Ransomware sempre più diffusi e minacciosi: l'analisi di Ivanti

Ransomware sempre più diffusi e minacciosi: l'analisi di Ivanti

Sono due i dettagli che fanno riflettere. Gli attaccanti sono sempre più veloci e in grado di sfruttare le vulnerabilità 0-day prima ancora che siano rese ufficialmente note. In alcuni casi, poi, riescono a sfruttare falle risalenti a più di 10 anni fa

di pubblicata il , alle 14:01 nel canale Security
Ivanti
 

Puntualmente, Ivanti ha reso pubblico il suo nuovo rapporto sull'evoluzione dei ransomware, uno studio che, pur con percentuali differenti, conferma quanto già evidenziato da altre aziende che si occupano di cybersecurity: gli attacchi ransomware sono in aumento e tendono a diventare più sofisticati

Chi usa i ransomware sfrutta sempre più le falle 0-day

Nel terzo trimestre del 2021 Ivanti ha registrato un incremento del 4,5 delle vulnerabilità associate a ransomware, così come un aumento del 3,4% della famiglie di ransomware note. Un incremento dovuto anche all'adozione di tecniche mutuate dal mondo del business, come i trojan-as-a-Service e i dropper-as-a-Service. I primi sono malware modificati sulle specifiche esigenze di un cliente, che li può affittare per i suoi attacchi, appoggiandosi anche alla struttura di pagamento. L'approccio che ha seguito, per esempio, il gruppo criminale REvil, offrendo servizi a terzi, in particolare quelli privi delle competenze tecniche necessarie per portare avanti simili campagne di hacking. I dropper-as-a-Service, invece, sono dei servizi che si occupano di generare i dropper, cioè quei file (documenti o eseguibili) in grado di sfuggire ai sistemi di sicurezza e, se eseguiti, di attivare un payload malevolo sui computer delle vittime.

kaseyatimeline

Per rendere più efficaci le campagne di hacking, i criminali informatici spesso sfruttano dei bug 0-day, quelli ancora non noti ai produttori, e in molti casi riescono a sfruttare anche vulnerabiltà note da settimane, se non addirittura da anni, come nel caso del gruppo Cring, che ha fatto leva su CVE-2009-3960 and CVE-2010-2861, delle falle di Adobe ColdFusion note da più di 10 anni. Un software che ha già terminato il suo ciclo di vita e non viene più aggiornato dagli sviluppatori ma, a quanto pare, continua a essere usato dagli utenti. 

Passando invece alle vulnerabilità 0-day, è interessante notare come alcuni gruppi, REvil nello specifico, siano stati in grado di sfruttare queste falle ancora prima che venissero ufficialmente rese note. Per questo motivo, le aziende dovrebbero puntare a sistemi di patching che tengano sotto controllo gli archivi CVE così da poterle risolvere non appena rese note, senza dover aspettare il successivo turno di aggiornamenti programmati. 

Il problema dei software vulnerabili ai ransomware

I ricercatori di Ivanti hanno realizzato che alcuni software includono vulnerabilità non corrette: 760 prodotti realizzati da 98 differenti aziende non sono sicuri. Nel Q3 alla lista, già corposa, si sono aggiunti altri due vendor. Kaseya, che include le vulnerabilità CVE-2021-30116, CVE-2021-30119, and CVE-2021-30120, e Tenable, che è vulnerabile al CVE-2019-11043.

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
The_Hypersonic09 Novembre 2021, 16:47 #1
CVE-2009-3960 and CVE-2010-2861, delle falle di Adobe ColdFusion note da più di 10 anni

Non definirei falle note da 10 anni come 0 day.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^