Nell’X-Force Threat Intelligence Index di IBM si evidenzia la crescita dei cyberattacchi nel settore manifatturiero, con maggiori rischi sulle supply chain. Nello studio emerge come ransomware e sfruttamento delle vulnerabilità insieme abbiano “imprigionato” le imprese. Questo ha gravato ulteriormente sulle catene di approvvigionamento globali, con il manufatturiero come l’industria più colpita.
Cyberattacchi in crescita
Il phishing è la causa più comune dei cyberattacchi nell’ultimo anno. IBM Security X-Force ha osservato un +33% negli attacchi causati dallo sfruttamento di vulnerabilità dei software non aggiornati. Questo è il punto di ingresso preferito dai cybercriminali e causa del 44% degli attacchi ransomware nel 2021.
Il problema delle supply chain
Lo studio descrive come nel 2021 gli autori di ransomware abbiano tentato di inserirsi nelle le supply chain globali puntando al settore manifatturiero. Questo settore è stato il più attaccato del 2021 (23%), superando i settori dei servizi finanziari e assicurativi, al vertice per diversi anni. Portando avanti attacchi ransomware più che in qualunque altro settore d’industria, gli aggressori hanno scommesso sull’effetto a catena.
Cyberattacchi nel settore manifatturiero – la richiesta di riscatto
Effetto che avrebbe causato l’interruzione delle attività di imprese manifatturiere e alle catene di approvvigionamento a valle, spingendole a pagare il riscatto. Un allarmante 47% degli attacchi al manifatturiero è stato causato da vulnerabilità che le organizzazioni non avevano ancora corretto. Lo studio 2022 traccia le nuove tendenze e i modelli di attacco che IBM Security ha osservato e analizzato dai propri dati. Questo è stato possibile attingendo a miliardi di datapoint che spaziano dalla rete ai dispositivi di endpoint detection, dai casi di risposta agli incidenti, al tracciamento dei kit di phishing compresi i dati forniti da Intezer.
I principali insight del report 2022
Le bande di ransomware sopravvivono agli sforzi di smantellamento da parte delle autorità. Secondo il rapporto 2022, la durata media della vita di un gruppo ransomware prima della chiusura o della creazione di una nuova famiglia di ransomware è di 17 mesi.
Le vulnerabilità mettono in luce il più grande “vizio” delle aziende. Per le aziende in Europa, Asia e Medio Oriente/Africa, le vulnerabilità non corrette da patch hanno causato circa il 50% degli attacchi nel 2021.
Primi segnali di allarme della crisi cyber nel cloud. Lo studio rivela un +146% di nuovo codice ransomware Linux e uno spostamento del target di attacco verso Docker, rendendo potenzialmente più facile fare leva sugli ambienti cloud per scopi malevoli.
La durata di vita dei gruppi ransomware
In risposta alla recente accelerazione delle azioni di contrasto al ransomware da parte delle forze dell’ordine, i gruppi ransomware potrebbero attivare piani di disaster recovery. L’analisi di X-Force rivela che la durata media della vita di un gruppo ransomware, prima di chiudere o cambiare brand, è di 17 mesi. Per esempio, REvil, responsabile del 37% di tutti gli attacchi ransomware nel 2021, ha resistito per 4 anni attraverso i rebrand.
I cyberattacchi sono sempre in crescita
Mentre i blocchi attuati dalle forze dell’ordine possono rallentare le attività degli attaccanti, questi sono anche appesantiti dalle spese per finanziare i loro rebranding o per ricostruire la loro infrastruttura. Poiché il loro campo d’azione è in cambiamento, è importante che le organizzazioni approfittino di questo momento per modernizzare le infrastrutture e mettere i propri dati in un ambiente che possa aiutare a salvaguardarli – sia che si tratti di on-premises o in cloud.
Le vulnerabilità devono ancora raggiungere il picco
Il rapporto X-Force evidenzia il numero record di vulnerabilità divulgate nel 2021. con le vulnerabilità nei Sistemi di Controllo Industriale aumentate del 50% rispetto all’anno precedente. Sebbene negli ultimi dieci anni siano state divulgate oltre 146.000 vulnerabilità, la crescita maggiore è avvenuta solo in tempi recenti, caratterizzati dalla trasformazione digitale delle imprese. Questo ci suggerisce che la sfida nella gestione delle vulnerabilità deve ancora raggiungere il suo picco.
Il metodo più usato è lo sfruttamento della vulnerabilità
Lo sfruttamento delle vulnerabilità come metodo di attacco sta diventando sempre più popolare. X-Force ha osservato un +33% rispetto all’anno precedente, con le due vulnerabilità più sfruttate nel 2021 che sono state trovate in applicazioni aziendali ampiamente utilizzate (Microsoft Exchange, Apache Log4J Library). La sfida nel gestire le vulnerabilità potrebbe continuare ad aggravarsi con l’espansione delle infrastrutture digitali e l’aumento delle richieste di compliance. Da qui l’importanza di operare partendo sempre dal presupposto di una possibile compromissione e applicare una strategia Zero Trust per proteggere le proprie architetture informatiche.
IBM, in crescita i cyberattacchi
Nel 2021, X-Force ha osservato che più aggressori stanno spostando i loro obiettivi verso le architetture containerizzate come Docker, il motore runtime di container dominante secondo RedHat. Gli aggressori riconoscono che i container rappresentano uno spazio comune alle organizzazioni. Quindi stanno cercando i modi per massimizzare il loro ROI con malware che possano essere trasversali sulle piattaforme e utilizzati come punto di partenza per attaccare altri componenti delle infrastrutture delle loro vittime.
I suggerimenti per contrastare il problema
Il report 2022 invita a prestare attenzione anche ai continui investimenti nello sviluppo di malware Linux, precedentemente non osservati. Secondo i dati forniti da Intezer, si riscontra un aumento del 146% dei ransomware Linux basati su un nuovo codice. Dal momento che gli aggressori continuano a ricercare modi per scalare le operazioni attraverso gli ambienti cloud, le aziende devono cercare di avere una visibilitàestesa sulla loro infrastruttura ibrida. Gli ambienti cloud ibridi che sono costruiti su interoperabilità e standard aperti possono aiutare a rilevare i punti ciechi e ad accelerare e automatizzare le risposte di sicurezza.
