I wiper aumentano del 50%, mentre i ransomware continuano a mietere vittime, secondo Fortinet

Fortinet ha presentato la nuova edizione del suo Global Threat Landscape Report in cui fa il punto sul panorama delle minacce alla sicurezza informatica delle aziende. Nell'ultimo rapporto emerge come i wiper, malware pensati per cancellare i dati e quindi esclusivamente per fare danni, siano in netta crescita, così come i ransomware continuino a fare vittime.

Fortinet: i wiper aumentano significativamente

Come già segnalato anche nel rapporto relativo al 2022, i wiper sono in costante crescita. Nei soli terzo e quarto trimestre del 2022 sono infatti cresciuti del 53%, con un'estensione oltre i confini dell'Europa, dove sono stati inizialmente impiegati a causa dell'aggressione russa all'Ucraina. Dietro questi attacchi sarebbero nella maggior parte dei casi i cosiddetti gruppi APT ("Advanced Persistent Threat", minaccia avanzata persistente), ovvero gruppi ben finanziati e dalle alte competenze e dunque, verosimilmente, supportati da Stati.

La finalità principale dei crimini informatici rimane comunque quella di un guadagno finanziario, con il 73,9% dei casi, mentre al secondo posto compare lo spionaggio (13%). Nell'82% dei casi legati a motivazioni finanziarie nel 2020, i crimini sono stati perpetrati tramite ransomware o script maligni, a ulteriore conferma del fatto che i ransomware continuano a rimanere una delle principali minacce per organizzazioni di qualunque tipo. Rispetto alla prima metà del 2022, i ransomware sono aumentati del 16%, con le prime 5 famiglie (su 99 note) che hanno rappresentato il 37% di tutti gli attacchi. Il primato spetta a GrandCrab, "ransomware as a service" emerso nel 2018, nonostante i suoi autori abbiano annunciato il ritiro dopo aver ottenuto oltre 2 miliardi di dollari di proventi.

Non è però chiaro se ci si trovi davanti allo stesso gruppo criminale ancora in campo, di una cessione dell'attività a terzi o di un semplice ricircolo del codice negli ambienti criminali. Dalle ricerche di Fortinet è emerso come la pratica di condividere e riutilizzare codice sia piuttosto diffusa, con Emotet che si è specializzato in sei differenti varianti.

Ciò pare valere anche nell'ambito delle botnet: solo una, RotaJakiro, è apparsa per la prima volta negli anni '20, mentre le altre tra le prime cinque sono tutte note, alcune da più di un decennio (è il caso di Morto, osservata per la prima volta nel 2011).

Log4j continua a essere un problema nonostante siano passati ormai più di due anni dalla divulgazione delle vulnerabilità: sono moltissime le realtà che ancora non sono intervenute per applicare le patch correttive e che rimangono, dunque, vulnerabili. Secondo Fortinet, sarebbero ben il 41%, un numero estremamente elevato.

Aspetto interessante è il fatto che Fortinet abbia rilevato come il mezzo ancora più sfruttato per compromettere i sistemi sia quello, invero piuttosto classico, di far scaricare ed eseguire dagli utenti materiali infetti, sia da siti Web sia dagli allegati alle email.

"Per i criminali informatici, mantenere l’accesso ed eludere il rilevamento non è un’impresa da poco, data la costante evoluzione delle difese informatiche, finalizzata a proteggere le organizzazioni. Per contrattaccare, i malintenzionati stanno aumentando i propri sforzi, utilizzando un numero maggiore di tecniche di ricognizione e implementando alternative di attacco più sofisticate per aumentare l’efficacia delle proprie attività malevole con metodologie simili a quelli delle APT, come il malware wiper o altri payload avanzati. Per proteggersi da queste tattiche avanzate e persistenti, le organizzazioni devono concentrarsi sull’abilitazione di una threat intelligence coordinata e attuabile in tempo reale, basata sul machine learning, su tutti i dispositivi di sicurezza, con l’obiettivo di rilevare le azioni sospette e avviare una mitigazione coordinata su tutta la superficie di attacco estesa", spiega Derek Manky, Chief Security Strategist e Global VP Threat Intelligence in FortiGuard Labs.