Quest’anno il Global Threat Report di CrowdStrike evidenzia un aumento dell’82% delle fughe di dati causate dagli attacchi ransomware e il debutto di due nuovi avversari criminali (Wolf in Turchia e Ocelot in Colombia). Il report 2022 aggiunge poi 21 nuovi avversari a quelli monitorati in tutto il mondo.
“Mentre i criminali informatici e gli avversari nation-state di tutto il mondo – dichiara Adam Meyers, senior vice president of Intelligence di CrowdStrike – continuano ad adattarsi ad uno scenario in continua evoluzione e interconnesso, è fondamentale che le aziende facciano evolvere le loro tecniche di difesa contro queste minacce, integrando nuove tecnologie, soluzioni e strategie. La piattaforma CrowdStrike Falcon, alimentata da dati di intelligence a livello mondiale che sulla base dei quali viene redatto questo rapporto annuale, offre una gamma completa degli strumenti necessari a fornire rilevamenti della massima accuratezza, una protezione automatizzata e la capacità di neutralizzare necessaria a fermare le minacce sul nascere. Il Global Threat Report annuale dipinge un quadro che mostra come il rischio aziendale ruoti sempre più intorno a tre aree critiche – ovvero gli endpoint e workload in cloud, le identità e i dati – e fornisce una risorsa preziosa per le organizzazioni che cercano di rafforzare la loro strategia di sicurezza”.
La continua crescita delle minacce informatiche
Giunto ormai alla sua ottava edizione, il Global Threat Report 2022 delinea nuove operazioni e tecniche da parte delle cosiddette Big Four: Iran, Cina, Russia e Corea del Nord.
Esaminando le conseguenze degli attacchi Log4Shell, il rapporto mette in luce come gli avversari si stiano muovendo oltre il malware: 62% delle recenti rilevazioni sono infatti prive di malware.
Il rapporto ha documentato da un lato la continua evoluzione degli avversari nation-state affiliati e criminali e, dall’altro, l’aumento del livello di sofisticatezza, velocità e impatto degli attacchi ransomware mirati, delle operazioni dagli effetti dirompenti e degli attacchi legati al cloud nel 2021.
I principali risultati emersi dal rapporto 2022 forniscono alle aziende le informazioni e gli insight necessari per innovare le loro strategie di sicurezza e difendere il proprio business dalle minacce informatiche, oggi sempre più prolifiche.
Nel 2021, lo scenario delle minacce informatiche è apparso sempre più popolato e contraddistinto dalla nascita di nuovi avversari. A oggi, infatti, sono più di 170 quelli monitorati in totale da CrowdStrike Intelligence.
Più nello specifico, l’attività di eCrime motivata da questioni finanziarie continua a dominare i tentativi di intrusione interattiva tracciata da CrowdStrike OverWatch. Le intrusioni attribuite all’eCrime hanno rappresentato quasi la metà (49%) di tutte le attività osservate.
Gli avversari basati in Iran adottano l’uso di ransomware e operazioni di “lock-and-leak”, usando il ransomware per crittografare le reti target e successivamente far trapelare le informazioni delle vittime attraverso profili o entità controllate dagli autori.
Nel 2021, i Cina-nexus sono emersi come i principali autori in grado di sfruttare le vulnerabilità e hanno modificato le tattiche per prendere sempre più di mira i dispositivi e i servizi rivolti a Internet, come Microsoft Exchange.
Secondo l’analisi di CrowdStrike Intelligence, gli autori Cina-nexus hanno sfruttato 12 vulnerabilità pubblicate nel 2021.
L‘avversario Russia-nexus Cozy Bear espande i suoi obiettivi nel settore IT ai fornitori di servizi cloud, al fine di sfruttare le relazioni di fiducia da questi coltivate e guadagnare accesso ad ulteriori target attraverso il movimento laterale.
Inoltre, Fancy Bear aumenta l’utilizzo di tattiche di raccolta delle credenziali, comprese le tecniche di scansione su larga scala e attività di phishing dei siti web create ad hoc sulle vittime.
La Repubblica Democratica Popolare di Corea (DPRK) ha preso di mira entità legate alla criptovaluta nel tentativo di continuare a generare lo stesso livello di profitti illeciti raggiunto durante le interruzioni economiche causate dalla pandemia da Covid-19.
Gli autori di eCrime (inclusi gli affiliati Doppel Spider e Wizard Spider) hanno adottato Log4Shell come vettore di accesso per consentire le operazioni ransomware.
Gli attori sponsorizzati dagli stati, inclusi Nemesis Kitten (Iran) e Aquatic Panda (Cina), si sono affiliati probabilmente utilizzando Log4Shell prima della fine del 2021.
Lo spionaggio è più sofisticato
Il rapporto evidenzia, per il 2021, una crescita e un impatto sorprendenti degli attacchi ransomware mirati, delle operazioni con impatto dirompente e degli attacchi legati al cloud, le cui conseguenze in quasi tutti i settori e i Paesi sono state evidenti.
Nel 2021, CrowdStrike Intelligence ha osservato un aumento dell‘82% delle fughe di dati legate agli attacchi ransomware, con ben 2.686 attacchi registrati fino al 31 dicembre 2021, rispetto ai 1.474 avvenuti nel 2020.
Il CrowdStrike eCrime Index (ECX) mostra come gli attacchi ransomware siano stati altamente redditizi per tutto il 2021. L’ECX mostra la forza, il volume e la sofisticatezza del mercato cyber-criminale ed è aggiornato settimanalmente sulla base di 20 indicatori unici dell’attività criminale; l’indice ha tracciato aspetti quali le vittime del Big Game Hunting, le fughe di dati e le domande di riscatto.
Nel corso del 2021, il CrowdStrike eCrime Index ha riscontrato quanto segue: CrowdStrike ha osservato 2.721 incidenti di Big Game Hunting lo scorso anno; CrowdStrike Intelligence ha registrato una media di oltre 50 eventi ransomware mirati ogni settimana; le domande di riscatto legate ai ransomware sono state, in media, di $6.1 milioni per riscatto, con un aumento fino al 36% dal 2020; gli avversari sfruttano sempre di più le credenziali e l’identità rubate agli utenti per aggirare le soluzioni di sicurezza legacy. Di tutte le rilevazioni indicizzate nel quarto trimestre del 2021, il 62% era infatti privo di malware.