Cybersecurity: analisi del primo semestre 2023

Gli attacchi informatici continuano a essere una piaga persistente e pervasiva, la situazione viene perfettamente fotografata nella recente analisi semestrale condotta da Cisco Talos, azienda leader nella cybersecurity di cui Hypergrid è partner.

Il report offre una prospettiva interessante sull’evoluzione del panorama delle minacce cyber. Fra queste gli attacchi ramsonware che hanno come obiettivo l’estorsione sono stati predominanti nei primi sei mesi del 2023. Gli aggressori hanno sfruttato il furto di dati sensibili dalle aziende e dalle pubbliche amministrazioni, utilizzandoli come leva per esigere importanti somme di denaro con la minaccia di divulgare tali dati sul dark web. È anche emerso un trend inquietante di “hacker a pagamento”, professionisti del cybercrime che vendono i loro servizi illegali o gli strumenti di attacco sul mercato nero. In entrambi i casi si tratta di gruppi di mercenari informatici, specializzati in campagne di spionaggio, attacchi alle supply chain e creazione di nuovi strumenti “as a service” che vengono forniti in abbonamento.

Analisi mensile delle minacce

La raccolta dei dati segnala minacce che, mese per mese, hanno evidenziato dei picchi, in particolare il mese di Gennaio è stato importante per l’analisi degli strumenti poi utilizzati dagli hacker nei mesi a venire: i classici metodi di accesso iniziale, come i file contenenti macro dannose (ora facilmente rilevabili dai sistemi di analisi più sofisticati) sono stati in parte sostituiti da altre tipologie di minacce eseguibili, come per esempio i file binari LNK (i file scorciatoia associati a Windows). In questo caso vengono inviati tramite email dei file corrotti e programmati per attivare malware.

Febbraio: oltre ai persistenti attacchi di genere ransoware è stato il mese delle nuove minacce malware che hanno come bersaglio il furto di criptovalute, tra queste ci sono i ransomware MortalKombat e una nuova variante del malware Laplas Clipper. Si tratta di minacce evolute create da nuovi collettivi di hacker prepotentemente entrati nella nella scena del cybercrime.

Marzo: è stato il mese delle botnet, come Prometei, che hanno mostrato nuove capacità, come l’aggiornamento di moduli per eludere i metodi di analisi. Per i non addetti ai lavori una botnet è una rete composta da un grande numero di computer infetti da malware. Con questa tecnica i cybercriminali possono assumere il controllo di centinaia o perfino migliaia di computer. Le botnet vengono generalmente utilizzate per inviare campagne di spam o virus, rubare i dati personali o lanciare attacchi DDoS. Dopo il ransomware le botnet sono considerate una delle principali minacce online.

Aprile: il malware Typhon Reborn V2 ha messo in allarme analisti ed esperti di cybersicurezza di tutto il mondo, si tratta infatti di un particolare tipo di minaccia dotata di avanzate capacità anti-analisi sfruttate per evitarne il rilevamento da parte dei tool di sicurezza. Per essere individuato e bloccato richiede sistemi di verifica in tempo reale particolarmente efficaci (e aggiornati) che controllano costantemente gli endpoint.

Maggio: ha visto una notevole espansione dei servizi di “phishing-as-a-service” (PaaS) con cui i cybercriminali forniscono in abbonamento gli “strumenti” di attacco ad hacker e organizzazioni meno esperte. Fra questi servizi è apparso anche Greatness, una piattaforma decisamente avanzata progettata per attaccare i servizi di  autenticazione multifattoriale (MFA) più deboli.

Giugno: gli attacchi hanno rilevato l’uso di numerose exploit delle vulnerabilità, fra cui una SQL injection che in futuro potrebbe risultare preoccupante per le soluzioni MaaS (Mobility as a Service) progettate per la gestione delle reti di trasporto e di mobilità delle smart city.

Queste sono le principali minacce messe in risalto dalla ricerca Cisco, ma purtroppo non è tutto. I ricercatori di Kaspersky hanno individuato il modulo TetrisPhantom che compromette le unità USB utilizzate per fornire la crittografia per l’archiviazione sicura dei dati. Allo stato attuale si tratta di una minaccia usata per campagne di spionaggio in Asia, ma le caratteristiche di questi moduli permettono anche di eseguire comandi, raccogliere file e informazioni dai dispositivi compromessi e trasferirli ad altri device. Di conseguenza questa minaccia può essere usata per eseguire dei data breach per il furto di informazioni sensibili. La preoccupazione che una versione modificata di TetrisPhantom possa presto essere usata in occidente è alta.

Infine Lumar, un nuovo stealer apparso a luglio 2023, permette di catturare sessioni Telegram, raccogliere password, cookie, dati di autofill, e perfino il recupero di file dal desktop degli utenti e l’estrazione di dati da vari portafogli criptati. Quest’ultima è una minaccia da tenere in seria considerazione per i portafogli elettronici, considerando anche che il Digital Euro è ufficialmente entrato in fase di preparazione. 

Come difendersi

Queste analisi enfatizzano l’adattabilità dei cyberattaccanti. La continua evoluzione delle tattiche, tecniche e procedure utilizzate dagli aggressori sottolinea la necessità di un impegno costante nell’innovazione e nell’aggiornamento delle misure di sicurezza e delle strategie di difesa. L’accento dovrebbe essere posto sulla costruzione di una robusta postura di sicurezza che sia resiliente contro il costante flusso di minacce emergenti e sofisticate.

Aziende specializzate in cybersicurezza come Hypergrid sono in grado di fornirvi tutti gli strumenti per la cybersecurity di cui la vostra azienda ha bisogno. Per esempio, HyperSafe è un pacchetto completo per la cybersicurezza interamente gestito in outsourcing che, oltre al monitoraggio H24 per la protezione delle violazioni, comprende anche test per la verifica delle vulnerabilità con simulazioni di attacchi. HyperSafe garantisce una protezione in tempo reale per computer e server da ransomware e altre minacce. Soluzioni come Mail Outpost offrono invece il controllo e filtraggio dei contenuti e degli allegati nella posta elettronica. Si tratta di un servizio progettato per essere integrato senza problemi con i server di posta presenti in azienda, ideale per bloccare spam ed email contenenti allegati potenzialmente pericolosi. Ovviamente anche il backup è fondamentale per proteggere l’archivio di dati e potervi accedere rapidamente in caso di emergenza. Anche in questo caso Hypergrid fornisce servizi ad hoc gestiti sulla piattaforma certificata yCloud. Per scoprire tutti i servizi e le soluzioni offerte da Hypergrid il sito di riferimento è: https://hypergrid.it

Shares

Iscriviti alla nostra newsletter

Inserisci la tua E-mail ed iscriviti per ricevere aggiornamenti periodici sul mondo della sicurezza informatica