Fortinet: i trend globali relativi alle minacce informatiche mettono in luce intenti politici ed economici dei cybercriminali

Il Threat Landscape Report dei FortiGuard Labs svela una nuova prospettiva sul commercio globale e l’interesse dei criminali informatici per particolari momenti della vita sociale e politica

Milano - 05/03/2020


Fortinet® (NASDAQ: FTNT), leader mondiale nelle soluzioni di cyber sicurezza integrate e automatizzate, annuncia i risultati dell’ultimo Global Threat Landscape Report dei FortiGuard Labs.

La ricerca, relativa al Q4 2019, mette in luce come i cybercriminali tentino continuamente di approfittare di ogni opportunità offerta dell’infrastruttura digitale, massimizzando in particolare situazioni e congiunture globali per quanto riguarda gli aspetti economici e politici per raggiungere i propri obiettivi.

I trend globali dimostrano come la prevalenza e l’identificazione delle minacce possano differenziarsi a livello geografico, anche se il livello di sofisticazione e l’automazione degli attacchi rimangono consistenti ovunque nel mondo. Inoltre, la necessità di dare priorità alla cybersecurity hygiene rimane prioritaria dal momento che le minacce hanno la scalabilità più alta mai riscontrata prima.

Di seguito alcuni highlights dal report. Per una consultazione completa, il Threat Report è disponibile sul blog Fortinet:

  1. Charming Kitten, una minaccia pericolosa: le ricerche mostrano livelli significativi di attività attraverso varie aree geografiche, collegati a Charming Kitten, un gruppo di minacce APT (Advanced Persistent Threat) connesso all’Iran. Attivo indicativamente dal 2014, tale specifico attore di minacce è stato associato a numerose campagne di cyberspionaggio. Gli ultimi eventi suggeriscono come si sia espanso fino a interferire con il business delle elezioni, essendo stato collegato a una serie di attacchi su account email mirati associati con una campagna elettorale per le presidenziali. Come se non bastasse, si è notato come Charming Kitten abbia impiegato quattro nuove tattiche contro le vittime designate, tutte progettate per indurle a rilasciare informazioni sensibili.

  2. I rischi per la sicurezza dei dispositivi IoT si amplificano: i dispositivi IoT continuano a essere messi alla prova da software exploitabile e queste minacce possono riguardare dispositivi insospettabili come le telecamere wireless IP. La situazione viene amplificata quando i componenti e il software sono incorporati in vari dispositivi, commercializzati con vari brand, a volte da vendor diversi. Molti di questi componenti e servizi spesso vengono programmati utilizzando parti di codice già scritto, disponibili da una varietà di fonti. Tali componenti comuni e codici già scritti sono spesso vulnerabili agli exploit e questo è il motivo per cui le medesime vulnerabilità compaiono ripetutamente su un’ampia gamma di device. La scalabilità, combinata con l’incapacità di applicare patch a questidentificaio dispositivi in modo sicuro, è una sfida sempre crescente e mette in luce le difficoltà della security nella supply chain. Una mancanza di percezione dell’importanza delle patch, come la disponibilità delle stesse, la prevalenza di vulnerabilità in alcuni dispositivi IoT e i tentativi documentati di includere questi device nelle botnet IoT, sono tutti fattori che hanno fatto in modo che questi exploit presentassero il terzo volume più alto tra tutte le rilevazioni IPS durante il trimestre.

  3. Le minacce si danno supporto vicendevolmente: di fronte alla costante pressione per rimanere al passo con le nuove minacce, le aziende a volte dimenticano che gli exploit e le vulnerabilità non hanno una data di scadenza e i cybercriminali continueranno ad utilizzarle finchè funzioneranno. Il caso in questione riguarda EternalBlue. Il malware è stato adattato nel tempo per sfruttare le vulnerabilità comuni e le più importanti. È stato utilizzato in numerose campagne, incluse – tra le più note – quelle legate agli attacchi ransomware WannaCry e NotPetya. Inoltre, lo scorso maggio è stata rilasciata una patch per BlueKeep, una vulnerabilità che – se fosse sfruttata - potrebbe essere “wormable”: presenta infatti la possibilità di diffondersi alla stessa velocità e scalabilità di WannaCry e NotPetya. Ora, una nuova versione dell’Eternal Blue Downloader Troajn si è presentata nel corso dell’ultimo trimestre, con la sua abilità di sfruttare la vulnerabilità BlueKeep. Fortunatamente, la versione attualmente in circolazione non è completamente risolta, costringendo i dispositivi presi di mira ad andare in crash prima di caricarsi. Ma, guardando al tradizionale ciclo di sviluppo del malware, è possibile che i cybercriminali particolarmente determinati possano entrare in un prossimo futuro in possesso di una versione funzionale di questo pacchetto malware dagli effetti disastrosi. Il continuo interesse dei cybercriminali verso EternalBlue e BlueKeep è un reminder per le aziende per assicurarsi che i propri sistemi siano patchati in modo adeguato e protetti da entrambe le minacce.

  4. I trend mostrano una nuova prospettiva sul commercio globale dello spam: lo spam continua a rappresentare uno dei principali nodi critici con cui le aziende e i singoli individui devono confrontarsi. Il report dell’ultimo quarter combina il volume del flusso di spam tra le nazioni con i dati che mostrano il rapporto tra spam ‘inviato’ e spam ‘ricevuto’, rivelando una nuova prospettiva in merito a una vecchia criticità. La maggior parte dello spam sembra seguire trend di natura economica e politica. Per esempio, tra i principali “spam trade partners” degli Stati Uniti troviamo Polonia, Russia, Germania, Giappone e Brasile. In più, in termini di volumi di spam esportato dalle regioni geografiche, l’Europa dell’Est è la più grande produttrice di spam in tutto il mondo. La maggior parte degli spam più pesanti in uscita provengono dalla sottoregione asiatica; le restanti sottoregioni europee sono in cima al gruppo di quelle con un negative spam ratio, ricevendo più di quanto inviino, seguite poi nell’ordine da America e Africa.

    "Nella corsa alle “armi informatiche”, la comunità dei cybercriminali ha spesso avuto un netto vantaggio a causa del crescente divario delle cyberskill, della crescente superficie di attacco digitale e dell'elemento ‘sorpresa’ con tattiche come l'ingegneria sociale per trarre vantaggio da individui ignari delle minacce. Per uscire dal ciclo di minacce sempre più sofisticate e automatizzate, le aziende devono difendere le proprie reti utilizzando le stesse tecnologie e strategie che i criminali utilizzano per attaccarle. Questo significa adottare piattaforme integrate che sfruttano il potere e le risorse della Threat Intelligence AI-driven e dei playbook per consentire protezione e visibilità attraverso l'infrastruttura digitale". Commenta così Derek Manky, Chief, Security Insights & Global Threat Alliances, FortiGuard Labs.

  5. Tenere traccia del passaggio dei cybercriminali per capire cosa ci si deve aspettare in futuro: prestare attenzione ai trigger IPS rilevati in una determinata regione non solo mostra quali risorse vengono prese di mira, ma può anche indicare su cosa i cybercriminali potrebbero focalizzarsi nel futuro, o perché un numero sufficiente di questi attacchi hanno avuto successo, o semplicemente perché c’è più di una determinata tecnologia impiegata in alcune regioni. Ma non è sempre così. Ad esempio, la grande maggioranza dei deployment ThinkPHP si trova in Cina, con un numero di installazioni pari a 10 volte quelle degli USA, secondo shodan.io. Supponendo che le aziende mettano delle patch al proprio software più o meno allo stesso ritmo in ogni regione, se una botnet stesse semplicemente indagando alla ricerca di istanze vulnerabili di ThinkPHP prima di distribuire un exploit, il numero di trigger rilevati dovrebbe essere molto più alto in APAC. Tuttavia, solo il 6% di IPS trigger sono stati rilevati da un recente exploit in tutto APAC rispetto al nord America, il che significa che queste botnet stanno semplicemente distribuendo l’exploit a qualsiasi istanza ThinkPHP trovata. Inoltre, se si prendono in esame in modo similare le rilevazioni di malware, la maggior parte di minacce che prendono di mira le aziende sono macro VBA (Visual Basic for Applications). Questo accade probabilmente perché sono ancora attive e stanno producendo risultati. In generale, i rilevamenti per ciò che non è operativo non rimarranno alti a lungo; se ci sono un numero significativo di rilevamenti, qualcuno sta cadendo preda di questi attacchi.

  6. La necessità di una sicurezza ampia, integrata e automatizzata Man mano che le applicazioni proliferano e il numero di dispositivi connessi si estende nel perimetro, vengono creati miliardi di nuovi confini che devono essere gestiti e protetti. Inoltre, le aziende si trovano a far fronte a una maggiore sofisticazione degli attacchi contro l'infrastruttura digitale in espansione, tra cui alcuni guidati dall'intelligenza artificiale e dall'apprendimento automatico. Per proteggere efficacemente le proprie reti distribuite, le aziende devono passare dalla protezione dei soli perimetri di sicurezza alla protezione della diffusione dei dati attraverso i loro nuovi network edge, utenti, sistemi, dispositivi e applicazioni critiche. Solo una piattaforma di sicurezza informatica progettata per fornire visibilità e protezione complete su tutta la superficie di attacco - inclusi dispositivi, utenti, endpoint mobili, ambienti multi-cloud e infrastrutture SaaS - è in grado di proteggere le reti in rapida evoluzione odierne guidate dall'innovazione digitale.

A proposito del Report:
Il Threat Landscape Report è una visione trimestrale che rappresenta l’intelligence collettiva dei FortiGuard Labs, attinta da una vasta gamma di sensori che raccolgono miliardi di eventi relativi alle minacce informatiche, osservati nel mondo nel corso del Q4 del 2019. Esso raccoglie prospettive sia globali che locali così come una ricerca nei tre aspetti centrali e complementari di questo panorama: exploits, malware e botnet.

Additional Resources

 

About FortiGuard Labs

FortiGuard Labs is the global threat intelligence and research organization at Fortinet. Its mission is to provide our customers with the global threat intelligence and contextualized analysis needed to protect them from malicious cyberattacks. To do so, FortiGuard Labs employs over 200 threat researchers and analysts in 31 countries around the world and utilizes one of the most effective and proven artificial intelligence (AI) and machine learning (ML) systems in the industry. This platform analyzes approximately 10 billion events every day to generate actionable threat intelligence updates for Fortinet products and to keep our customers up-to-date with the latest threat identification and protection information available. Additionally, FortiGuard Labs maintains an integrated threat intelligence ecosystem with over 200 security intelligence partnerships and collaborations. The combination of our industry-leading research and analyst team, innovative and proven AI and ML systems, and extensive security intelligence ecosystem enables Fortinet to provide the leading-edge detection and protection our customers and partners need. Learn more at https://www.fortinet.com, the Fortinet Blog, or FortiGuard Labs.

Fortinet

Fortinet (NASDAQ: FTNT) protegge le principali aziende, service provider ed organizzazioni governative di tutto il mondo, offrendo ai clienti la piena visibilità e il controllo rispetto a superfici d’attacco sempre più vaste, oltre alla potenza necessaria per soddisfare i requisiti prestazionali in continuo aumento generati dalle reti borderless – oggi e in futuro. L’architettura Security Fabric di Fortinet offre sicurezza senza compromessi per rispondere alle più delicate sfide di security e proteggere i dati lungo l’intera infrastruttura digitale, in ambienti di rete, applicativi, multi-cloud o edge. Fortinet si classifica al primo posto tra i sistemi di sicurezza forniti a livello mondiale e oltre 440.000 clienti si affidano all’azienda per proteggere la propria attività. Come Tech e Learning company, il Fortinet Network Security Institute vanta uno dei più importanti e ampi programmi di training sulla cybersecurity nel settore. Ulteriori informazioni sono disponibili su www.fortinet.com, sul Fortinet Blog o sui FortiGuard Labs.

Copyright © 2020 Fortinet, Inc. All rights reserved. The symbols ® and ™ denote respectively federally registered trademarks and common law trademarks of Fortinet, Inc., its subsidiaries and affiliates. Fortinet's trademarks include, but are not limited to, the following: Fortinet, FortiGate, FortiGuard, FortiCare, FortiManager, FortiAnalyzer, FortiOS, FortiADC, FortiAP, FortiAppMonitor, FortiASIC, FortiAuthenticator, FortiBridge, FortiCache, FortiCamera, FortiCASB, FortiClient, FortiCloud, FortiConnect, FortiController, FortiConverter, FortiDB, FortiDDoS, FortiExplorer, FortiExtender, FortiFone, FortiCarrier, FortiHypervisor, FortiIsolator, FortiMail, FortiMonitor, FortiNAC, FortiPlanner, FortiPortal, FortiPresence , FortiProxy, FortiRecorder, FortiSandbox, FortiSIEM, FortiSwitch, FortiTester, FortiToken, FortiVoice, FortiWAN, FortiWeb, FortiWiFi, FortiWLC, FortiWLCOS and FortiWLM.

Other trademarks belong to their respective owners. Fortinet has not independently verified statements or certifications herein attributed to third parties and Fortinet does not independently endorse such statements. Notwithstanding anything to the contrary herein, nothing herein constitutes a warranty, guarantee, contract, binding specification or other binding commitment by Fortinet or any indication of intent related to a binding commitment, and performance and other specification information herein may be unique to certain environments. This news release may contain forward-looking statements that involve uncertainties and assumptions, such as statements regarding technology releases among others. Changes of circumstances, product release delays, or other risks as stated in our filings with the Securities and Exchange Commission, located at www.sec.gov, may cause results to differ materially from those expressed or implied in this press release. If the uncertainties materialize or the assumptions prove incorrect, results may differ materially from those expressed or implied by such forward-looking statements and assumptions. All statements other than statements of historical fact are statements that could be deemed forward-looking statements. Fortinet assumes no obligation to update any forward-looking statements, and expressly disclaims any obligation to update these forward-looking statements.