Check Point, le conseguenze degli attacchi mirati e delle vulnerabilità

Tanti gli esempi del rischio: dall’attacco alla supply chain del software SolarWinds alla vulnerabilità Apache Log4j.

vulnerabilità

Il 2021 ha insegnato alle aziende la gravità, i rischi e le conseguenze degli attacchi mirati e delle vulnerabilità di sicurezza, lo rivela un report di Check Point. Dall’attacco alla supply chain del software SolarWinds alla vulnerabilità Apache Log4j. Le aziende non hanno mai sentito in maniera così forte l’esigenza di avere un’infrastruttura di sicurezza robusta e completa, anche quando non sono necessariamente loro stesse a essere nel mirino. Molti pensano che l’evento SolarWinds sia stato il principale catalizzatore per il successivo proliferare di attacchi di quinta generazione, presenti ancora oggi.

Le conseguenze degli attacchi mirati

Se esercitato su larga scala, questo tipo di attacco multi-vettore ha una portata praticamente illimitata. Con conseguenze devastanti sulla security di aziende e entità governative di tutto il mondo. Un anno dopo, la vulnerabilità Apache Log4j ha consentito ai cyber-criminali di eseguire codice da remoto su quasi tutti i computer presi di mira. Così da assumerne il controllo, rubare dati o persino violare il computer di un utente per ottenere criptovaluta.

Vulnerabilità zero-day

Nel primo caso si è trattato di un attacco organizzato da un gruppo APT. Il secondo di una vulnerabilità zero-day di cui nessuno si era accorto. Una cosa, però, questi due incidenti hanno in comune. Cioè l’aumento del margine di rischio e di vulnerabilità per aziende di tutti i settori, ovunque nel mondo. Mentre le aziende progettano le loro strategie future, è chiaro che la cybersecurity è un problema mondiale e non solo locale. Questo dovrà riflettersi in ogni strategia aziendale, da questo momento in avanti.

Gli attacchi di quinta generazione (Gen V)

La peculiarità degli attacchi di quinta generazione è la loro capacità unica di sfruttare vaste superfici di attacco e diversi vettori per infiltrarsi in un gran numero di aziende. Questi attacchi stanno crescendo in modo spropositato. Ora aziende e realtà governative stanno puntando su una presenza decentralizzata. Distribuendo la rete su un maggior numero di endpoint e di device, il rischio di essere colpiti da un attacco Gen V non è mai stato così alto.

Le conseguenze degli attacchi secondo il report Check Point

Nel Security Report 2022 di Check Point, la violazione di SolarWinds, ha dato avvio a una serie di attacchi alle supply chain che ancora affliggono le aziende oggi. Il 2021 ha visto gli attacchi informatici contro i network aziendali aumentare del 50% su tutta la linea. I vendor di software come SolarWinds hanno visto gli attacchi crescere, anno su anno, del 146% – una percentuale mai raggiunta prima. Oggi l’economia aziendale si regge su un complicato sistema di software per la supply chain. Il che significa che con ogni nuovo attacco verso un vendor di software la vulnerabilità delle aziende di tutto il mondo è ulteriormente amplificata.

Alimentare gli attacchi: il catalizzatore Sunburst

L’attacco alla supply chain di SolarWinds è stato facilitato da una backdoor nota come Sunburst. Aggiunta al sistema SolarWinds di Orion prima che fosse distribuito ai clienti in tutto il mondo attraverso un aggiornamento di routine. Questo ha dato al Gruppo APT l’accesso anonimo a migliaia di reti dei clienti di SolarWinds, dalle agenzie governative alle aziende Fortune 500.

Gli attacchi APT

Sfortunatamente, questa modalità di attacco da parte dei gruppi APT sta crescendo. Come spiega il report, il gruppo ransomware REvil ha preso di mira diversi managed service provider (MSPs) nel 2021. Nel mese di luglio è riuscito a incorporare un software update malevolo nei tool per la gestione delle patch e del monitoraggio dei clienti dell’azienda IT Kaseyain. Migliaia di aziende, ignare di tutto, sono state colpite con richieste di riscatto miliardarie.

Gli attacchi Sunburst e Colonial Pipeline

Probabilmente, Sunburst ha anche ispirato l’attacco a Colonial Pipeline, che movimenta quasi la metà del carburante nella costa est degli USA. Dietro l’attacco si celava il gruppo APT DarkSide, che utilizza un modello Ransomware-as-a-service. Cioè un modello che utilizza programmi affiliati di terze parti per organizzare la violazione. Ad oggi, questo è uno degli esempi più eloquenti di come i tool utilizzati per sferrare questi attacchi siano ormai sempre più diffusi. Mettendo ancora più pressione sulle aziende che devono difendere i loro perimetri.

Attacchi mirati e vulnerabilità di sicurezza, le conseguenze degli attacchi

Mentre i beni di proprietà del gruppo ransomware sono stati sequestrati e i suoi capi sono stati arrestati, è impossibile arrestare il codice. Una volta che un gruppo di hacker fa progressi con un particolare attacco, è molto facile per un membro affiliato trarre vantaggio da questo. Il botnet Emotet è tornato nel novembre del 2021, un anno dopo il suo takedown. Si tratta di un trojan diffuso soprattutto attraverso link, e-mail di spam, script malevoli e file che contengono macro. Una volta che ha infettato un utente, può dilagare come un incendio senza essere rilevato. Rubando credenziali bancarie e dati finanziari a persone, aziende e governi.

Il pericolo delle vulnerabilità zero-day

Mentre gli attacchi mirati come quelli qui descritti sono sempre più pericolosi per le aziende di tutto il mondo, exploit e vulnerabilità non sono da meno. Lo scorso dicembre, è stata segnalata una vulnerabilità legata all’esecuzione di codice da remoto in Apache Log4j. La libreria è incorporata in quasi tutti i servizi e le applicazioni che utilizziamo quotidianamente, da Twitter ad Amazon da Microsoft a Minecraft. Check Point Research ha individuato circa 40.000 tentativi di attacco soltanto due ore dopo che è stata rivelata la vulnerabilità Log4j e altri 830.000 tentativi di attacchi nelle 72 ore successive.

Il pericolo di questo tipo di attacchi

Queste vulnerabilità zero-day devono il loro nome alla loro capacità di prendere le aziende completamente alla sprovvista. Non dando il tempo di reagire prima che possano diventare potenziali vittime. A quel punto, si tratta di una gara tra chi orchestra la minaccia e la sua capacità di sfruttare la vulnerabilità da una parte, e quanto le aziende riescono a chiudere la falla per difendersi dall’altra.

Le minacce globali richiedono una soluzione globale

Il contesto in cui agiscono le minacce è cambiato. La tradizionale linea di difesa che le aziende potevano tracciare per dividere loro stesse e il resto del panorama informatico è ormai talmente poco nitida che potrebbe anche non esistere. Invece di vigilare un perimetro statico, le aziende devono adottare un approccio più olistico per avere una visione in tempo reale della loro sicurezza. Chi si occupa di sicurezza deve fare in modo di mantenere una visibilità a 360°. Indipendentemente da quanto la realtà aziendale possa essere distribuita in lungo e in largo. Devono anche poter accedere alla threat intelligence in tempo reale e su scala globale. Così da prevenire vulnerabilità zero-day a vasto raggio e attacchi mirati alle supply chain.

Le conseguenze degli attacchi mirati e delle vulnerabilità di sicurezza

Se le aziende di tutto il mondo vogliono agire in piena sicurezza negli anni a venire, devono iniziare a considerare la cybersecurity come un problema globale e non locale. Inoltre far evolvere in questo senso le loro strategie. Solo allora potranno difendersi in un contesto di minacce che non conosce confini e non può essere fermato.