I criminali informatici sfruttano più le credenziali rubate dei malware per violare le vittime. Il punto di CrowdStrike

Giunto ormai alla sua ottava edizione, il report Global Threat Report 2022 di CrowdStrike ha messo in evidenza un aumento dell’82% delle fughe di dati causate dagli attacchi ransomware e, soprattutto, il debutto di due nuovi avversari criminali: WOLF in Turchia e OCELOT in Colombia. Il nuovo rapporto, poi, aggiunge 21 nuovi avversari a quelli monitorati in tutto il mondo e fonisce alle aziende le informazioni e gli insight necessari per innovare le loro strategie di sicurezza e difendere il proprio business dalle minacce informatiche.

Lo studio ha analizzato le operazioni e tecniche utilizzate da parte di quelle che sono state ribattezzate le “Big Four” (Iran, Cina, Russia e Corea del Nord) e le conseguenze degli attacchi Log4Shell. È interessante notare poi come il 62% delle recenti rilevazionisono infatti prive di malware. Il rapporto analizza la continua evoluzione degli avversari nation-state affiliati e criminali e l’aumento del livello di sofisticatezza, velocità e impatto degli attacchi ransomware mirati nel 2021.

Le domande di riscatto legate ai ransomware sono state mediamente di 6.1 milioni di dollari 

Nel 2021 sono più di 170 gli avversari monitorati in totale da CrowdStrike Intelligence. L’attività di eCrime motivata da questioni finanziarie rimane predominante: le intrusioni di questo tipo hanno rappresentato quasi la metà (49%) di tutte quelle osservate. Gli avversari in Iran sfruttano il ransomware e le operazioni di "lock-and-leak" per crittografare le reti target e successivamente far trapelare le informazioni delle vittime attraverso profili o entità controllate dagli autori. Lo scorso anno i “Cina-nexus” hanno sfruttato le vulnerabilità (nello specifico 12) e hanno modificato le tattiche per prendere sempre più di mira i dispositivi e i servizi rivolti a Internet, come Microsoft Exchange. L‘avversario Russia-nexus COZY BEAR ha puntato sempre di più ai servizi cloud, mentre FANCY BEAR ha privilegiato l’utilizzo di tattiche di raccolta delle credenziali, comprese le tecniche di scansione su larga scala e attività di phishing dei siti web create ad hoc sulle vittime. La Repubblica Democratica Popolare di Corea (DPRK), invece, ha preso di mira entità legate alla criptovaluta nel tentativo di continuare a generare lo stesso livello di profitti illeciti raggiunto durante le interruzioni economiche causate dalla pandemia. DOPPEL SPIDER e WIZARD SPIDER nonché i principali autori di eCrime hanno adottato Log4Shell come vettore di accesso per consentire le operazioni ransomware. Gli attori sponsorizzati dagli stati, inclusi NEMESIS KITTEN (Iran) e AQUATIC PANDA (Cina), si sono affiliati probabilmente utilizzando Log4Shell prima della fine del 2021.  

Nel 2021, CrowdStrike Intelligence ha osservato un aumento dell‘82% delle fughe di dati legate agli attacchi ransomware, con ben 2.686 attacchi registrati fino al 31 dicembre 2021, rispetto ai 1.474 avvenuti nel 2020. Il CrowdStrike eCrime Index (ECX) mostra come gli attacchi ransomware siano stati altamente redditizi per tutto il 2021. A tal proposito sono stati registrati 721 incidenti di Big Game Hunting lo scorso anno e una media di oltre 50 eventi ransomware mirati ogni settimana, mentre le domande di riscatto legate ai ransomware sono state, in media, di 6.1 milioni di dollari per riscatto, con un aumento fino al 36% dal 2020. Gli avversari sfruttano sempre di più le credenziali e l'identità rubate agli utenti per aggirare le soluzioni di sicurezza legacy: il 62% delle rilevazioni indicizzate nel quarto trimestre del 2021 era infatti privo di malware.  

Adam Meyers, senior vice president of Intelligence di CrowdStrike, ha commentato: “Mentre i criminali informatici e gli avversari nation-state di tutto il mondo continuano ad adattarsi ad uno scenario in continua evoluzione e interconnesso, è fondamentale che le aziende facciano evolvere le loro tecniche di difesa contro queste minacce, integrando nuove tecnologie, soluzioni e strategie. La piattaforma CrowdStrike Falcon, alimentata da dati di intelligence a livello mondiale che sulla base dei quali viene redatto questo rapporto annuale, offre una gamma completa degli strumenti necessari a fornire rilevamenti della massima accuratezza, una protezione automatizzata e la capacità di neutralizzare necessaria a fermare le minacce sul nascere. Il Global Threat Report annuale dipinge un quadro che mostra come il rischio aziendale ruoti sempre più intorno a tre aree critiche - ovvero gli endpoint e workload in cloud, le identità e i dati - e fornisce una risorsa preziosa per le organizzazioni che cercano di rafforzare la loro strategia di sicurezza".