Con l'inizio del 2021, è un buon momento per riflettere sulle minacce che il gruppo Check Point Research ha visto nel 2020, per prepararsi all'anno successivo. Secondo il Rapporto 2021 Cyber Security, gli attacchi Sunburst che hanno violato migliaia di organizzazioni governative e del settore privato sono stati solo la punta dell'iceberg per quanto riguarda i cyberattacchi del 2020. Infatti, l'87% delle organizzazioni ha subito un tentativo di sfruttamento di una vulnerabilità nota.
Oltre all'attacco in stile Stato-nazione di Sunburst, gli attori delle minacce motivati finanziariamente continuano a lanciare campagne di malware. Stanno evolvendo le loro tecniche per utilizzare il phishing vocale (vishing), il ransomware a doppia estorsione, il dirottamento dei thread delle e-mail e gli attacchi rivolti alle infrastrutture cloud. Detto questo, ci sono anche dei lati positivi all'orizzonte.
Nel Rapporto sulla Cyber Security 2021, il gruppo Check Point Research ha delineato i principali problemi, minacce e tendenze della sicurezza di rete del 2020.
L'8 dicembre 2020, la società di cybersicurezza FireEye ha rivelato di aver scoperto il malware Sunburst sulla propria rete. L'indagine su questa infezione ha portato alla luce una massiccia campagna di cyberattacco che ha colpito 18.000 organizzazioni, 425 aziende della classifica Fortune 500 (tra cui Microsoft), e ha preso di mira anche le agenzie governative.
Il malware SUNBURST è stato distribuito tramite aggiornamenti compromessi del software di gestione della rete SolarWinds Orion. Gli aggressori sono riusciti a compromettere SolarWinds utilizzando un nuovo attacco contro i suoi account Office 365, che ha permesso loro di falsificare un token Azure Active Directory per un account privilegiato e di utilizzare le credenziali admin compromesse per ottenere l'accesso al server di gestione degli aggiornamenti dell'azienda.
Con l'accesso al server di gestione degli aggiornamenti di SolarWinds, gli aggressori sono stati in grado di modificare gli aggiornamenti durante la pipeline di sviluppo per includere il malware backdoor. Questa ampia portata dell'attacco lo ha reso l'attacco alla catena di approvvigionamento di maggior successo finora conosciuto. Nell'attacco di SolarWinds, il monitoraggio si è rivelato essenziale per identificare prima e rispondere poi all'attacco.
Per prevenire gli attacchi futuri è necessario implementare le migliori pratiche di sicurezza, come ad esempio:
Sebbene il phishing sia il tipo di attacco di ingegneria sociale più conosciuto, altre tecniche possono essere altrettanto efficaci. Al telefono, un visher può utilizzare tecniche di social engineering per ottenere l'accesso alle credenziali e ad altre informazioni chiave, bypassare la 2FA o convincere la vittima ad aprire un file o a installare un software dannoso.
Il vishing è una minaccia crescente per la cybersicurezza aziendale. Nell'agosto 2020, il CISA e l'FBI hanno lanciato un avvertimento sugli attacchi di vishing, e il vishing è stato utilizzato nelle campagne di malware e dai gruppi APT. Un attacco di alto profilo ha permesso a un adolescente di prendere il controllo di diversi account Twitter di celebrità nel 2020. La minaccia del vishing non potrà che peggiorare con il miglioramento e la maggiore diffusione della tecnologia di registrazione deepfake.
Il vishing è un attacco a bassa tecnologia, il che significa che la formazione dei dipendenti è essenziale per proteggersi da esso. Le aziende possono educare i propri dipendenti a non fornire informazioni sensibili e a verificare in modo indipendente l'identificazione del chiamante prima di soddisfare le richieste.
Il ransomware è stato una delle minacce informatiche più costose per le organizzazioni nel 2020. Alle aziende costerà 20 miliardi di dollari nel 2020, in aumento rispetto agli 11,5 miliardi di dollari del 2019. Nel terzo trimestre del 2020, il pagamento medio del riscatto è stato di 233.817 dollari, con un aumento del 30% rispetto al trimestre precedente.
In quel trimestre, quasi la metà di tutti gli incidenti di ransomware includeva una doppia minaccia di estorsione. Questa innovazione è progettata per migliorare la probabilità che la vittima paghi il riscatto. Lo fa impiegando una nuova seconda minaccia oltre alla crittografia dei file, ossia l'estrazione di dati sensibili e la minaccia di esposizione pubblica o vendita dei dati. Sebbene i backup possano consentire a un'organizzazione di riprendersi da un attacco ransomware senza pagare, la minaccia di una violazione di informazioni sensibili e personali offre un'ulteriore leva all'aggressore.
L'aumento di questi attacchi di doppia estorsione significa che le organizzazioni devono adottare una strategia threat prevention e non affidarsi solo al rilevamento o alla bonifica. Una strategia incentrata sulla prevenzione dovrebbe includere:
Gli attacchi di dirottamento del thread utilizzano le sue stesse e-mail contro di lei. Dopo aver compromesso un account e-mail interno, un aggressore può rispondere a un thread e-mail con un allegato contenente malware. Questi attacchi sfruttano il fatto che il thread di e-mail sembra legittimo... perché lo è.
Il malware bancario Emotet, una delle botnet più grandi, è in cima alla classifica delle minacce informatiche e ha preso di mira quasi il 20% delle organizzazioni globali nel 2020. Dopo aver infettato una vittima, utilizza l'e-mail della vittima per inviare file dannosi a nuove vittime. Qbot, un altro malware bancario, ha utilizzato tecniche simili di raccolta di e-mail.
La protezione contro il thread hijacking richiede la formazione dei dipendenti affinché osservino le e-mail alla ricerca di segni di phishing anche quando provengono da una fonte affidabile e, se un'e-mail sembra sospetta, verifichino l'identità del mittente con una telefonata. Le organizzazioni dovrebbero anche implementare una soluzione di sicurezza e-mail che utilizzi l'IA per rilevare il phishing e metta in quarantena le e-mail con allegati e/o link dannosi.
L'aumento del lavoro a distanza sulla scia del COVID-19 ha reso l'accesso remoto un obiettivo comune dei criminali informatici nel 2020. La prima metà dell'anno ha visto un aumento drammatico degli attacchi contro le tecnologie di accesso remoto, come RDP e VPN. Ogni giorno sono stati rilevati quasi un milione di attacchi contro RDP.
Nel secondo semestre, i criminali informatici si sono concentrati sui portali VPN, sui gateway e sulle applicazioni vulnerabili, poiché sono state rese note nuove vulnerabilità in questi sistemi. La rete di sensori di Check Point ha registrato un aumento degli attacchi contro otto vulnerabilità note nei dispositivi di accesso remoto, tra cui Cisco e Citrix.
Per gestire i rischi delle vulnerabilità dell'accesso remoto, le organizzazioni dovrebbero applicare direttamente le patch ai sistemi vulnerabili o implementare tecnologie di patch virtuali come gli IPS. Dovrebbero anche proteggere gli utenti remoti distribuendo una protezione completa degli endpoint con tecnologie di rilevamento e risposta degli endpoint (EDR) per migliorare la bonifica e la caccia alle minacce.
COVID-19 ha dominato la sfera delle minacce mobili. L'uso di dispositivi mobili è aumentato drasticamente a causa del lavoro da remoto, così come le app dannose mascherate da app legate al coronavirus.
I dispositivi mobili sono stati anche bersaglio di grandi campagne di malware, tra cui malware bancari come Ghimob, EventBot e ThiefBot negli Stati Uniti. I gruppi APT hanno preso di mira anche i dispositivi mobili, come la campagna iraniana per aggirare il 2FA e spiare gli espatriati iraniani. Le vulnerabilità degne di nota sui dispositivi mobili sono state le debolezze di Achille 400 nei chip Qualcomm e le vulnerabilità in app come Instagram, il sistema di accesso di Apple e WhatsApp.
Le aziende possono proteggere i dispositivi mobili dei loro utenti con una soluzione di sicurezza mobile leggera per i dispositivi non gestiti. Dovrebbero anche istruire gli utenti a proteggersi installando solo applicazioni dagli app store ufficiali, per ridurre al minimo i rischi.
Nel nostro riepilogo dei principali problemi di sicurezza, torniamo a parlare delle tecniche di attacco di SolarWinds. A differenza dei precedenti attacchi al cloud, che si basavano su configurazioni errate che lasciavano esposte le risorse del cloud come i bucket S3 (e che sono ancora un problema), ora viene attaccata anche la stessa infrastruttura del cloud.
Gli aggressori di SolarWinds hanno preso di mira i server di Active Directory Federation Services (ADFS), utilizzati anche nel sistema di single sign-on (SSO) dell'organizzazione per l'accesso ai servizi cloud come Office 365. A questo punto, gli aggressori hanno utilizzato una tecnica chiamata Golden SAML per ottenere la persistenza e l'accesso completo, difficile da individuare, ai servizi cloud della vittima.
Anche altri attacchi ai sistemi di gestione dell'identità e dell'accesso (IAM) nel cloud sono stati degni di nota. I ruoli IAM possono essere abusati utilizzando 22 API presenti in 16 servizi AWS. Questi attacchi si basano su una profonda comprensione dei componenti, dell'architettura e della politica di fiducia dei provider IaaS e SaaS.
Le aziende hanno bisogno di una visibilità olistica sugli ambienti cloud pubblici e di implementare protezioni cloud-native unificate e automatizzate. Ciò consente alle aziende di sfruttare i vantaggi offerti dal cloud, garantendo al contempo una sicurezza continua e la Conformità alle normative.
Il COVID-19 ha fatto sì che le organizzazioni sanitarie siano al centro dell'attenzione di tutti, compresi i criminali informatici. Alcune campagne di malware hanno promesso di abbandonare gli attacchi contro l'assistenza sanitaria, ma le promesse non hanno avuto sostanza: gli ospedali sono stati ancora un obiettivo per il malware Maze e DopplePaymer.
A ottobre, CISA, FBI e DHS hanno pubblicato un avviso sugli attacchi contro l'assistenza sanitaria, menzionando il malware Trickbot utilizzato per distribuire il ransomware Ryuk. Inoltre, gli attacchi APT sponsorizzati da una nazione hanno preso di mira le istituzioni coinvolte nello sviluppo del vaccino COVID-19.
L'assistenza sanitaria negli Stati Uniti è stata la più bersagliata dai cyberattaccanti. Check Point Research ha visto un aumento del 71% da settembre a ottobre e un aumento globale di oltre il 45% a novembre e dicembre.
Nel comprendere le minacce alla sicurezza di rete del 2020, è anche importante notare le numerose azioni di successo delle forze dell'ordine - supportate dalla comunità di Cyber Security - per rintracciare e incriminare numerosi individui e gruppi di minacce coinvolti nel crimine informatico in tutto il mondo.
Alcuni esempi di operazioni di cyber-legge di successo nel 2020 includono:
Le minacce informatiche e le preoccupazioni per la sicurezza della rete non si limitano al 2020. Molte di queste tendenze di attacco sono in corso e nel 2021 portano nuovi problemi di sicurezza della rete e innovazioni del crimine informatico. Per proteggersi dall'evoluzione del panorama delle minacce informatiche, abbiamo raccolto le seguenti raccomandazioni:
Per saperne di più sui principali problemi di sicurezza di rete di oggi, consulti il Rapporto completo sulla Cyber Security 2021. Può anche richiedere un checkup della sicurezza per identificare i problemi che mettono a rischio la sicurezza della sua organizzazione.