relativi a minacce, malware, analisi forensi digitali e casi di risposta agli incidenti che Arctic Wolf raccoglie nell'ambito delle operazioni di sicurezza. Fornisce approfondimenti sull’ecosistema globale del crimine informatico, evidenzia le tendenze delle minacce globali e fornisce raccomandazioni strategiche sulla sicurezza informatica per il prossimo anno.
Le richieste di ransomware aumentano del 20%
🔎 Panoramica di tutte le cause profonde delle compromissioni (Immagine: Arctic Wolf).
Negli ultimi anni il crimine informatico si è trasformato in un vero e proprio business, con offerte come il ransomware-as-a-service che hanno portato a una vera e propria “democratizzazione” del business criminale. Anche gli autori delle minacce senza competenze tecniche possono sferrare attacchi. Allo stesso tempo, i gruppi di ransomware stanno diventando sempre più aggressivi. I settori manifatturiero, dei servizi e dell’istruzione/non-profit sono stati i tre settori che sono apparsi più frequentemente sui siti di fuga di ransomware.
Alla luce degli sforzi delle forze dell’ordine internazionali e del crescente mancato pagamento da parte delle vittime, i gruppi stanno anche ampliando la loro lista di obiettivi e cercando modi per esercitare una pressione ancora maggiore sulle vittime. La richiesta media di riscatto iniziale è aumentata del 20% arrivando a 600.000 dollari rispetto all’anno precedente. Il settore pubblico, il commercio al dettaglio, l’energia e il settore legale hanno registrato ciascuno sinistri medi pari o superiori a 1 milione di dollari.
I gruppi di ransomware sono sempre più sotto pressione
Lo smantellamento del gruppo di hacker Lockbit nell’ambito dell’“Operazione Cronos”, in cui hanno collaborato investigatori internazionali, tra cui NCA, FBI ed Europol, è un esempio recente di gruppi di ransomware sottoposti a crescente pressione. Ma purtroppo questo smantellamento avrà molto probabilmente solo effetti a breve termine. Del grande gruppo di ransomware, che mieteva in media 1,3 vittime al giorno, solo sei persone sono state identificate e solo due di loro sono state arrestate. Si può quindi presumere che gli stessi attori torneranno presto ad operare con nomi diversi. Occorre quindi ancora grande vigilanza.
Il Business Email Compromise rimane popolare – e meno studiato
🔎 Le 10 principali vulnerabilità: più della metà degli incidenti indagati da Arctic Wolf sfruttavano almeno una delle seguenti 10 vulnerabilità (Immagine: Arctic Wolf).
Il ransomware potrebbe fare più notizia, ma gli incidenti BEC sono efficaci e molto più facili da eseguire. Inoltre, in genere solo gli incidenti BEC più gravi, come quelli che comportano la compromissione dell'account o altri tentativi di accesso, comportano un'indagine IR (Incident Response) completa. Un incidente ransomware ha 15 volte più probabilità di portare a un’indagine rispetto a un incidente BEC, anche se gli incidenti BEC superano gli incidenti ransomware di un fattore 10.
Tuttavia, come nell’anno precedente, gli incidenti BEC hanno rappresentato quasi il 30% di tutti gli incidenti indagati da Arctic Wolf® Incident Response durante questo periodo di riferimento, sottolineando quanto continuino a rappresentare una minaccia quotidiana per le organizzazioni.
Le vulnerabilità note causano il 60% degli incidenti di sicurezza
Nel 29% degli incidenti non BEC esaminati da Arctic Wolf, gli aggressori hanno sfruttato una vulnerabilità in un sistema accessibile dall’esterno. In quasi il 60% di questi incidenti, si trattava di una vulnerabilità identificata già nel 2022 o prima, il che significa che le organizzazioni avrebbero teoricamente avuto mesi o anni per applicare patch al sistema interessato o rimuovere (o proteggere ulteriormente) l’accesso esterno. Solo l’11,7% di questi incidenti non BEC – o il 3,4% degli incidenti complessivi – conteneva una vulnerabilità zero-day, un rischio per la sicurezza precedentemente sconosciuto.
Altro su ArcticWolf.com
A proposito di lupo artico Arctic Wolf è un leader globale nelle operazioni di sicurezza, fornendo la prima piattaforma di operazioni di sicurezza nativa del cloud per mitigare il rischio informatico. Sulla base della telemetria delle minacce che copre endpoint, rete e fonti cloud, Arctic Wolf® Security Operations Cloud analizza più di 1,6 trilioni di eventi di sicurezza alla settimana in tutto il mondo. Fornisce informazioni critiche per l'azienda su quasi tutti i casi d'uso della sicurezza e ottimizza le soluzioni di sicurezza eterogenee dei clienti. La piattaforma Arctic Wolf è utilizzata da oltre 2.000 clienti in tutto il mondo. Fornisce rilevamento e risposta automatizzati alle minacce, consentendo alle organizzazioni di tutte le dimensioni di impostare operazioni di sicurezza di livello mondiale con la semplice pressione di un pulsante.