Come mostra il Ransomware Report Q2-Q3 2022 di Ivanti, gli attacchi ransomware sono più che quadruplicati dal 2019, incluso un maggiore utilizzo in guerra. Le organizzazioni devono essere consapevoli del panorama delle minacce e delle relative vulnerabilità.
Ivanti, il fornitore di Ivanti Neurons, la piattaforma di automazione che rileva, gestisce, protegge e alimenta le risorse IT dal cloud all'edge, ha pubblicato i risultati del suo rapporto sull'indice di ransomware del secondo e terzo trimestre del 2. Il rapporto mostra che il ransomware è aumentato di oltre quattro volte (3%) dal 2022. Inoltre, il ransomware viene sempre più utilizzato come arma di guerra, come dimostrano la guerra in Ucraina e la guerra cibernetica tra Iran e Albania.
Più attacchi, più varianti
Il rapporto rileva che i gruppi di ransomware stanno crescendo di numero diventando più sofisticati: 2022 vulnerabilità possono essere collegate al ransomware nei primi tre trimestri del 35. Inoltre, ci sono attualmente 159 exploit di tendenza e sfruttati attivamente. Un'ulteriore complicazione per le aziende è la mancanza di dati e informazioni sufficienti sulla situazione delle minacce. Pertanto, è difficile per loro applicare patch ai propri sistemi in modo efficace e correggere le vulnerabilità in modo efficiente.
Nel rapporto sono state identificate anche dieci nuove famiglie di ransomware (Black Basta, Hive, BianLian, BlueSky, Play, Deadbolt, H0lyGh0st, Lorenz, Maui e NamPoHyu). Questo porta il loro totale a 170. Con 101 CVE per il phishing, gli aggressori ransomware fanno sempre più affidamento sulle tecniche di spear phishing per attirare le loro vittime e consegnare il loro payload dannoso.
Nuove famiglie di ransomware come Black Basta & Co
Il ransomware ha successo solo con il fattore umano. Tuttavia, il phishing come unico metodo di attacco è un mito. Nell'ambito del rapporto, 323 attuali vulnerabilità ransomware sono state analizzate e mappate al MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) Framework. Il database contiene informazioni sui metodi di attacco informatico basati su osservazioni reali. Questo aiuta a identificare tattiche, tecniche e procedure precise che possono fungere da "kill chain" negli attacchi a un'organizzazione. La cyber kill chain in più fasi descrive una penetrazione sempre più profonda da parte dei criminali informatici. Il risultato: per 57 delle vulnerabilità analizzate, i sistemi possono essere completamente rilevati, dal primo accesso all'esfiltrazione.
Database delle vulnerabilità incompleti
Il rapporto rivela anche due nuove vulnerabilità ransomware (CVE-2021-40539 e CVE-2022-26134), entrambe sfruttate da diffuse famiglie di ransomware come AvosLocker e Cerber prima o il giorno in cui sono state pubblicate nel National Vulnerability Database. (NVD) sono stati rilasciati. Ciò dimostra che le aziende che si affidano esclusivamente alla pubblicazione dell'NVD per correggere le vulnerabilità sono più vulnerabili agli attacchi.
Srinivas Mukkamala, Chief Product Officer di Ivanti, afferma: “I team IT e di sicurezza devono urgentemente adottare un approccio basato sul rischio alla gestione delle vulnerabilità per proteggersi meglio da ransomware e altre minacce. Ciò include l'uso di tecnologie di automazione che mettono in correlazione i dati provenienti da varie fonti (ad es. scanner di rete, database di vulnerabilità interni ed esterni e test di penetrazione), valutano i rischi, forniscono avvisi tempestivi di minacce, prevedono attacchi e danno priorità alle contromisure. Le organizzazioni che continuano a fare affidamento su approcci tradizionali alla gestione delle vulnerabilità, come l'utilizzo esclusivo di NVD e altri database pubblici per stabilire le priorità e correggere le vulnerabilità, sono costantemente ad alto rischio di attacchi informatici.
Gli scanner hanno punti ciechi
Il rapporto rivela che 18 vulnerabilità relative al ransomware non vengono rilevate dagli scanner più diffusi. Ciò sottolinea l'importanza di utilizzare qualcosa di più dei tradizionali approcci di gestione delle vulnerabilità. Secondo Aaron Sandeen, CEO di Cyber Security Works, “Le prospettive sono fosche se gli scanner su cui si affidano le organizzazioni non riescono a rilevare le vulnerabilità. Le aziende devono implementare una soluzione di gestione della superficie di attacco in grado di rilevare le vulnerabilità in tutte le risorse aziendali.
Le infrastrutture critiche diventano il bersaglio
Inoltre, il report analizza l'impatto del ransomware sulle infrastrutture critiche. I dati mostrano che il 47,4% delle vulnerabilità ransomware colpisce i sistemi sanitari, il 31,6% i sistemi energetici e il 21,1% gli impianti di produzione critici. Anuj Goel, co-fondatore e CEO di Cyware, afferma: “Sebbene le strategie di ripristino dagli incidenti siano migliorate nel tempo, prevenire è sempre meglio che curare. Analizzare correttamente il contesto della minaccia e adottare misure proattive.
Malware di tendenza
Il rapporto identifica specificamente il malware con funzioni multipiattaforma come tendenze ransomware. Con esso, gli operatori di ransomware possono facilmente prendere di mira più sistemi operativi con un'unica base di codice. Il rapporto rivela anche un numero significativo di attacchi a soluzioni di sicurezza di terze parti e librerie di codici software. Guardando al futuro, le organizzazioni devono continuare ad anticipare nuovi gruppi di ransomware. È vero che gruppi noti come Conti e DarkSide si stanno dissolvendo. Tuttavia, offre ai nuovi gruppi la possibilità di riutilizzare o modificare il codice sorgente e i metodi di attacco che hanno ereditato dai gruppi ransomware defunti.
Il Ransomware Index Spotlight Report si basa su dati provenienti da una varietà di fonti, inclusi dati proprietari di Ivanti e CSW, database di minacce pubblicamente disponibili e informazioni di ricercatori sulle minacce e team di test di penetrazione. Ivanti ha condotto lo studio in collaborazione con Cyber Security Works, un'autorità di certificazione della numerazione (CNA), e Cyware, fornitore leader della piattaforma tecnologica per la costruzione di Cyber Fusion Center. qui per scaricare il rapporto completo.
Altro su Ivanti.com
A proposito di Ivanti La forza dell'IT unificato. Ivanti collega l'IT con le operazioni di sicurezza aziendale per governare e proteggere meglio il posto di lavoro digitale. Identifichiamo le risorse IT su PC, dispositivi mobili, infrastrutture virtualizzate o nel data center, indipendentemente dal fatto che siano on-premise o nel cloud. Ivanti migliora l'erogazione dei servizi IT e riduce i rischi aziendali grazie a competenze e processi automatizzati. Utilizzando le moderne tecnologie nel magazzino e lungo l'intera catena di fornitura, Ivanti aiuta le aziende a migliorare la loro capacità di consegna, senza cambiare i sistemi di back-end.