Ransomware sempre più diffusi e minacciosi: l'analisi di Ivanti
di Alberto Falchi pubblicata il 09 Novembre 2021, alle 14:01 nel canale Security
Sono due i dettagli che fanno riflettere. Gli attaccanti sono sempre più veloci e in grado di sfruttare le vulnerabilità 0-day prima ancora che siano rese ufficialmente note. In alcuni casi, poi, riescono a sfruttare falle risalenti a più di 10 anni fa
Puntualmente, Ivanti ha reso pubblico il suo nuovo rapporto sull'evoluzione dei ransomware, uno studio che, pur con percentuali differenti, conferma quanto già evidenziato da altre aziende che si occupano di cybersecurity: gli attacchi ransomware sono in aumento e tendono a diventare più sofisticati.
Chi usa i ransomware sfrutta sempre più le falle 0-day
Nel terzo trimestre del 2021 Ivanti ha registrato un incremento del 4,5 delle vulnerabilità associate a ransomware, così come un aumento del 3,4% della famiglie di ransomware note. Un incremento dovuto anche all'adozione di tecniche mutuate dal mondo del business, come i trojan-as-a-Service e i dropper-as-a-Service. I primi sono malware modificati sulle specifiche esigenze di un cliente, che li può affittare per i suoi attacchi, appoggiandosi anche alla struttura di pagamento. L'approccio che ha seguito, per esempio, il gruppo criminale REvil, offrendo servizi a terzi, in particolare quelli privi delle competenze tecniche necessarie per portare avanti simili campagne di hacking. I dropper-as-a-Service, invece, sono dei servizi che si occupano di generare i dropper, cioè quei file (documenti o eseguibili) in grado di sfuggire ai sistemi di sicurezza e, se eseguiti, di attivare un payload malevolo sui computer delle vittime.
Per rendere più efficaci le campagne di hacking, i criminali informatici spesso sfruttano dei bug 0-day, quelli ancora non noti ai produttori, e in molti casi riescono a sfruttare anche vulnerabiltà note da settimane, se non addirittura da anni, come nel caso del gruppo Cring, che ha fatto leva su CVE-2009-3960 and CVE-2010-2861, delle falle di Adobe ColdFusion note da più di 10 anni. Un software che ha già terminato il suo ciclo di vita e non viene più aggiornato dagli sviluppatori ma, a quanto pare, continua a essere usato dagli utenti.
Passando invece alle vulnerabilità 0-day, è interessante notare come alcuni gruppi, REvil nello specifico, siano stati in grado di sfruttare queste falle ancora prima che venissero ufficialmente rese note. Per questo motivo, le aziende dovrebbero puntare a sistemi di patching che tengano sotto controllo gli archivi CVE così da poterle risolvere non appena rese note, senza dover aspettare il successivo turno di aggiornamenti programmati.
Il problema dei software vulnerabili ai ransomware
I ricercatori di Ivanti hanno realizzato che alcuni software includono vulnerabilità non corrette: 760 prodotti realizzati da 98 differenti aziende non sono sicuri. Nel Q3 alla lista, già corposa, si sono aggiunti altri due vendor. Kaseya, che include le vulnerabilità CVE-2021-30116, CVE-2021-30119, and CVE-2021-30120, e Tenable, che è vulnerabile al CVE-2019-11043.
Recensione Logitech G PRO X TKL Rapid: la prima tastiera analogica del brand è promossa
Apple MacBook Air 15" M4: l’evoluzione significativa continua e ora costa meno! Recensione
Ryzen 9 9950X3D recensione: 16 core e 3D V-Cache di seconda generazione
TV LED RGB in arrivo anche per Sony
Dazi alle moto americane, ANCMA preoccupata: "il Made in Italy rischia la ritorsione"
MSI Vector 16: un super mostro gaming con Nvidia GeForce RTX 5080 oggi è scontato di 300 euro!
1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoNon definirei falle note da 10 anni come 0 day.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".