Microsoft ha svelato il 24esimo Microsoft Security Intelligence Report: crollo per i ransomware, in vertiginoso aumento i silenziosi miner di criptovalute.
L’indagine, ottenuta analizzando ben 6.500 miliardi di minacce che transitano nel Cloud Microsoft ogni giorno e degli insight di migliaia di ricercatori che operano nel campo della IT security, ha confermato l’efficacia delle nuove tecniche difensive adottate dalle comunità di cybersecurity. Gli attaccanti sono stati quindi costretti a cambiare le proprie strategie. La ricerca ha inoltre confermato che solo chi adotta un approccio moderno e sfrutta ciò che la tecnologia mette a disposizione in termini di risorse , dal cloud all’Intelligenza Artificiale, al Machine Learning, può affrontare il nuovo scenario delle minacce in modo efficace, consentendo alle aziende di essere flessibili e di poter operare in mobilità senza che la sicurezza diventi un freno.
Gli attacchi ransomware hanno subito un calo di circa il 60% tra marzo 2017 e dicembre 2018. Questa diminuzione è principalmente dovuta alla maggiore sofisticatezza delle tecnologie di difesa e alla crescente attenzione posta dagli utenti, che hanno portato i cyber criminali a cambiare strategia, preferendo tipologie di attacco più invisibili. Tuttavia, in Italia i ransomware rappresentano ancora uno dei primi vettori di attacco per le aziende pubbliche, a causa della resistenza da parte delle istituzioni a utilizzare le nuove tecnologie come strumenti di difesa, affidandosi a soluzioni di protezione perimetrale e strumenti basati sul concetto di signature, che non si rivelano efficaci.
In risposta al calo degli attacchi ransomware, è stata invece registrata una prevalenza dei miner di criptovalute, che vengono installati sui computer delle vittime a loro insaputa, sfruttando la potenza di calcolo necessaria per il mining. Una delle ragioni dell’aumento dei miner è proprio la loro capacità di passare inosservati: sono silenti, operano in background, e sono difficili da identificare in assenza di strumenti di endpoint protection, che monitorano i processi attivi e controllano il traffico in uscita.
Gli esperti di Microsoft hanno inoltre evidenziato la diffusione di un diverso tipo di miner, che non richiede l’installazione sul PC degli utenti ma che è completamente basato sui browser web ed effettua il mining di criptovalute quando gli utenti visitano un sito infetto.
Un’altra tattica utilizzata dai cyber criminali prevede l’inserimento di una componente dannosa in un’applicazione legittima o nel pacchetto di aggiornamento distribuito a tutti gli utenti. Questi attacchi possono essere molto difficili da rilevare perché fanno leva sulla fiducia che gli utenti ripongono nei confronti dei vendor. Il report include diversi esempi, tra i quali la campagna Dofoil, che dimostra quanto questo genere di attacchi sia in grado di diffondersi rapidamente: nelle prime 12 ore dall’inizio della campagna, Windows Defender Antivirus ha bloccato oltre 400.000 tentativi di infezione in tutto il mondo. Infine, il phishing si è confermato il metodo di attacco preferito dai cyber criminali: tra gennaio e dicembre 2018 la percentuale di messaggi di phishing tra le email in arrivo è aumentata del 250%. Questo trend non è una sorpresa e non sembra destinato a cambiare nel prossimo futuro.
Anche in questo caso, gli attaccanti hanno cambiato le proprie tattiche in risposta ai tool e alle tecniche di rilevamento sempre più sofisticati, riducendo la durata delle campagne e affidandosi alle infrastrutture Cloud pubbliche per celare i propri attacchi.
Per avere maggiori informazioni sui principali vettori di attacco del 2018 è possibile scaricare il report completo e visitare il nuovo sito interattivo che consente di effettuare ricerche approfondite per regione geografica e arco temporale.
Microsoft ha inoltre annunciato due nuovi servizi per aiutare i security team nella protezione dalle minacce informatiche grazie alla potenza del Cloud, all’utilizzo degli algoritmi di Intelligenza Artificiale e al Machine Learning.
Microsoft Azure Sentinel è la prima soluzione di Security Information and Event Management (SIEM) nativa su una delle maggiori piattaforme Cloud. Cambia completamente il concetto di SIEM perché semplifica la raccolta dei dati relativi all’intera organizzazione – sia essa on premise, cloud o ibrida – raccogliendoli da diverse fonti, come dispositivi, utenti, app, server e Cloud. La soluzione si avvale di algoritmi di intelligenza artificiale a supporto dell’identificazione rapida delle minacce, azzerando il tempo richiesto per la creazione, la manutenzione e la scalabilità delle infrastrutture. Inoltre, grazie alla potenza del cloud Azure, offre flessibilità e velocità pressoché illimitate, oltre alla scalabilità automatica necessaria per soddisfare ogni esigenza.
Infine, con Microsoft Threat Experts, una nuova funzionalità di Windows Defender ATP, gli esperti di Microsoft possono supportare direttamente il team di sicurezza nel rilevamento delle minacce. Il servizio permette a Microsoft di analizzare i dati dell’organizzazione in forma anonima alla ricerca di minacce avanzate e aiutare il team locale a identificare gli attacchi più pericolosi e a rispondere rapidamente. Inoltre, grazie al nuovo pulsante “Ask a Threat Expert” i responsabili di sicurezza possono chiedere il supporto degli esperti Microsoft direttamente tramite la console di Windows Defender ATP.
Carlo Mauceli, National Digital Officer di Microsoft Italia
Il panorama delle minacce è in costante evoluzione e i cyber criminali si adattano rapidamente al progresso delle tecnologie di difesa. Al contempo, il mondo soffre una carenza diffusa di esperti di sicurezza: si prevede, infatti, che entro il 2021 saranno 3,5 milioni i professionisti di cybersecurity mancanti. Di conseguenza, i responsabili di sicurezza informatica si trovano sopraffatti dalle minacce e sono in difficoltà nel rilevare e bloccare per tempo gli attacchi avanzati. È compito degli operatori del settore condividere la conoscenza, le skill e le tecnologie necessarie per vincere la lotta al cyber crimine. Il Cloud svolge un ruolo fondamentale, offrendo la potenza di calcolo, la velocità e la scalabilità necessarie per contrastare le minacce in continua trasformazione. Purtroppo, questa consapevolezza non è ancora sufficientemente diffusa ed è importante investire per migliorare l’awareness: utilizzare soluzioni che sfruttano Cloud, Machine Learning e Intelligenza Artificiale per attuare difese in linea con il cambiamento degli scenari è sicuramente il modo migliore per contrastare le minacce.