Ivanti Inc., fornitore della piattaforma di automazione Neurons che rileva, gestisce, protegge e supporta gli asset IT dal cloud all’edge, presenta i risultati del Ransomware Index Report del secondo e terzo trimestre 2022 realizzato in collaborazione con Cyber Security Works, Certifying Numbering Authority (CNA) e con Cyware, fornitore leader della piattaforma tecnologica per la progettazione di Cyber Fusion Centers. Il report ha registrato un aumento del 466% degli attacchi ransomware dal 2019 a oggi e di come questa tipologia venga sempre più utilizzata per anticipare i conflitti internazionali, come nel caso di quello Russo-Ucraino e nella cyberguerra tra Iran e Albania.
I gruppi di ransomware crescono in volume e sofisticazione, con 35 vulnerabilità associate al ransomware nei primi tre trimestri del 2022 e 159 exploit attivi. Inoltre, la mancanza di dati sufficienti e di un chiaro contesto sulle minacce, ostacola le organizzazioni nell’applicazione di patch efficaci, esponendole alle vulnerabilità.
Il report ha identificato 10 nuove famiglie di ransomware (Black Basta, Hive, BianLian, BlueSky, Play, Deadbolt, H0lyGh0st, Lorenz, Maui e NamPoHyu), che contribuiscono a portare a 170 il loro numero complessivo. Con 101 CVE assegnate ad attacchi di phishing è evidente come i gruppi ransomware utilizzino sempre di più queste tecniche per attirare vittime inconsapevoli con l’obiettivo di trasmettere loro un playload dannoso. Pegasus ne è un esempio: attraverso un semplice messaggio di phishing gli hacker hanno creato un accesso alla backdoor che, sfruttando le vulnerabilità dell'iPhone, ha portato alla violazione di informazioni e alla compromissione di vittime di rilievo a livello internazionale.
Il ransomware ha poi bisogno dell’interazione umana e del fenomeno del phishing come unico vettore di attacco. Nell’indagine, seguendo il framework MITRE ATT&CK per identificare tattiche, tecniche e procedure utilizzate per compromettere un'organizzazione, sono state analizzate e individuate 323 nuove vulnerabilità associate al ransomware. Tra queste, 57 portano a ottenere il controllo completo del sistema, dall'accesso iniziale all'esfiltrazione dei dati, mentre due nuove vulnerabilità (CVE-2021-40539 e CVE-2022-26134) sono state sfruttate da gruppi quali AvosLocker e Cerber, anticipando di qualche giorno il loro inserimento all’interno del National Vulnerability Database (NVD). Questi episodi indicano come le organizzazioni che si affidano esclusivamente al NVD per applicare le patch, corrano il rischio di subire attacchi informatici.
Il report ha anche rilevato come il Known Exploited Vulnerabilities (KEV) della CISA, database che fornisce agli Enti del settore pubblico e alle agenzie governative statunitensi, l’elenco di vulnerabilità da applicare entro una scadenza, sia carente di 124 vulnerabilità associate al ransomware.
Srinivas Mukkamala, Chief Product Officer di Ivanti, dichiara “I team IT e di sicurezza devono adottare con un’urgenza un approccio alla gestione delle vulnerabilità basato sul rischio per difendersi da attacchi ransomware e da altre minacce. Questo si risolve implementando una tecnologia automatizzata in grado di correlare dati provenienti da fonti diverse (scanner di rete, database interni ed esterni delle vulnerabilità e penetration test), quantificare il rischio, fornire avvisi preventivi, prevedere eventuali attacchi e assegnare la giusta priorità alle attività di remediation. Le organizzazioni che continuano ad affidarsi alle consuete procedure di gestione delle vulnerabilità, come ad esempio l'utilizzo del NVD e di altri database pubblici per definire le priorità e applicare le patch alle vulnerabilità, rischiano di subire diversi cyberattacchi".
A evidenziare ulteriormente la necessità di sostituire i tradizionali processi di protezione contro le minacce è il fatto che molte soluzioni antivirus di oggi non rilevano parecchie vulnerabilità, e la stessa ricerca ha evidenziato che ben 18 vulnerabilità collegate al ransomware non vengono rilevate dagli antivirus più diffusi.
Aaron Sandeen, CEO of Cyber Security Works ha affermato: “L’incapacità delle soluzioni antivirus di rilevare le vulnerabilità esposte è un grave problema. Le organizzazioni devono adottare una soluzione di gestione della superficie di attacco capace di rilevare eventuali vulnerabilità in tutti gli asset presenti in azienda".
La ricerca mostra anche l’impatto del ransomware sulle infrastrutture critiche, evidenziando tra i settori più colpiti quello sanitario (47,4%), energetico (31,6%) e del manufacturing (21,1%).
Anuj Goel, Co-founder e CEO di Cyware, ha aggiunto: "Anche se le strategie di recupero post-incident sono migliorate è sempre consigliabile adottare un atteggiamento preventivo nei confronti di eventuali attacchi. Per analizzare correttamente il contesto delle minacce e assegnare le giuste priorità alle azioni di prevenzione proattiva, occorre rendere accessibili le informazioni sulle vulnerabilità ai team di Security e Operations attraverso una solida gestione dei processi di sicurezza per garantire l'integrità degli asset a rischio".
Nel report vengono anche presentati approfondimenti sulle tendenze attuali e future del ransomware. In particolare, il malware con funzionalità cross-platform è diventato molto richiesto dagli hacker perché permette di colpire facilmente più sistemi operativi attraverso un single codebase. In aggiunta, è stato individuato un numero significativo di attacchi a provider di soluzioni di sicurezza e librerie di codice software, con un conseguente aumento dei possibili danni. Nel lungo periodo, dopo la presunta chiusura di gruppi di rilievo come Conti e Dark Side, le organizzazioni devono aspettarsi l'emergere di nuove reti di ransomware che potrebbero riutilizzare o modificare il codice sorgente e altri strumenti adottati dagli hacker precedenti.
Il Ransomware Index Spotlight report è basato sui dati raccolti da numerose fonti, tra cui dati di proprietà di Ivanti e CSW, database pubblici sulle minacce, nonché dati provenienti dai ricercatori di attacchi informatici e team specializzati nei test di attacco. Per dettagli sul report completo consultare il link.
Tutti i marchi citati sono registrati e di proprietà delle rispettive aziende
Informazioni su Ivanti
Ivanti rende possibile l’Everywhere Workplace dove i dipendenti utilizzano una miriade di dispositivi per accedere ad applicazioni IT e dati su molteplici network, restando altamente produttivi ovunque e in qualsiasi modalità lavorino. La piattaforma di automazione Ivanti Neurons collega la gestione unificata degli endpoint, la sicurezza Zero Trust e le soluzioni di gestione dei servizi aziendali leader del settore dell’azienda, fornendo una piattaforma IT unificata che consente ai dispositivi di auto-ripararsi e auto-proteggersi. Oltre 40.000 clienti, tra cui 96 della classifica Fortune 100, hanno scelto Ivanti per proteggere e gestire le proprie risorse IT dal cloud all’edge, assicurando user experience di qualità agli utenti, ovunque e comunque lavorino. Per ulteriori informazioni, visita il sito www.ivanti.com e segui @GoIvanti.
Informazioni su Cyware
Cyware supporta i team di sicurezza informatica aziendali nel progettare centri di cyber fusion virtuali indipendenti dalla piattaforma. Cyware sta trasformando le operazioni di sicurezza, offrendo l'unica piattaforma di Cyber Fusion Center virtuale per il settore della cybersecurity con la tecnologia SOAR (security orchestration, automation, and response) di nuova generazione. Le organizzazioni possono così aumentare la propria velocità e precisione, riducendo costi e lavoro degli analisti. Le soluzioni di Cyware Virtual Cyber Fusion permettono alle imprese, alle comunità di condivisione (ISAC/ISAO), agli MSSP e alle agenzie governative una migliore condivisione delle informazioni e una maggiore visibilità delle minacce. Per maggiori informazioni consulta https://cyware.com/ o segui su LinkedIn e Twitter.
Informazioni su CSW
CSW è una società di servizi di cybersecurity focalizzata sulla gestione delle superfici d'attacco e sul servizio di penetration test. L’innovazione nella ricerca delle vulnerabilità e degli exploit di CSW li ha portati a individuare più di 45 zero day in prodotti come Oracle, D-Link, WSO2, Thembay, Zoho ecc. La società è diventata una CVE Number Authority per abilitare migliaia di ricercatori di bug bounty e ricoprire un ruolo importante nella gestione delle vulnerabilità a livello internazionale. Come leader riconosciuto nella ricerca e nell'analisi delle vulnerabilità, CSW è un passo avanti nell'aiutare organizzazioni di tutto il mondo a proteggere la loro attività da minacce sempre più evolute. Per maggiori informazioni visita www.cybersecurityworks.com o segui su LinkedIn e Twitter.