Il crimine informatico è un business redditizio. È soggetto alle tendenze, riprende gli sviluppi attuali ed è in continua evoluzione. Quindi l'intuizione e la prospettiva sono sempre solo un'istantanea o una tendenza, come l'adozione di driver firmati vulnerabili e tattiche di gruppi statali.
Il riutilizzo delle tecniche di attacco esistenti e l'emergere di nuovi attacchi sono comuni nel panorama delle minacce. I criminali informatici spesso continuano a utilizzare strumenti e tecniche di successo e continueranno a farlo fino a quando non funzioneranno più. Afferma John Shier, Field CTO Commercial di Sophos.
I criminali informatici sono estremamente adattabili
Alcuni cambiano e adattano i propri strumenti e tecniche per allinearsi a nuovi obiettivi o per sfruttare vulnerabilità simili in modi nuovi. Tuttavia, con l'evolversi della tecnologia, anche i nuovi vettori di attacco si evolvono e gli aggressori sono costantemente alla ricerca di nuovi modi per aggirare le misure di sicurezza. Mentre le protezioni continuano a migliorare, abbiamo visto i criminali informatici adottare driver firmati vulnerabili per aggirare gli strumenti di rilevamento e risposta degli endpoint (EDR). Vediamo anche criminali informatici che emulano gruppi di stati-nazione incorporando i loro strumenti e tattiche nei loro piani di attacco.
Il metodo non ha importanza con Cybergangster: l'obiettivo è sempre il denaro
L'attacco preferito varia da cybercriminale a cybercriminale e dipende in gran parte dalle motivazioni, dalle capacità e dalla possibilità di monetizzare i propri attacchi. Ad esempio, gli Initial Access Broker (IAB) hanno motivazioni e competenze focalizzate sull'acquisizione di un punto d'appoggio nella rete di un'organizzazione e sulla vendita di tale accesso ad altri criminali informatici. I gruppi di ransomware sono specializzati nella crittografia di obiettivi di alto valore come i server e, in molti casi, anche nel furto di dati. Alcuni criminali informatici sono esperti nello sfruttare le vulnerabilità della sicurezza. Qualunque attacco si preferisca, l'obiettivo finale è chiaro: il denaro.
Gli attacchi più ripetuti sono quelli che promettono il miglior successo. Finora consistono nello sfruttamento delle vulnerabilità e nel phishing. Questi due vettori di attacco consentono la maggior parte delle violazioni della rete che spesso portano alla minaccia più comune: il ransomware.
Il ransomware rimane la minaccia più diffusa per le aziende
Molte aziende, grandi e piccole, in un'ampia gamma di settori sono vittime di ransomware ogni giorno. Ad esempio, solo a marzo sono stati segnalati 459 attacchi ransomware, quasi un terzo di questi attacchi era dovuto a una vulnerabilità zero-day nello strumento GoAnywhere MFT per il trasferimento sicuro di file, che sarebbe stato sfruttato dalla banda di ransomware Cl0p per infiltrarsi entro 10 giorni per rubare dati da presunte 130 vittime. Un'altra vulnerabilità zero-day in un prodotto software simile, MOVEit Transfer, è attualmente sfruttata attivamente dai criminali informatici, colpendo molte aziende ben note.
È importante essere consapevoli del fatto che il ransomware è sempre la fase finale di un attacco riuscito, che include anche furto di informazioni, trojan downloader, cryptominer e molte altre minacce.
È probabile che le catene di approvvigionamento siano un obiettivo imminente
Per quanto riguarda i prossimi mesi, probabilmente possiamo aspettarci un aumento degli attacchi alla filiera. Questi attacchi sembrano essere in aumento. Le compromissioni della catena di approvvigionamento sono molto allettanti per i criminali informatici in quanto possono consentire loro l'accesso a più vittime contemporaneamente. Finché i criminali informatici possono ottenere denaro da questo, questi attacchi saranno efficaci per loro e continueranno. Le aziende dovrebbero quindi non solo assicurarsi di essere preparate agli attacchi diretti, ma anche di essere in grado di difendersi dagli attacchi di partner fidati.
Sono necessarie solide pratiche di sicurezza
Poiché la superficie di attacco continua ad espandersi, è importante che individui, organizzazioni e governi rimangano vigili, implementino solide pratiche di sicurezza e investano in intelligence sulle minacce, monitoraggio proattivo e capacità di risposta agli incidenti. Valutazioni periodiche della sicurezza, gestione delle patch, formazione del personale e partnership con i professionisti della sicurezza informatica sono fondamentali per stare al passo con le minacce emergenti nel cyberspazio in continua evoluzione.
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.