Fortinet, ecco il nuovo Threat Landscape Report

Le osservazioni effettuate nel primo trimestre 2019 suggeriscono di prestare particolare attenzione alle infrastrutture, ai nuovi metodi di attacco dei ransomware e al periodo della settimana in cui vengono lanciate le minacce

Pubblicato il 28 maggio 2019 da redazione

La maggioranza delle minacce informatiche sfrutta un dominio comune e gran parte dei botnet fa leva su un'infrastruttura che esiste già. Mentre i ransomware non sono un residuo del passato: hanno solo cambiato modo di attaccare. E le attività di pre compromise che precedono un attacco sono più probabili durante i giorni lavorativi. Ad affermarlo è Fortinet, società specializzata nelle soluzioni di sicurezza informatica integrate e automatizzate, nell'ultima edizione del Threat landscape report, relativo al primo semestre 2019. Ecco, più analiticamente, cosa ha scoperto l'azienda, che ha aggregato le ricerche dei FortiGuard Labs.

 

Domenica è sempre domenica

Il crimine informatico non si ferma mai. Ma il traffico che precede e anticipa l'attacco non si verifica nei giorni festivi. Almeno nella maggior parte dei casi: quando si confronta il volume del web filtering per due fasi della cyber kill chain durante la settimana lavorativa e nel week end, si osserva che l'attività di pre-compromise è circa tre volte più probabile nei giorni feriali, mentre il traffico post-compromise non fa alcuna distinzione.

Il motivo? Semplice: per diffondere un exploit ci vuole, di solito, un'azione da parte della vittima. Per esempio, cliccare su un messaggio di phishing. Invece, l'attività di controllo e comando non ha bisogno di questa operazione e, per questo motivo, può avvenire in ogni momento. Inoltre, i pirati del web scelgono la settimana lavorativa anche perché l'attività su internet, nei giorni feriali, è più elevata. Insomma: secondo Fortinet, diversificare le pratiche di web filtering dei feriali da quelle dei week end è importante per capire pienamente la kill chain dei singoli attacchi.

 

Infrastruttura comune

Capitolo a parte per le infrastrutture comuni, condivise da alcune minacce: quasi il 60% sfrutta lo stesso dominio. Ciò significa, puntualizza la società specializzata nella sicurezza, che la maggior parte delle botnet si serve di un’infrastruttura consolidata. Un esempio di questo atteggiamento è IcedId che, afferma la nota, si può riassumere con la domanda: “perché compri quando puoi prendere in prestito?".

E c'è di più: quando le minacce informatiche condividono l'infrastruttura, tendono a farlo nella stessa fase della kill chain. Da queste informazioni si capisce quanto, per il crimine informatico, sia importante l'infrastruttura: comprendere quali di loro la condividono e in quali punti è un grande passo avanti per capire come si evolveranno malware e botnet.

 

Content management

Per quanto riguarda il content management, invece, il consiglio dell'azienda di It security è: controllarlo e gestirlo sempre. Gli hacker, sottolinea Fortinet, preferiscono agire in modo tale da poter massimizzare le opportunità; tra i comportamenti scelti, il passaggio da una minaccia all'altra in cluster, mirando alle vulnerabilità. Tra le nuove tecnologie che i pirati mettono nel mirino, le piattaforme web che rendono più facile la presenza on line di utenti e  imprese; queste, infatti, continuano a essere prese di mira, anche quando sono associate a plugin di terze parti. Per questo, occorre applicare subito le patch e non dimenticarsi che gli exploit sono in continua evoluzione".

 

Attacchi mirati

I ransomware, che bloccano i file promettendo di renderli nuovamente disponibili a fronte del pagamento di un riscatto (in criptovalute) non sono scomparsi. I ricattatori virtuali hanno solo cambiato strategia: dalle operazioni nel mucchio agli attacchi mirati. Personalizzati. Il loro obiettivo è raggiungere target particolarmente importanti e di lì poter avere accesso alla rete. Fortinet fa l'esempio di due malware: LockerGoga e Anatova. Il primo è un attacco multistage mirato, elaborato con una precisa volontà di renderlo difficilmente individuabile. Il secondo, invece, non ha l'obiettivo di crittografare più file possibile, ma evita di criptare quelli che potrebbero minare la stabilità del sistema. Il rimedio? Patch e backup, naturalmente, ma anche difese più personalizzate in grado di arginare questi nuovi ransomware.

 

Living off the land

Un discorso a parte meritano gli attacchi multipli: i delinquenti del web, per ottimizzare i loro sforzi, operano servendosi degli stessi modelli di business delle loro vittime: per questo motivo, ricorda Fortinet, spesso i piani di attacco continuano a svilupparsi anche dopo il primo accesso. Per poter agire in questo modo, i criminali informatici si servono sempre più di strumenti dual use o già preinstallati sui sistemi. Questa tattica di Living off the land permette loro loro di nascondere le loro attività all’interno di processi legittimi. Rendendo, così, più difficile rilevarli o attribuirne la responsabilità.

 

Difesa continua

Infine, l'ultimo tema caldo: quello della preparazione continua agli attacchi. Una sorta di mobilitazione permanente, che archivia i piani di semplice difesa e vira su un piano elaborato per prepararsi all'evoluzione degli assalti informatici e della loro automazione. Questa evoluzione richiede, secondo Fortinet, una threat intelligence dinamica, capace di rispondere in tempo reale e disponibile su tutta la rete distribuita. Il nuovo approccio può aiutare, e molto, a individuare i trend, facendo emergere la trasformazione dei metodi di attacco, e a identificare le priorità di cyber hygiene, ricavare dagli obiettivi dei criminali informatici. La difesa dalle minacce è molto meno efficace se non è organizzata in tempo reale su ogni dispositivo. Per questo motivo, per proteggere l'intero ambiente di rete, occorre una security fabric ampia, integrata e automatizzata.

"Constatiamo giorno dopo giorno come la community dei cybercriminali replichi le strategie e le metodologie di stati, device e network in continua evoluzione", ha commentato Phil Quade, chief information security officer di Fortinet. "Le organizzazioni devono ripensare i loro piani per affrontare al meglio le sfide future e gestire i rischi in ambito cyber security. Un primo passo importante è pensare alla sicurezza informatica come a una scienza, facendo leva su velocità e connettività del cyberspazio per difendersi. Adottare un approccio fabric alla sicurezza, una segmentazione micro e macro, sfruttare il machine learning e l'automazione come elementi costitutivi dell'intelligenza artificiale, possono rappresentare un'enorme opportunità per tenere lontani i criminali informatici”.

 

 

Tag: malware, cybercrimine, web, cybersecurity, criptovalute, crypto, sicurezza informatica, botnet, cybersicurezza, criptoeconomia, ransomware, pre compromise, post compromise, Fortinet, Threat landscape report, FortiGuard Labs, web filtering, cyber kill chain, web filtering, content management, It security, cluster, plugin, patch, LockerGoga, Anatova, multistage, backup, Living off the land, attacchi multipli, dual use, threat intelligence, cyber hygiene, security fabric, fabric, Phil Quade, Quade

MALWARE

NEWS