FortiGuard Labs: ecco come i cybercriminali stanno sfruttando su vasta scala l’attuale pandemia globale

I criminali informatici prendono di mira il lavoro da remoto per poter aver accesso ai network aziendali e ai dati critici

Milano - 02/09/2020


Fortinet® (NASDAQ: FTNT), leader globale nelle soluzioni di cybersecurity ampie, integrate e automatizzate, annuncia i risultati del Global Threat Landscape Report relativo al primo semestre del 2020 e rilasciato dai suoi FortiGuard Labs. Ecco alcuni highlight: 

  • La threat intelligence dei FortiGuard Labs per il primo semestre del 2020 mette in luce il drammatico incremento con cui i cybercriminali e gli stati-nazione hanno sfruttato la pandemia globale come opportunità per mettere in atto un’ampia gamma di attacchi in tutto il mondo. La capacità di adattarsi dei criminali informatici ha consentito loro di perpetrare varie ondate di attacchi che hanno utilizzato come leva la paura e l’incertezza del momento; inoltre, l’improvviso incremento del numero dei lavoratori da remoto ha ampliato molto rapidamente la superficie di attacco digitale.

  • Sebbene molti trend relativi alle minacce fossero correlati alla pandemia, alcune di esse avevano ancora i propri driver di azione. Ad esempio, il ransomware e gli attacchi che avevano come obiettivo i dispositivi IoT come l’operational technology (OT) non stanno diminuendo, ma si stanno piuttosto evolvendo per diventare ancora più mirati e sofisticati.

  • A livello globale, la maggior parte delle minacce sono state rilevate in tutto il mondo e in tutti gli ambiti, con alcune variazioni geografiche o per settori verticali. Così come accaduto con la pandemia di COVID-19, una determinata minaccia può aver iniziato a diffondersi in un’area precisa per poi diffondersi ovunque, il che significa che molte aziende potrebbero trovarsi a doverla affrontare. Ovviamente ci sono delle differenze regionali nei tassi di diffusione delle minacce, basate su fattori come policy, pratiche messe in atto e tattiche di response. 

“I primi sei mesi del 2020 hanno testimoniato un panorama delle minacce informatiche senza precedenti. Il drammatico incremento e la rapida evoluzione dei metodi di attacco dimostrano l’agilità dei criminali informatici, che cambiano rapidamente le proprie strategie per massimizzare i recenti eventi globali collegati alla pandemia di COVID-19. Mai prima d’ora abbiamo avuto un quadro più chiaro di come le organizzazioni debbano adattare le proprie strategie di difesa per tener pienamente conto dell’estensione sin dentro casa del perimetro del network. Per le aziende è fondamentale adottare misure volte a proteggere i propri dipendenti in remoto e, nel lungo termine, i propri dispositivi e le reti domestiche. Per poter reagire ai virus informatici è buona cosa considerare l'adozione della stessa strategia che stiamo già applicando nel mondo reale. Il cyber-social distancing consiste nel saper riconoscere i rischi e mantenere le distanze da essi”, spiega Derek Manky, Chief, Security Insights & Global Threat Alliances dei FortiGuard Labs.

I cybercriminali sanno cogliere l’opportunità che si nasconde dietro a eventi di natura globale: i criminali informatici hanno già sfruttato in passato temi di attualità come esche per il social engineering, ma questa tattica ha raggiunto un nuovo livello nella prima metà dell’anno in corso. Dai phisher agli stati-nazione, i cybercriminali hanno trovato molteplici modalità per sfruttare la pandemia globale a loro beneficio su vasta scala. Tra queste, strategie di phishing ebusiness e-mail compromise, campagne nation-state-backed e attacchi ransomware. I criminali informatici hanno lavorato per massimizzare la combinazione tra la natura di una pandemia che ha colpito tutti nel mondo e l’improvvisa espansione della superficie di attacco digitale. Queste tendenze dimostrano quanto velocemente gli hacker possono muoversi per trarre vantaggio dai principali eventi di attualità che abbiano un ampio impatto sociale a livello globale.

Il perimetro si estende in ambiente domestico: l’incremento del lavoro in remoto ha creato - quasi da un giorno all'altro - un’inversione nella struttura delle reti aziendali, in cui i cyber-criminali hanno immediatamente visto un'opportunità da sfruttare. Nella prima metà del 2020, i tentativi di exploit contro diversi router di livello consumer e dispositivi IoT erano in cima alla lista dei rilevamenti IPS. Mirai e Gh0st hanno dominato l’elenco dei rilevamenti di botnet più diffusi, grazie al crescente interesse degli hacker verso le vulnerabilità, vecchie e nuove, nei prodotti IoT. Queste tendenze dimostrano come il perimetro della rete si sia esteso in ambiente domestico, e come i criminali informatici stiano cercando di violare le reti aziendali sfruttando i dispositivi che i lavoratori da remoto potrebbero utilizzare per connettersi. 

Anche i browser sono nel mirino dei cybercriminali: per i criminali informatici il passaggio al lavoro da remoto ha costituito un'opportunità senza precedenti per poter prendere di mira in molti modi gli utenti ignari. Ad esempio, il malware web-based, utilizzato nelle campagne di phishing e in altre tipologie di truffa, ha superato all’inizio di quest’anno il più tradizionale vettore di delivery tramite posta elettronica. In effetti, una famiglia di malware che include tutte le varianti di truffe di phishing web-based e altre tipologie di esca si è classificata al primo posto nella lista dei malware nei mesi di gennaio e febbraio ed è uscita dalla top five soltanto a giugno. Questo dato contribuisce a dimostrare il tentativo degli hacker di perpetrare attacchi nel momento in cui gli individui sono più vulnerabili, ovvero quando navigano sul web da casa. I browser, non solo i dispositivi, sono tra gli obiettivi principali dei criminali informatici proprio perché il loro target sono i lavoratori da remoto.

Il ransomware non sta scomparendo: le minacce molto conosciute come il ransomware non sono diminuite negli ultimi sei mesi. Una serie di messaggi e allegati aventi come tema il COVID-19 sono stati utilizzati come esche in diverse campagne ransomware. Un’altra tipologia di malware è stata scoperta mentre riscriveva il master boot record (MBR) dei computer prima di crittografare i dati. In aggiunta c’è stato un aumento degli incidenti ransomware in cui i cybercriminali non solo hanno preso in ostaggio i dati dell'azienda target, ma li hanno anche rubati utilizzando la minaccia della distribuzione su larga scala come leva aggiuntiva per tentare di estorcere il pagamento del riscatto. Questa tendenza accresce notevolmente il rischio che le aziende possano perdere informazioni preziose o altri dati sensibili in futuri attacchi ransomware. A livello globale, nessun settore è stato risparmiato dal ransomware: i dati mostrano che i cinque settori maggiormente presi di mira da questa tipologia di attacchi sono le telecomunicazioni, gli MSSP, l'istruzione, il governo e la tecnologia. Sfortunatamente, l'aumento della vendita del ransomware come servizio (RaaS) e l'evoluzione di alcune varianti indicano che la situazione non sta migliorando.

Le minacce OT dopo Stuxnet: nel mese di giugno è caduto il decimo anniversario di Stuxnet, che è stato determinante nel processo di evoluzione delle minacce all’Operational Technology e alla relativa sicurezza. Ora, molti anni dopo, i network OT rimangono un obiettivo primario per i cybercriminali. Il ransomware EKANS, diffusosi all’inizio di quest’anno, dimostra che i criminali informatici stanno continuando ad ampliare il focus degli attacchi ransomware per includere gli ambienti OT. Inoltre, il framework di spionaggio Ramsay, progettato per la raccolta e l'esfiltrazione di file sensibili all'interno di reti air-gapped o ad accesso altamente limitato, dimostra la continua ricerca dei criminali informatici di nuove modalità per infiltrarsi in questa tipologia di reti. La prevalenza di minacce che colpiscono i sistemi di controllo di supervisione e acquisizione dati (ovvero SCADA) e altri tipi di sistemi di controllo industriale (ICS) è inferiore in volume rispetto a quelle che interessano l'IT, ma ciò non sminuisce l'importanza di questo trend.

Mappare i trend nell’exploitation: una revisione dell'elenco CVE mostra che il numero di nuove vulnerabilità pubblicate è aumentato negli ultimi anni, innescando discussioni sulla priorità delle patch. Sembra che il 2020 potrebbe superare il record delle vulnerabilità pubblicate in un solo anno: le vulnerabilità identificate quest’anno infatti hanno anche il tasso di exploitation più basso mai registrato nei 20 anni di storia dell'elenco CVE. Le vulnerabilità del 2018 hanno una prevalenza del fenomeno al 65%, la più alta, e più di un quarto delle organizzazioni ha registrato tentativi di exploit di 15 anni fa. Per i cybercriminali, sfruttare lo sviluppo su larga scala e la distribuzione tramite strumenti di hacking legittimi e malevoli continua a richiedere tempo.

Priorità- mettere in sicurezza il perimetro del network che si estende entro le mura di casa: con l'aumento della connettività, dei dispositivi e della continua necessità di lavoro da remoto, la superficie di attacco digitale si sta espandendo. Il perimetro della rete aziendale si estende fino alle case dei dipendenti e i criminali informatici in questa situazione cercano l'anello più debole e nuove opportunità di attacco. Le aziende devono quindi prepararsi adottando misure concrete per proteggere i propri utenti, dispositivi e informazioni con modalità simili a quelle adottate per la rete aziendale. Le organizzazioni che si occupano di Intelligence e analisi delle minacce possono essere di aiuto alle aziende fornendo loro una visione ampia man mano che il panorama si evolve, nonché un'analisi approfondita dei metodi di attacco, degli attori e delle nuove tattiche con l’obiettivo di potenziare le loro conoscenze informatiche.

La necessità di soluzioni di telelavoro che consentano un accesso sicuro alle risorse critiche, scalando per soddisfare le esigenze dell'intera forza lavoro rappresenta oggi una priorità assoluta. Solo una piattaforma di sicurezza informatica progettata per fornire visibilità e protezione complete sull'intera superficie di attacco digitale, comprese applicazioni multi-cloud e ambienti mobile, è in grado di proteggere i network, in costante evoluzione. 

A proposito del Threat Landscape Report: il Threat Landscape Report è una visione che rappresenta l’intelligence collettiva dei FortiGuard Labs, attinta da una vasta gamma di sensori che raccolgono miliardi di eventi relativi alle minacce informatiche, osservati nel mondo nel corso della prima metà del 2020. Il report raccoglie prospettive sia globali che locali oltre a una ricerca nei tre aspetti centrali e complementari di questo panorama: exploits, malware e botnet.

Altre fonti: 

FortiGuard Labs

FortiGuard Labs is the threat intelligence and research organization at Fortinet. Its mission is to provide Fortinet customers with the industry’s best threat intelligence designed to protect them from malicious activity and sophisticated cyberattacks. It is comprised of some of the industry’s most knowledgeable threat hunters, researchers, analysts, engineers and data scientists in the industry, working in dedicated threat research labs all around the world. FortiGuard Labs continuously monitors the worldwide attack surface using millions of network sensors and hundreds of intelligence-sharing partners. It analyzes and processes this information using artificial intelligence (AI) and other innovative technology to mine that data for new threats. These efforts result in timely, actionable threat intelligence in the form of Fortinet security product updates, proactive threat research to help our customers better understand the threats and threat actors they face, and by providing specialized consulting services to help our customers identify and strengthen their security exposures. Learn more at http://www.fortinet.com, the Fortinet Blog, or FortiGuard Labs.

Fortinet

Fortinet (NASDAQ: FTNT) protegge le principali aziende, service provider ed organizzazioni governative di tutto il mondo, offrendo ai clienti la piena visibilità e il controllo rispetto a superfici d’attacco sempre più vaste, oltre alla potenza necessaria per soddisfare i requisiti prestazionali in continuo aumento generati dalle reti borderless – oggi e in futuro. L’architettura Security Fabric di Fortinet offre sicurezza senza compromessi per rispondere alle più delicate sfide di security e proteggere i dati lungo l’intera infrastruttura digitale, in ambienti di rete, applicativi, multi-cloud o edge. Fortinet si classifica al primo posto tra i sistemi di sicurezza forniti a livello mondiale e oltre 465.000 clienti si affidano all’azienda per proteggere la propria attività. Come Tech e Learning company, il Fortinet Network Security Expert (NSE) Training Institute vanta uno dei più importanti e ampi programmi di training sulla cybersecurity nel settore. Ulteriori informazioni sono disponibili su www.fortinet.com, sul Fortinet Blog o sui FortiGuard Labs. 

 

Copyright © 2020 Fortinet, Inc. All rights reserved. The symbols ® and ™ denote respectively federally registered trademarks and common law trademarks of Fortinet, Inc., its subsidiaries and affiliates. Fortinet's trademarks include, but are not limited to, the following: Fortinet, FortiGate, FortiGuard, FortiCare, FortiManager, FortiAnalyzer, FortiOS, FortiADC, FortiAP, FortiAppMonitor, FortiASIC, FortiAuthenticator, FortiBridge, FortiCache, FortiCamera, FortiCASB, FortiClient, FortiCloud, FortiConnect, FortiController, FortiConverter, FortiDB, FortiDDoS, FortiExplorer, FortiExtender, FortiFone, FortiCarrier, FortiHypervisor, FortiIsolator, FortiMail, FortiMonitor, FortiNAC, FortiPlanner, FortiPortal, FortiPresence , FortiProxy, FortiRecorder, FortiSandbox, FortiSIEM, FortiSwitch, FortiTester, FortiToken, FortiVoice, FortiWAN, FortiWeb, FortiWiFi, FortiWLC, FortiWLCOS and FortiWLM.

Other trademarks belong to their respective owners. Fortinet has not independently verified statements or certifications herein attributed to third parties and Fortinet does not independently endorse such statements. Notwithstanding anything to the contrary herein, nothing herein constitutes a warranty, guarantee, contract, binding specification or other binding commitment by Fortinet or any indication of intent related to a binding commitment, and performance and other specification information herein may be unique to certain environments. This news release may contain forward-looking statements that involve uncertainties and assumptions, such as statements regarding technology releases among others. Changes of circumstances, product release delays, or other risks as stated in our filings with the Securities and Exchange Commission, located at www.sec.gov, may cause results to differ materially from those expressed or implied in this press release. If the uncertainties materialize or the assumptions prove incorrect, results may differ materially from those expressed or implied by such forward-looking statements and assumptions. All statements other than statements of historical fact are statements that could be deemed forward-looking statements. Fortinet assumes no obligation to update any forward-looking statements, and expressly disclaims any obligation to update these forward-looking statements.