Ivanti presenta i dati del Ransomware 2021 Year End Report che rivelano come gli hacker stiano indirizzando i propri attacchi verso vulnerabilità Zero-Day e reti della supply chain. Lo studio è condotto insieme a Cyber Security Works, e Cyware. Il report ha individuato 32 nuove famiglie di ransomware, portando il totale a 157 e un aumento del 26% rispetto all’anno precedente. Lo studio evidenzia anche come questi gruppi di ransomware riescono a individuare vulnerabilità zero-day e colpire quelle sprovviste di patch, con attacchi estremamente dannosi. Contemporaneamente i cybercriminali stanno ampliando il proprio raggio di azione.
Ransomware 2021 Year End Report
Le vulnerabilità sprovviste di patch rappresentano ancora i vettori di attacco più sfruttati dai criminali informatici
Scoperte solamente nello scorso anno, 65 nuove vulnerabilità legate al ransomware. Una crescita del 29% rispetto all’anno precedente, che porta il totale di vulnerabilità associate a questo tipo di attacco a 288. Il dato allarmante è che più di un terzo (37%) di queste erano presenti sul dark web e ripetutamente sfruttate. Anche il 56% delle 223 vulnerabilità più vecchie, identificate prima del 2021, sono state attivamente sfruttate dagli hacker. In questo scenario le aziende devono assegnare priorità alle vulnerabilità e applicare le patch.
I cybercriminali continuano a rilevare e sfruttare le vulnerabilità zero-day
Le vulnerabilità QNAP (CVE-2021-28799), Sonic Wall (CVE-2021-20016), Kaseya (CVE-2021-30116), e più recentemente quella di Apache Log4j (CVE-2021-44228) sono state sfruttate prima di essere inserite nel National Vulnerability Database (NVD). In questo scenario poco rassicurante, i vendor devono rendere note le vulnerabilità e rilasciare le patch in base alle priorità. Inoltre, per le organizzazioni è importante controllare costantemente le tendenze delle vulnerabilità, i casi di sfruttamento, gli avvisi dei fornitori e delle agenzie di sicurezza.
Aumentano gli attacchi alle reti della supply chain con l’obiettivo di generare gravi danni alle imprese
Una singola violazione della supply chain può aprire molteplici strade ai cybercriminali, dirottando intere distribuzioni del sistema attraverso le reti delle vittime. Nel 2021, gli hacker hanno compromesso diverse reti della supply chain, avvalendosi di applicazioni di terze parti. Tra gli ultimi esempi, il gruppo REvil ha attaccato il CVE-2021-30116 nel servizio di gestione remota Kaseya VSA, lanciando un pacchetto di aggiornamento dannoso che ha colpito tutti gli utenti che utilizzano versioni onsite e remote della piattaforma VSA.
I cybercriminali stanno condividendo i propri servizi con terze parti, seguendo il modello delle soluzioni SaaS legittime
Il ransomware-as-a-service è un modello di business in cui gli sviluppatori di ransomware offrono i loro servizi, varianti, kit o codici ad altri criminali in cambio di un pagamento. Le soluzioni exploit-as-a-service consentono invece ai cybercriminali di affittare exploit zero-day dagli sviluppatori. Mentre i dropper-as-a-service permettono ai più inesperti di distribuire programmi che, se lanciati, possono eseguire un payload dannoso sul computer della vittima. Il trojan-as-a-service, invece, chiamato anche malware-as-a-service, consente a chiunque abbia una connessione Internet di ottenere e distribuire un malware personalizzato nel cloud, senza ricorrere a installazioni.
I risultati del Ransomware 2021 Year End Report
Con 157 famiglie di ransomware in grado di sfruttare 288 vulnerabilità, nei prossimi anni gli hacker potranno condurre attacchi sempre più sofisticati. Secondo Coveware, inoltre, le aziende pagano in media 220.298 dollari e subiscono 23 giorni di inattività in seguito a un attacco ransomware. Tutto questo dimostra come sia necessaria una maggiore attenzione all’igiene informatica, attraverso l’implementazione di soluzioni automatizzate per gestire la crescente complessità degli ambienti.