Un nuovo studio di Ivanti, Cyber Security Works (CSW), Cyware e Securin mostra che, contrariamente alle stime ottimistiche, le minacce ransomware non perderanno nulla del loro peso nel 2022.
Lo studio "2023 Spotlight Report: Ransomware dal punto di vista della gestione delle minacce e delle vulnerabilità" chiarisce: rispetto all'anno precedente, il numero di vulnerabilità sfruttate dal ransomware è aumentato di quasi 1/5 (19%). Tra le 344 nuove minacce che i fornitori di sicurezza sono stati in grado di identificare nel 2022, ci sono anche 56 vulnerabilità direttamente correlate al ransomware. Gli autori delle minacce attingono da un pool di 180 vulnerabilità che hanno dimostrato di essere associate al ransomware. E solo nell'ultimo trimestre del 2022, stavano sfruttando attivamente 21 di queste vulnerabilità.
Scoperto tra il 2010 e il 2019
Un altro numero è ancora più grave: più di tre quarti (76%) delle vulnerabilità utilizzate per l'estorsione di dati nel 2022 sono state già scoperte tra il 2010 e il 2019. Delle nuove vulnerabilità sfruttate dal ransomware lo scorso anno, 20 sono state scoperte tra il 2015 e il 2019. Pertanto, gli attori delle minacce stanno cercando attivamente nel deep e dark web le vulnerabilità più vecchie, supponendo che non siano una priorità per più team di sicurezza.
Risultati chiave
- Le kill chain interessano sempre più prodotti IT: I gruppi ransomware utilizzano le kill chain per sfruttare le vulnerabilità che interessano 81 prodotti di fornitori tra cui Microsoft, Oracle, F5, VMWare, Atlassian, Apache e SonicWall. Per 57 vulnerabilità associate al ransomware è già disponibile un MITRE ATT&CK completo, ovvero una descrizione esaustiva delle tattiche e delle tecnologie utilizzate.
- Gli scanner hanno punti ciechi: Scanner popolari come Nessus, Nexpose e Qualys non riescono a rilevare 20 delle vulnerabilità associate al ransomware.
- Altri attacchi ransomware da parte di gruppi APT: CSW ha osservato più di 50 gruppi APT (Advanced Persistent Threat) che utilizzano ransomware per gli attacchi, con un aumento del 51% rispetto al 2020. Quattro gruppi APT (DEV-023, DEV-0504, DEV-0832 e DEV-0950) sono stati inizialmente associati al ransomware in il quarto trimestre del 2022.
- Il database delle vulnerabilità presenta lacune: Il catalogo KEV (Known Exploited Vulnerabilities) della US Cybersecurity and Infrastructure Security Agency (CISA) contiene 866 vulnerabilità, ma 131 delle vulnerabilità associate al ransomware non sono ancora elencate.
- Problema open source con i prodotti software: Il riutilizzo del codice open source replica le vulnerabilità. La vulnerabilità Apache Log4j CVE-2021-45046 è presente in 93 prodotti di 16 fornitori, un'altra vulnerabilità Apache Log4j (CVE-2021-45105) è presente in 128 prodotti di 11 fornitori. Entrambi sono sfruttati dal ransomware AvosLocker.
- Le vulnerabilità del software esistono tra le versioni: Più di 80 bug CWE (Common Weakness Enumeration) creano vulnerabilità sfruttate dagli aggressori. Si tratta di un aumento del 54% rispetto al 2021. Questo risultato sottolinea l'importanza dei fornitori di software e degli sviluppatori di applicazioni che valutano il codice del software prima del rilascio.
- I punteggi CVSS mascherano i rischi: 57 vulnerabilità associate al ransomware hanno solo un punteggio CVSS basso e medio. Nelle aziende, tuttavia, possono ancora causare danni immensi.
Dare priorità e proteggere a lungo termine
Gli aggressori ransomware stanno diventando sempre più veloci e sofisticati. Con piattaforme automatizzate che identificano le vulnerabilità e ne valutano il rischio, i team IT sono in grado di dare priorità alle vulnerabilità più importanti in base al loro impatto sulle risorse e alla loro criticità. "Il rapporto mostra che molte aziende non stanno mettendo in atto ciò che sanno sulle minacce", ha affermato Aaron Sandeen, CEO e co-fondatore di CSW e Securin. "È fondamentale per la sicurezza di un'organizzazione che i team IT e di sicurezza aggiornino il proprio software non appena vengono scoperte vulnerabilità".
Correggi le vulnerabilità più critiche
"Il ransomware è un problema critico per qualsiasi organizzazione, sia del settore privato che pubblico", ha affermato Srinivas Mukkamala, chief product officer di Ivanti. “Gli oneri per aziende, autorità e individui stanno aumentando rapidamente. È imperativo che tutte le aziende comprendano veramente la propria superficie di attacco e dotino la propria organizzazione di una sicurezza a più livelli. Solo in questo modo possono diventare resilienti al numero crescente di attacchi". "I team IT e di sicurezza devono correggere continuamente le vulnerabilità più critiche per ridurre significativamente la superficie di attacco delle loro organizzazioni e aumentare la loro resilienza contro gli aggressori", afferma Anuj Goel, co-fondatore e CEO di Cyware. "Il nostro rapporto mostra dove è necessario agire, ad esempio con vulnerabilità meno recenti e open source".
Altro su Ivanti.com
A proposito di Ivanti La forza dell'IT unificato. Ivanti collega l'IT con le operazioni di sicurezza aziendale per governare e proteggere meglio il posto di lavoro digitale. Identifichiamo le risorse IT su PC, dispositivi mobili, infrastrutture virtualizzate o nel data center, indipendentemente dal fatto che siano on-premise o nel cloud. Ivanti migliora l'erogazione dei servizi IT e riduce i rischi aziendali grazie a competenze e processi automatizzati. Utilizzando le moderne tecnologie nel magazzino e lungo l'intera catena di fornitura, Ivanti aiuta le aziende a migliorare la loro capacità di consegna, senza cambiare i sistemi di back-end.