Nel Global Threat Landscape Report, Fortinet sottolinea la velocità con cui i cybercriminali stanno capitalizzando gli exploit appena identificati nella cybersecurity, le vulnerabilità e l’aumento delle attività ransomware e wiper. Il rapporto con cadenza semestrale dei FortiGuard Labs offre un’istantanea del panorama delle minacce attive e mette in evidenza i trend in atto nel periodo luglio-dicembre del 2023.
Vendor e clienti: i loro ruoli
Derek Manky, Chief Security Strategist and Global VP Threat Intelligence, FortiGuard Labs
Il report relativo al secondo semestre 2023 continua a mettere in luce la rapidità con cui i criminali informatici sfruttano le vulnerabilità appena divulgate. In questa particolare situazione, sia i vendor che i clienti hanno un ruolo da svolgere. I primi devono introdurre un robusto controllo della sicurezza in tutte le fasi del ciclo di vita del prodotto e dedicarsi a mettere in atto una trasparenza radicale e responsabile nella divulgazione delle vulnerabilità. Con oltre 26.447 vulnerabilità rilevate in più di 2.000 vendor nel 2023, come citato dal NIST, è inoltre fondamentale che i clienti mantengano un rigoroso regime di applicazione delle patch per ridurre il rischio che esse possano venire sfruttate.
Gli attacchi iniziati circa 4,76 giorni dopo la divulgazione di nuovi exploit
Come fatto in precedenza con il Global Threat Landscape Report relativo al primo semestre 2023, i FortiGuard Labs hanno provato a determinare quanto tempo impieghi una vulnerabilità a passare dall’iniziale release all’exploitation. Se quelle con un punteggio Exploit Prediction Scoring System (EPSS) elevato sono sfruttate più velocemente e se sia possibile prevedere il tempo medio di impiego utilizzando i dati EPSS. In base a ciò, nella seconda metà del 2023 i responsabili degli attacchi hanno aumentato la velocità con cui capitalizzano le falle appena rese pubbliche (43% in più rispetto al primo semestre 2023).
Questo dato evidenzia la necessità per i fornitori di dedicarsi a rilevare internamente le vulnerabilità e a sviluppare una patch prima che se ne verifichi lo sfruttamento (mitigando i casi di 0-Day). Inoltre è rafforzata la necessità per i vendor di comunicare le problematiche ai clienti in modo proattivo e trasparente, per garantire che questi ultimi abbiano a disposizione le informazioni necessarie per proteggere efficacemente le proprie risorse prima che i cyber-avversari possano arrivare a sfruttare le N-day.
Vulnerabilità N-Day senza patch per oltre 15 anni
I Ciso e i team che si occupano della sicurezza non devono preoccuparsi solo delle problematiche identificate di recente. La telemetria di Fortinet ha infatti rilevato come il 41% delle organizzazioni abbia evidenziato exploit da firme nate meno di un mese prima. Mentre quasi tutte le organizzazioni (98%) hanno trovato vulnerabilità N-Day che esistono da almeno 5 anni. I FortiGuard Labs continuano inoltre a osservare come i cybercriminali ne sfruttino alcune vecchie di oltre 15 anni. Questo dato rafforza la necessità di mantenere la vigilanza per quanto concerne la cyber hygiene. Inoltre rende più impellente la richiesta fatta alle aziende di agire rapidamente attraverso un programma coerente di patch e aggiornamenti. Mettendo così in atto le best practice e le indicazioni provenienti da organizzazioni come la Network Resilience Coalition, per migliorare la sicurezza complessiva delle reti.
Cybercriminali sempre più veloci nello sfruttare le vulnerabilità
Meno del 9% di tutte le vulnerabilità degli endpoint conosciute sono state oggetto di attacchi. Nel 2022, i FortiGuard Labs hanno introdotto il concetto di “zona rossa”, che aiuta gli utenti a comprendere al meglio la probabilità che i criminali informatici sfruttino specifiche vulnerabilità. Per illustrare questo punto specifico, gli ultimi tre Global Threat Landscape Report hanno esaminato il numero totale di vulnerabilità che hanno come obiettivo gli endpoint. Nella seconda metà del 2023, la ricerca ha rilevato che lo 0,7% di tutti i CVE (Common Vulnerabilities and Exposures) osservati sugli endpoint è effettivamente sotto attacco, rivelando una superficie attiva molto più ridotta. Su questa i team devono concentrarsi e dare di conseguenza priorità agli sforzi di remediation.
Attacchi più mirati
Il 44% di tutti i campioni di ransomware e wiper ha preso di mira i settori industriali. La rilevazione di ransomware da parte di tutti i sensori di Fortinet è diminuita del 70% rispetto alla prima metà del 2023. Questo rallentamento, osservato nell’ultimo anno, può essere attribuito al fatto che gli attori malevoli abbiano abbandonato la tradizionale strategia “spray and pray” adottando invece un approccio più mirato. Un approccio rivolto soprattutto ai settori dell’energia, della sanità, della produzione, dei trasporti e della logistica e dell’automotive.
Le nuove minacce
Le botnet hanno dimostrato di avere un’incredibile resilienza, impiegando in media 85 giorni per interrompere le comunicazioni di comando e controllo (C2) dopo il primo rilevamento. Mentre il traffico bot è rimasto costante rispetto alla prima metà del 2023, i FortiGuard Labs hanno continuato a rilevare le botnet più importanti degli ultimi anni, come ad esempio Gh0st, Mirai e ZeroAccess. Nella seconda metà del 2023 sono tuttavia emerse tre nuove referenze, tra cui: AndroxGh0st, Prometei e DarkGate.
Cybercriminali sempre più veloci
38 dei 143 gruppi Advance Persistent Threat (APT) elencati dal MITRE sono stati rilevati in attività durante il secondo semestre 2023. Le informazioni provenienti da FortiRecon, servizio di protezione dai rischi digitali di Fortinet, indicano che 38 dei 143 gruppi monitorati dal MITRE erano attivi nella seconda metà dell’anno passato. Tra questi, i gruppi più attivi sono stati Lazarus Group, Kimusky, APT28, APT29, Andariel e OilRig. L’evoluzione e il volume dell’attività in questo settore sono aspetti che i FortiGuard Labs seguiranno costantemente. In particolare vista la natura mirata e la durata relativamente breve delle campagne attuati dai gruppi informatici APT e degli Stati nazionali rispetto alle quelle di lunga durata messe in atto dai cybercriminali.
I cybercriminali dialogano sul dark web
Il nuovo Global Threat Landscape Report comprende anche i risultati raccolti da FortiRecon. Offrono un’overview sulle conversazioni che avvengono tra gli attori delle minacce sui forum del dark web, sui marketplace, sui canali Telegram e tramite altre fonti. Alcuni dei risultati includono:
- la discussione avvenuta più di frequente tra i cybercriminali riguardava la possibilità di prendere di mira le organizzazioni del settore finanziario. A seguire, quelle dei servizi alle imprese e dell’istruzione.
- Più di 3.000 violazioni di dati sono state condivise su importanti forum del dark web.
- 221 vulnerabilità sono state discusse attivamente sulla darknet, mentre 237 vulnerabilità sono state discusse sui canali Telegram.
- È stata pubblicizzata la vendita di oltre 850.000 carte di pagamento.
Invertire la rotta per agire contro il cybercrime
La superficie di attacco è in costante espansione. Tuttavia si rileva una carenza di competenze in materia di cybersecurity in tutto il settore. In questo contesto è più che mai difficile per le aziende gestire correttamente un’infrastruttura complessa composta da soluzioni eterogenee. Per non parlare della necessità di tenere il passo con il volume di avvisi provenienti dai point product e con le diverse tecniche e procedure che la criminalità sfrutta per compromettere le loro vittime.
Per invertire la rotta è necessario costruire una cultura della collaborazione, della trasparenza e della responsabilità. Una cultura che si sviluppi su una scala più ampia rispetto a quella delle singole organizzazioni che operano nell’ambito della sicurezza informatica. Ogni organizzazione ha infatti un ruolo nella catena che permettere di interrompere i processi alla base delle minacce. La collaborazione con organizzazioni di alto profilo e ben accreditate del settore pubblico e privato, tra cui CERT (Computer Emergency Response Team), enti governativi e università, è un aspetto fondamentale dell’impegno di Fortinet per migliorare la resilienza a livello globale.
Cybercriminali sempre più veloci
Migliorare la sicurezza e supportare la lotta contro la criminalità informatica a livello globale è possibile. Soprattutto attraverso la costante innovazione tecnologica e la collaborazione tra i settori e i gruppi di lavoro. Tra questi Cyber Threat Alliance, Network Resilience Coalition, Interpol, World Economic Forum (WEF) Partnership Against Cybercrime e WEF Cybercrime Atlas.