IBM Security ha pubblicato X-Force Threat Intelligence Index 2020, un report che evidenzia come le tecniche dei criminali informatici continuino a evolvere dopo decenni di attività che hanno permesso l’accesso a decine di miliardi di record di dati, aziendali e personali, e di fare breccia attraverso centinaia di migliaia di vulnerabilità del software.
Secondo il rapporto, nel 60% dei casi le violazioni di rete sono state realizzate o attraverso l’utilizzo di credenziali di accesso precedentemente rubate o a causa di vulnerabilità note del software, consentendo ai criminali informatici di operare senza necessità di ricorrere a tecniche fraudolente.
Nel report sono indicati i fattori che contribuiscono all’evoluzione delle tecniche, analizzando i tre principali vettori da cui partono gli attacchi.
• Il phishing si è rivelato un vettore di successo delle violazioni nel 31% degli incidenti identificati, rispetto al 50% del 2018.
• Lo scanning e l’exploiting delle vulnerabilità sono stati indentificati nel 30% degli incidenti osservati nel 2019, rispetto all’8% dell’anno precedente. A tal proposito, le vulnerabilità già note in Microsoft Office e Windows Server Message Block sono state sfruttate in modo significativo anche nel 2019.
• Nel 29% degli attacchi informatici analizzati, l’uso di credenziali di accesso rubate è sempre più frequente. Secondo il report, nel 2019 sono stati compromessi grazie a questa risorsa oltre 8,5 miliardi di file, segnando un aumento del 200% delle violazioni rispetto agli anni precedenti.
“Oggi la mole di record esposti a rischio rivela come gli hacker non abbiano bisogno di ricorrere a metodi sofisticati per sferrare un attacco informatico ma necessitino solo delle credenziali di accesso con cui entrare”, ha affermato Wendi Whitmore, Vice President, IBM X-Force Threat Intelligence. “Misure di protezione, come l’autenticazione a più fattori e il single sign-on, sono fondamentali per la cyber-resiliency delle organizzazioni e la protezione e la privacy dei dati degli utenti”.
Le ricerche sono state condotte monitorando più di 70 miliardi di eventi giornalieri nell’area della security, in oltre 130 Paesi. Sono state fatte girare migliaia di spam traps in tutto il mondo minitorando quotidianamente decine di milioni di attacchi spam e phishing, oltre ad analizzare miliardi di pagine Web e immagini per rilevare attività fraudolente e abusi nei confronti dei brand.
L’analisi (qui il link per scaricare il report in PDF) ha rilevato che nel corso del 2019 la violazione di 7 miliardi di record, su un totale di oltre 8.5 miliardi, è imputabile ad una non corretta configurazione dei server cloud o errate configurazioni di sistema. Si tratta di un brusco cambio di rotta rispetto al 2018 quando i record violati per queste cause costituivano il 50% del totale.
Alcuni dei trojan più attivi nel settore bancario, come TrickBot, sono stati oggetto di un monitoraggio intenso da parte degli hacker che li hanno usati per preparare attacchi ransomware. In effetti, il nuovo codice utilizzato dai trojan bancari e dai ransomware ha superato le classifiche rispetto ad altre varianti di malware discusse nel rapporto.
Dalla ricerca emerge che i brand tech, dei social media e dello streaming di contenuti siano nella “Top 10” dei marchi contraffatti dai cybercriminali nei loro tentativi di phishing. Ciò denota una crescente fiducia nei confronti dei brand tech, rispetto a quelli del retail e della finanza, storicamente affidabili. Tra i primi dieci brand colpiti dal fenomeno del cybersquatting compaiono Google, YouTube e Apple.
Secondo il report, gli attacchi ransomware a livello globale sono indirizzati sia al settore pubblico sia a quello privato, inoltre il fenomeno delle attività ransomware nel 2019 ha registrato un incremento.
Mentre lo scorso anno oltre 100 enti governativi statunitensi sono stati colpiti da attacchi ransomware, nel 2019 sono stati significativamente compromessi i settori retail e manifatturiero, ma anche l’industria dei trasporti. Ciò è dovuto al fatto che le società operanti in questi settori sono interessanti per i criminali cyber in quanto gestiscono informazioni preziose, come i dati personali dei clienti, che risultano facilmente monetizzabili e spesso si avvalgono di tecnologie datate.
Nell’80% dei tentativi di attacchi ransomware rilevati, gli hacker hanno sfruttato le vulnerabilità di Windows Server Message Block. Si tratta della tattica già utilizzata per propagare WannaCry, il ransomware che nel 2017 ha paralizzato le aziende in 150 Paesi. I costi sostenuti dalle organizzazioni vittime di attacchi di ransomware nel corso del 2019 sono superiori ai 7,5 miliardi di dollari, e per il 2020 si prevede che questi crimini informatici non si arresteranno. È stato intercettato un nuovo codice malware nel 45% dei trojan bancari e nel 36% dei ransomware. Ciò indica che gli hacker sono costantemente impegnati nella creazione di nuovi codici per non essere identificati.
È stata osservata una forte relazione tra ransomware e trojan bancari. Questi ultimi vengono utilizzati per ottenere l’accesso ad una rete infetta, dove viene successivamente inoculato il ransomware. Ad esempio, Trickbot, che secondo il report è il malware più attivo in ambito finanziario, è sospettato di diffondere Ryuk su reti aziendali, mentre altri trojan bancari, come QakBot, GootKit e Dridex, si stanno anche diversificando per varianti di ransomware.
Contraffazioni di brand tech e social tra gli obiettivi del phishing
Con l’accrescere della consapevolezza da parte degli utenti in merito alla dannosità delle e-mail di phishing, le tecniche di phising stesso diventano sempre più sofisticate. Il report rileva la tendenza da parte degli hacker a impossessarsi in modo illegale dei profili dei brand consumer tech per indurre gli utenti a cliccare link malevoli – a social media o a contenuti in streaming – che nascondono azioni di phishing.
Tra i primi dieci brand contraffatti, sei avevano domini di Google e YouTube, mentre i domini Apple (15%) e Amazon (12%) sono stati violati soprattutto per i loro dati monetizzabili.
Anche Facebook, Instagram e Netflix sono nella lista dei primi dieci brand che hanno subito il furto di identità digitale sui social media, anche se in misura inferiore. Ciò può essere dovuto al fatto che questi siti, in genere, non contengono dati direttamente monetizzabili. Poiché gli hacker fanno spesso affidamento sul riutilizzo delle stesse credenziali per ottenere l’accesso agli account più redditizi, X-Force ritiene che il riutilizzo frequente delle password sia una delle principali cause di vulnerabilità di questi brand, bersaglio per gli hacker. In effetti, il Future of Identity Study di IBM ha scoperto che il 41% dei millennial intervistati riutilizza la stessa password più volte e la generazione Z detiene in media solo cinque password, evidenziando l’abitudine molto diffusa tra i più giovani a riutilizzare le medesime password.
Da altri dettagli di rilievo del report si evince che settore retail è stato il secondo maggiormente attaccato nel corso del 2019, subito dopo il settore bancario. La scorsa estate sono stati ben 80 i siti e-commerce compromessi da MageCart, il virus progettato per il furto di credenziali, dati delle carte di credito e altre informazioni sensibili. Gli attacchi ai sistemi di controllo industriale (ICS) e l’operational technology (OT) salgono alle stelle, registrando una crescita del 2000% rispetto agli ultimi tre anni. Gli attacchi informatici sono stati perpetrati a causa di vulnerabilità rilevate nel sistema SCADA e nell’hardware utilizzato nei sistemi di controllo industriale (ICS), così come attraverso il password-spraying, la tecnica volta a tentare di accedere a più utenze con semplici password comunemente diffuse.
Il Nord America e l’Asia sono le aree maggiormente colpite: queste regioni hanno registrato il maggior numero di attacchi e hanno subito le maggiori perdite di dati nell’ultimo anno, con -rispettivamente – oltre 5 miliardi e 2 miliardi di record violati.
Tutti gli articoli di macitynet che parlano di sicurezza sono disponibili da questa pagina.
