Nel 2023, le botnet sono tornate dalla morte, gli autori di ransomware hanno trovato modi creativi per trarre profitto dai furti e gli autori di minacce che erano rimasti in libertà per un decennio si sono reinventati per rimanere rilevanti.
Gli esperti di threat intelligence di Cisco Talos hanno analizzato gli sviluppi chiave dal 2023 e li hanno riassunti in una revisione annuale che vale la pena leggere. Il lavoro standard per l’anno 2023 della criminalità informatica evidenzia le tendenze più importanti che hanno plasmato il panorama delle minacce lo scorso anno.
Vettore di attacco ransomware
Nel 2023 la minaccia più grande per le aziende era ancora rappresentata dai ransomware. Per il secondo anno consecutivo LockBit ha conquistato una ingloriosa posizione di vertice in questo settore. E come al solito, gli aggressori si sono concentrati su strutture che dispongono di risorse limitate per la sicurezza informatica o che possono tollerare tempi di inattività minimi, soprattutto nel settore sanitario. Tuttavia, nel 2023 non tutto è andato come al solito: attori come Clop hanno fatto affidamento su exploit zero-day. Tale comportamento è solitamente associato all'attività dei gruppi Advanced Persistent Threats (APT). Un’altra novità è che gli autori del ransomware sono passati al puro ricatto e hanno saltato la parte della crittografia.
“Purtroppo, nel 2023, gli attacchi con 0 giorni non saranno più limitati agli aggressori di tipo nazionale”, afferma Holger Unterbrink, responsabile tecnico di Cisco Talos in Germania. “Se l’obiettivo è redditizio, le bande di criminali attaccheranno di nuovo con 0 giorni. Le aziende dovrebbero tenerne conto nella loro architettura di sicurezza e nella gestione del rischio”.
Gli aggressori adattano le loro strategie
I dati di telemetria di Cisco Talos mostrano che i caricatori di merci di famiglie ben note come Qakbot e IcedID hanno continuato a essere utilizzati per diffondere ransomware. Tuttavia, questi caricatori hanno perso ogni residuo del loro passato di trojan bancari e ora si presentano come eleganti strumenti per la trasmissione dei dati del carico utile. Sviluppatori e operatori sono stati in grado di adattarsi a difese migliorate e hanno trovato nuovi modi per aggirare gli aggiornamenti di sicurezza più frequenti. Sorprendente è stata anche la velocità con cui i gruppi di ransomware sono riusciti a riprendersi dai successi investigativi. Lo smantellamento della rete Quakbot nell’agosto 2023 è stato efficace solo per un breve periodo. L'analisi di Talos suggerisce che le azioni delle forze dell'ordine potrebbero non aver colpito l'infrastruttura di invio di spam degli operatori Qakbot, ma solo i loro server di comando e controllo (C2).
Dispositivi di rete e vecchie vulnerabilità presi di mira
Una tendenza nuova e interregionale è l’aumento degli attacchi ai dispositivi di rete da parte di APT e autori di ransomware. Entrambi i gruppi si sono concentrati sulle vulnerabilità dei dispositivi e sulle credenziali deboli o errate. Ciò dimostra che i sistemi di rete sono estremamente preziosi per gli aggressori, indipendentemente dalle loro intenzioni specifiche.
Quando si tratta di sfruttare le vulnerabilità delle applicazioni, l’analisi di Talos mostra che nel 2023 gli aggressori hanno preso di mira principalmente vecchie vulnerabilità, vulnerabilità note da dieci o più anni, ma in molti casi non ancora risolte. La maggior parte delle vulnerabilità attaccate più comunemente sono classificate come di gravità massima o elevata da Cisco Kenna e dal Common Vulnerability Scoring System (CVSS) e sono anche elencate nel catalogo delle vulnerabilità note di CISA.
Anche l’uso dell’ingegneria sociale per operazioni come il phishing e la compromissione della posta elettronica aziendale (BEC) è continuato senza sosta nel 2023. Tuttavia, a seguito della disattivazione predefinita delle macro da parte di Microsoft nel 2022, gli aggressori utilizzano sempre più altri tipi di file per nascondere il proprio malware. I PDF sono stati l'estensione di file bloccata più frequentemente quest'anno.
Le attività dell’APT dimostrano instabilità geopolitica
L’analisi dei gruppi APT provenienti da Cina, Russia e Medio Oriente occupa molto spazio nel Cisco Talos Report 2023. I dati telemetrici riflettono chiaramente un aumento del traffico di dati sospetti parallelo agli eventi geopolitici. Le relazioni sempre più tese dell'Occidente con i paesi della regione Asia-Pacifico hanno portato ad una maggiore volontà da parte dei gruppi APT cinesi di causare danni, soprattutto nel settore delle infrastrutture critiche in paesi come Taiwan.
Per quanto riguarda gli APT russi, Gamaredon e Turla hanno preso di mira l’Ucraina, come previsto. È interessante notare, tuttavia, che le attività russe non hanno dimostrato l’intera gamma delle loro capacità informatiche distruttive. Gamaredon ha preso di mira principalmente strutture in Nord America ed Europa, con un numero sproporzionato di vittime nell’Europa occidentale. MuddyWater, attore dell’APT sponsorizzato dallo stato iraniano, è rimasto uno dei principali attori della minaccia in Medio Oriente nel 2023. Tuttavia, le contromisure del settore hanno influito sulla capacità del gruppo di utilizzare i propri strumenti standard, inclusa la piattaforma di gestione e monitoraggio remoto Syncro (RMM).
Gli eventi dell’inizio di ottobre 2023 tra Hamas e Israele hanno contribuito a far sì che diversi gruppi di hacktivisti motivati politicamente lanciassero attacchi non coordinati e per lo più non sofisticati contro entrambe le parti. Uno sviluppo simile si poteva già osservare all’inizio della guerra russo-ucraina. Cisco Talos prevede che il complicato e dinamico contesto geopolitico del Medio Oriente avrà un impatto anche sul settore informatico.
Ulteriori approfondimenti dal rapporto Talos:
L'uso di account validi è stata una delle tecniche MITRE ATT&CK più comunemente osservate, evidenziando che gli aggressori fanno affidamento su credenziali compromesse nelle varie fasi dei loro attacchi.
Le nuove varianti del ransomware utilizzavano codice sorgente trapelato da altri gruppi RaaS. Ciò ha consentito anche ad attori meno esperti di iniziare a praticare l’estorsione di ransomware.
Il traffico di rete sospetto ha evidenziato un forte aumento dell'attività in concomitanza con importanti eventi geopolitici e attacchi informatici globali, come l'attacco DDoS su larga scala a Microsoft Outlook.
A proposito di Cisco Cisco è l'azienda tecnologica leader a livello mondiale che rende possibile Internet. Cisco sta aprendo nuove possibilità per le applicazioni, la sicurezza dei dati, la trasformazione dell'infrastruttura e il potenziamento dei team per un futuro globale e inclusivo.
Articoli relativi all'argomento