Human Factor 2023: Proofpoint analizza nel dettaglio come la cybercriminalità si sia evoluta e faccia ricorso a strumenti e tecniche sempre più raffinati e fuori dal comune. L’indagine evidenzia come, dopo due anni di sconvolgimenti legati alla pandemia, il 2022 abbia rappresentato un ritorno alle normali attività per i cybercriminali di tutto il mondo. Con la fine delle misure sanitarie ed economiche del Covid-19, gli attaccanti hanno dovuto trovare nuovi modi per continuare a operare. Affinando le loro abilità di social engineering, rendendo comuni tecniche di attacco un tempo sofisticate e cercando di identificare nuove opportunità creative.
Come si è sviluppato il panorama
Ryan Kalember, Executive Vice President, Cybersecurity Strategy di Proofpoint
Con Microsoft 365 che costituisce un’ampia percentuale della superficie di attacco di un’organizzazione tradizionale, l’abuso esteso di questa piattaforma, dalle macro di Office ai documenti di OneNote, continua a definire il panorama delle minacce. I controlli di sicurezza sono lentamente migliorati, ma gli attori delle minacce hanno innovato e scalato le loro strategie. Ad esempio tecniche come il superamento dell’MFA e l’invio di attacchi telefonici, una volta riservati al red team, sono ora comuni. Sebbene molti attori stiano ancora sperimentando, quello che rimane invariato è il loro concentrarsi sulle persone, che continuano a rappresentare la variabile più critica nella catena di attacco odierna.
Proofpoint -Attacchi IT sempre più pericolosi
Human Factor è il report più completo del settore, realizzato da un unico vendor, e approfondisce i nuovi sviluppi nel panorama delle minacce. In particolare concentrandosi sulla combinazione di tecnologia e psicologia che rende i moderni attacchi IT così pericolosi su tre sfaccettature di rischio: vulnerabilità, attacchi e privilegi. Il report si basa su uno dei più vasti e diversificati set di dati globali di cybersecurity del settore, relativi a email, cloud e mobile computing. Dati provenienti da oltre 2,6 miliardi di messaggi email, 49 miliardi di URL, 1,9 miliardi di allegati, 28 milioni di account cloud, 1,7 miliardi di SMS sospetti e altro ancora.
I principali risultati del report
L’uso delle macro di Office è crollato dopo l’introduzione dei controlli da parte di Microsoft per bloccarle. Dopo quasi 3 decenni come metodo popolare di distribuzione del malware, le macro di Office hanno finalmente iniziato a diminuire. E questo dopo che Microsoft ha cambiato il modo in cui il proprio software gestisce i file scaricati dal web. Le modifiche hanno dato il via a una continua sperimentazione da parte degli attori delle minacce, alla ricerca di tecniche alternative per compromettere gli obiettivi.
Proofpoint – Cybercriminalità sofisticata
Gli attori delle minacce hanno iniziato a combinare il proprio ingegno con nuovi livelli di precisione e pazienza. Minacce quali smishing conversazionale e pig butchering, che iniziano con l’invio di messaggi apparentemente innocui, sono aumentate lo scorso anno.
In ambito mobile, questa è stata la minaccia in più rapida crescita, con un volume 12 volte superiore. La consegna di attacchi orientati al telefono (TOAD) ha raggiunto un picco di 13 milioni di messaggi al mese. Diversi attori APT sponsorizzati da uno Stato hanno investito molto tempo nello scambio di messaggi benevoli con i loro obiettivi per costruire un rapporto nel corso di settimane e mesi.
I limiti delle protezioni tradizionali contro una cybercriminalità sempre più sofisticata ed evoluta
I kit di phishing per superare l’MFA sono diventati onnipresenti, consentendo anche a criminali non tecnici di avviare una campagna di phishing. Framework per il bypass dell’MFA come EvilProxy, Evilginx2 e NakedPages sono stati responsabili di oltre un milione di messaggi di phishing al mese.
L’infrastruttura legittima svolge un ruolo chiave nella realizzazione di molti attacchi basati su cloud e mostra i limiti delle protezioni basate su regole. La maggior parte delle organizzazioni ha affrontato minacce provenienti dai noti giganti del cloud, Microsoft e Amazon, la cui infrastruttura ospita servizi legittimi su cui le organizzazioni fanno affidamento.
Anche il cloud è minacciato
Nuovi metodi di distribuzione hanno portato SocGholish nella top five delle minacce informatiche per volume di messaggi. Con un nuovo metodo di distribuzione che coinvolge download drive-by e falsi aggiornamenti del browser, l’attore dietro la minaccia SocGholish – TA569 – è stato sempre più in grado di infettare i siti web per distribuire malware esclusivamente attraverso download drive-by. Convincendo così le vittime a scaricarlo attraverso falsi aggiornamenti del browser. Molti siti che ospitano il malware SocGholish non ne sono consapevoli, facendo proliferare ulteriormente la sua diffusione.
Proofpoint – Attenzione a una cybercriminalità sempre più sofisticata ed evoluta
Le minacce al cloud sono diventate onnipresenti. Il 94% dei tenant cloud viene preso di mira ogni mese da un attacco cloud – mirato o brute-force – con una frequenza pari a quella dei vettori email e mobile. Il numero di attacchi brute-force, in particolare lo spraying di password, è passato da una media mensile di 40 milioni nel 2022 a quasi 200 milioni a inizio 2023. Abusare della notorietà dei grandi brand è una delle forme più semplici di ingegneria sociale. I prodotti e servizi Microsoft occupano 4 delle prime 5 posizioni tra i brand abusati. Amazon invece è quello più sfruttato in assoluto.
Il ruolo degli shadow admin
Un accesso iniziale riuscito può portare rapidamente ad attacchi a livello di dominio, come l’infezione da ransomware o il furto di dati. Il 40% di identità di amministratore mal configurate o “shadow” può essere sfruttato in un solo passaggio, come la reimpostazione di una password di dominio per elevare i privilegi. Inoltre, il 13% degli shadow admin è risultato già in possesso di privilegi di amministratore di dominio, consentendo agli attaccanti di raccogliere le credenziali e accedere ai sistemi aziendali. Circa il 10% degli endpoint ha una password di account privilegiato non protetto e il 26% di questi account esposti sono amministratori di dominio.
Proofpoint : Emotet è ancora presente
Emotet è tornato a essere il più importante attore di minacce al mondo, un anno dopo la chiusura della botnet da parte delle forze dell’ordine nel gennaio 2021. Nonostante l’invio di oltre 25 milioni di messaggi nel 2022, più del doppio del volume del secondo attore di minacce più importante, la presenza di Emotet è stata intermittente e il gruppo ha mostrato segni di rallentamento nell’adattarsi al panorama delle minacce post-macro.
Attività di spionaggio, cybercriminalità sempre più sofisticata ed evoluta
Sebbene il crimine a sfondo finanziario domini ampiamente il panorama delle minacce, un singolo attacco anomalo da parte di un attore di Advanced Persistent Threat (APT) può avere un impatto massiccio. Una grande campagna di TA471, gruppo APT allineato alla Russia e impegnato nello spionaggio aziendale e governativo, ha spinto questo attore ai vertici della classifica del volume di messaggi APT. TA416, allineato allo Stato cinese, è stato uno dei più attivi. In particolare, nuove campagne significative di TA416 hanno coinciso con l’inizio della guerra tra Russia e Ucraina, prendendo di mira entità diplomatiche europee coinvolte nei servizi per rifugiati e immigrati.
