Gli amministratori hanno solo una breve finestra da 15 minuti a 10 ore dopo la notifica di nuove vulnerabilità zero-day per fornire ai loro sistemi aggiornamenti di sicurezza, mostra uno studio.
Gli aggressori stanno diventando sempre più veloci quando si tratta di sfruttare le nuove vulnerabilità zero-day. Questo ne mostra uno Studio di Palo Alto Networks, per il quale sono stati analizzati circa 600 incidenti di sicurezza. In media, i criminali impiegano solo 15 minuti dopo la segnalazione di una nuova vulnerabilità di sicurezza zero-day per cercare attivamente in Internet i sistemi vulnerabili. Così come alcune delle vulnerabilità zero-day più gravi dell'ultimo anno, tra cui ProxyShell e ProxyLogon, Log4Shell, nonché SonicWall e ADSelfService Plus di ManageEngine di Zoho Corp.
Le vulnerabilità zero-day vengono scansionate immediatamente
I ricercatori della sicurezza scrivono nel loro rapporto che potevano osservare una maggiore attività di scansione per i sistemi vulnerabili ogni volta che veniva segnalata una nuova vulnerabilità - e solo 15 minuti dopo! Questo è quello che è successo con la vulnerabilità critica nel software Big-IP di F5, che è stata inclusa nel catalogo in costante crescita delle vulnerabilità sfruttate attivamente dall'American Cybersecurity and Infrastructure Security Agency (CISA) a maggio. Dopo che l'errore è diventato noto, i ricercatori di sicurezza di Palo Alto hanno osservato 10 scansioni nelle successive 2.500 ore, che cercavano specificamente i sistemi interessati.
Lo studio mostra anche che il phishing è ancora il gateway più comune per gli hacker al 37%, ma anche le debolezze del software rappresentano un serio rischio e sono state responsabili del primo accesso degli aggressori nel 31% dei casi. Gli attacchi di forza bruta, come la spruzzatura di password, sono arrivati al XNUMX%, le credenziali compromesse al XNUMX%, le minacce interne e di ingegneria sociale al XNUMX% ciascuna e l'abuso di relazioni o strumenti fidati al XNUMX%.
Server Exchange senza patch come backdoor
Oltre l'87% delle vulnerabilità utilizzate dagli hacker per ottenere l'accesso ai sistemi compromessi rientrava in una delle sei categorie. Nel 55% dei casi in cui è stata richiesta assistenza a Palo Alto Networks, i bug di Exchange Server ProxyShell sono stati responsabili della penetrazione degli hacker. La vulnerabilità era così diffusa che diversi gruppi di hacker, come il gruppo ransomware Hive, si sono specializzati in queste vulnerabilità, sebbene Microsoft abbia rilasciato patch all'inizio del 2021 che avrebbero risolto i bug in ProxyShell e ProxyLogon. Log4j ha rappresentato solo il 14% dei casi esaminati da Palo Alto, seguito dai guasti di SonicWall al 13%, ProxyLogon al XNUMX%, ManageEngine al XNUMX% e FortiNet al XNUMX%. Altre vulnerabilità rappresentavano il restante XNUMX%.
Tutto incluso: Conti, LockBit, ALPHV, BlackCat, BlackMatter
L'analisi dei soli incidenti di sicurezza che coinvolgono ransomware ha mostrato che il 22% dei casi può essere ricondotto al Gruppo Conti, seguito da LockBit 2.0 al 14%. Altri attori di ransomware come Hive, Dharma, PYSA, Phobos, ALPHV/BlackCat, REvil e BlackMatter hanno rappresentato ciascuno meno del 10% degli attacchi.
In sintesi, i ricercatori di sicurezza avvertono che gli attori meno talentuosi stanno diventando sempre più attivi nel campo del crimine informatico. Da un lato, ciò potrebbe essere attribuito al numero in costante aumento di offerte Malware-as-a-Service sul dark web. D'altra parte, anche le segnalazioni di elevate somme di riscatto dopo gli attacchi ransomware svolgono un ruolo non trascurabile. In combinazione con le crescenti pressioni economiche dovute a una potenziale recessione globale, sempre più criminali vedono la loro possibilità di guadagnare un sacco di soldi. Tuttavia, poiché il perseguimento di tali bande di hacker ha sempre più successo, potrebbero aumentare anche i casi di compromissione della posta elettronica aziendale, come avvertono gli autori dello studio.
Informazioni su 8com Il Cyber Defence Center di 8com protegge efficacemente le infrastrutture digitali dei clienti di 8com dagli attacchi informatici. Include la gestione delle informazioni sulla sicurezza e degli eventi (SIEM), la gestione delle vulnerabilità e i penetration test professionali. Inoltre, offre lo sviluppo e l'integrazione di un sistema di gestione della sicurezza delle informazioni (ISMS) inclusa la certificazione secondo standard comuni. Misure di sensibilizzazione, formazione sulla sicurezza e gestione della risposta agli incidenti completano l'offerta.