La seconda metà del 2020, complice la pandemia che ha spinto l’utilizzo delle soluzioni digitali, ha visto un netto incremento dell’attività cybercriminale: gli hacker hanno saputo sfruttare al massimo la superficie di attacco, in costante espansione, per intensificare e rafforzare gli attacchi in tutto il mondo. È quanto emerge dal nuovo report semestrale FortiGuard Labs Global Threat Landscape realizzato dall’azienda della cybersecurity Fortinet.
Gli hacker hanno dimostrato di sapersi adattare con facilità, generando ondate di attacchi dirompenti e sofisticati, sottolinea lo studio. Hanno preso di mira la mole di lavoratori e studenti a distanza al di fuori del core network, colpendo con agilità le supply chain digitali e persino il core network stesso.
L’ufficio domestico tra i target primari
Con lo smart working il confine tra casa e ufficio si è assottigliato in modo significativo nel 2020 e questo ha indotto gli hacker a prendere di mira gli ambienti domestici per potersi avvicinare più facilmente alla rete aziendale. Nella seconda metà del 2020, gli exploit che puntano ai dispositivi Internet of Things (IoT), come quelli presenti in molte case, sono in cima alla lista. Ogni dispositivo IoT crea un nuovo “edge” di rete che deve essere difeso e richiede il monitoraggio e l’implementazione della sicurezza ad ogni dispositivo.
Ransomware, anche la sanità nel mirino
I dati dei FortiGuard Labs rivelano un aumento dell’attività complessiva di ransomware sette volte maggiore rispetto al primo semestre del 2020. I settori pesantemente colpiti dagli attacchi ransomware includono l’assistenza sanitaria, le società di servizi professionali, le società di servizi ai consumatori, le aziende del settore pubblico e le società di servizi finanziari. I cybercriminali hanno preso di mira anche gli uffici domestici, che restano target primari. Nei mesi scorsi il confine tra casa e ufficio si è assottigliato in modo significativo, inducendo gli hacker a prendere di mira gli ambienti domestici per potersi avvicinare più facilmente alla rete aziendale.
L’aumento dell’attività complessiva di ransomware si lega a diversi trend. L’evoluzione del Ransomware-as-a-Service (RaaS), il tentativo di ottenere riscatti da grandi realtà target e la minaccia di rendere noti i dati rubati se le richieste non fossero soddisfatte si sono combinati creando le condizioni per questa crescita esponenziale. Con diversi gradi di prevalenza, i ceppi più attivi dei ransomware tracciati sono stati Egregor, Ryuk, Conti, Thanos, Ragnar, WastedLocker, Phobos/EKING e BazarLoader.
Per affrontare efficacemente le minacce ransomware le aziende dovranno assicurarsi che i backup dei dati siano rapidi, completi e sicuri off-site. Anche le strategie di accesso e di segmentazione zero trust dovrebbero essere implementate per minimizzare il rischio.
Malware per entrare in azienda
Un’analisi delle categorie di malware più diffuse rivela le strategie più comuni che i cybercriminali utilizzano per agganciarsi all’interno delle aziende. Il principale obiettivo d’attacco sono state le piattaforme Microsoft, sfruttando i documenti che la maggior parte delle persone usa e consulta durante una tipica giornata di lavoro.
I browser web hanno rappresentato un ulteriore fronte d’attacco. Questa categoria Html ha incluso siti di phishing carichi di malware e script che iniettano codici o reindirizzano gli utenti a siti dannosi. Tale tipologia di minacce aumenta inevitabilmente durante periodi di crisi globale o di elevato commercio online. I dipendenti, che in genere beneficiano di servizi di web-filtering quando navigano dalla rete aziendale continuano a essere più esposti quando lo fanno al di fuori di quella barriera.
I gruppi APT sfruttano la ricerca sui vaccini
I gruppi Advanced persistent threat (Apt) continuano a sfruttare la pandemia Covid-19 in svariati modi, svela ancora lo studio Fortinet. I più comuni sono attacchi focalizzati sulla raccolta di informazioni personali in massa, il furto di proprietà intellettuale e l’acquisizione di dati allineati con le priorità nazionali del gruppo APT.
Alla fine del 2020, c’è stato un aumento dell’attività Apt che ha preso di mira le aziende coinvolte in attività strettamente legate al Covid-19, tra queste la ricerca sul vaccino e lo sviluppo di politiche sanitarie nazionali o internazionali relative alla pandemia. Le realtà prese di mira comprendevano agenzie governative, aziende farmaceutiche, università e aziende di ricerca medica.
La supply chain al centro della scena
Gli attacchi alla supply chain non sono una novità del secondo semestre 2020, ma raggiungono ora nuovi livelli, con portata globale, condivisione di una quantità significativa di informazioni sottratte ai legittimi proprietari e possibili obiettivi spillover. L’attacco a un anello della catena può dunque ricadere su tutti gli altri, indicando la natura interconnessa dei moderni attacchi alla supply chain e l’importanza della gestione del rischio della supply chain stessa
“Il 2020 ha evidenziato un panorama di minacce informatiche davvero drammatico. A causa del ruolo primario giocato dalla pandemia, i cybercriminali hanno lanciato attacchi sempre più devastanti. La superficie di attacco digitale si è estesa oltre il core network, per colpire il lavoro o la didattica a distanza e l’intera supply chain digitale. Il settore della cybersecurity si è trovato a fronteggiare un rischio mai così grande prima d’ora, dato che oggi tutto è interconnesso in un ambiente digitale più ampio. Approcci integrati e AI-driven, alimentati dalla threat intelligence sono vitali per difendere tutti gli edge e per identificare e rispondere efficacemente alle minacce che le aziende oggi affrontano in tempo reale”, è il commento di Derek Manky, Chief, Security Insights & Global Threat Alliances in FortiGuard Labs.
Contro il cybercrime serve una strategia integrata
Le aziende devono fronteggiare un panorama di minacce e di attacchi su tutti i fronti. La Threat intelligence rimane centrale per capire queste minacce e difendersi dai vettori in evoluzione. Anche la visibilità è fondamentale, soprattutto quando una quantità significativa di utenti è al di fuori del tradizionale scenario di rete. Ogni dispositivo crea un nuovo edge che deve essere monitorato e protetto. L’uso dell’intelligenza artificiale (AI) e il rilevamento automatico delle minacce possono consentire alle aziende di affrontare gli attacchi immediatamente e sono necessari per mitigare gli attacchi in velocità e su scala in tutti gli edge, conclude il report.
Educare gli utenti in tema di cybersecurity dovrebbe rimanere una priorità, dal momento che la cyber hygiene non deve essere di solo dominio dei team It e di sicurezza. Tutti hanno bisogno di un livello di formazione sulle best practice adeguate per poter garantire sicurezza l’azienda e i singoli dipendenti.
