36 milioni di eventi malevoli registrati nel solo primo semestre 2021 che corrispondono numericamente a quelli di tutto il 2020, segnando dunque una crescita del 180% anno su anno: è uno scenario più che allarmante quello che emerge dall’analisi dei fenomeni più rilevanti elaborata dal Security Operations Center (Soc) di Fastweb nell’ambito del rapporto Clusit.
Due i principali fenomeni emersi dall’analisi sull’infrastruttura di rete di Fastweb – costituita da oltre 6,5 milioni di indirizzi IP pubblici su ognuno dei quali possono comunicare centinaia di dispositivi e server attivi presso le reti dei clienti: il primo riguarda un forte incremento nel primo trimestre degli attacchi di tipo “Proxy Logon”, il secondo riguarda invece l’incremento dell’attività dei ransomware con richiesta di riscatto.
Relativamente al fenomeno Proxy Logon, tale attacco – spiega la telco – consente di accedere ai server di posta elettronica delle aziende (su tecnologia Exchange) delle vittime riuscendo a violare gli account di posta elettronica, e veicolando attraverso di essi ulteriore software malevolo per aumentare la portata dell’attacco. “A partire dal mese di aprile tale attacco ha avuto una flessione vista la disponibilità di una patch per andare a risolvere la vulnerabilità nei sistemi di posta”, sottolinea l’azienda.
Sul fronte ransomware è stata osservata una crescita dell’attività di questo malware di circa il 350% rispetto allo stesso periodo dello scorso anno. E le conseguenze causate da questa tipologia di attacchi, sempre più aggressivi, diventano in qualche modo ancora più evidenti. Si vedano ad esempio gli attacchi a danno di strutture pubbliche che hanno bloccato l’operatività quotidiana. Ci sono però – evidenzia Fastweb – anche buone notizie perché l’attività della botnet Emotet ha cessato di fatto la propria attività durante il mese di aprile 2021. “Grazie all’intervento congiunto di associazioni governative internazionali tale minaccia è sparita ma è importante evidenziare come nella cyber security sia importante il concetto di gioco di squadra. Da soli non si vince, è necessario mettere insieme le forze e soprattutto essere tutti consapevoli delle minacce cyber”.
Secondo la telco per una lettura più completa dei fenomeni in atto è necessario iniziare ad analizzare anche le minacce sulla parte applicativa “visto che l’impiego di queste tecniche è sempre più frequente e con impatti in termini di cybersecurity che saranno in futuro sempre più significativi”.
Da quest’anno infatti Fastweb contribuirà al Rapporto Clusit con un’analisi sul mondo delle vulnerabilità e degli attacchi indirizzati ai software e ai sistemi applicativi delle aziende clienti del settore Enterprise e della Pubblica amministrazione, rilevati attraverso tecnologie di tipo Web Application Firewall. “Dalle evidenze raccolte nei primi nove mesi del 2021, possiamo constatare che buona parte delle rilevazioni fa riferimento ad attività cyber correlate alla raccolta di informazioni (Information Gathering 54,8%).Tale attività, non essendo legata direttamente a un attacco è spesso legata ad attività preparatorie in ottica di raccogliere informazioni di dettaglio sui sistemi applicativi aziendali per sferrare successivamente un attacco mirato al server”.
Seguono per numerosità, tentativi di File Injection (18,3%) dove l’attaccante prova a inserire nel sistema file malevoli con l’obiettivo di prenderne il controllo e i tentativi di sfruttamento vulnerabilità verso applicativi Web (9,6%) come ad esempio CMS Joomla, Drupal, Wordpress. Nella categoria Generic Attack (6%) sono state inserite invece tutte quelle tipologie di attacchi che sfruttano exploit comuni ma non usano tecniche come SQL Injection (attacco diretto ad avere accesso ai dati, sfruttando le debolezze del linguaggio di programmazione per la gestione dei database), ad esempio LFI (Local File Inclusion).
Sempre presenti, anche se con percentuali minori, eventi di SQL Injection , di Cross Site Scripting (attacco finalizzato all’introduzione di codice non appartenente al sito che si sta visitando, costringendo l’utente a eseguire azioni non volute), e di Directory Traversal (attacco per avere accesso a file in directory in cui non si è autorizzati ad accedere) che ancora oggi sono vettori di attacco importanti nonostante queste metodologie siano ben note anche a chi sviluppa e mette in sicurezza l’applicazione.
