A Constant State of Flux: il report di Trend Micro sulle minacce di cybersecurity che hanno colpito nel 2020



A Constant State of Flux
il report di Trend Micro sulle minacce di cybersecurity che hanno colpito nel 2020

2 Scarica A Constant State of Flux: il report di Trend Micro sulle minacce di cybersecurity che hanno colpito nel 2020


Il 2020 è stato l'anno che ha messo i bastoni tra le ruote alle aziende e ha testato i loro limiti su molti fronti. Avvenimenti con importanti conseguenze, passaggi a modalità di lavoro da remoto e altri cambiamenti significativi rispetto alla situazione normale, hanno generato nelle aziende una rinnovata consapevolezza e le hanno costrette a rivalutare molteplici aspetti. Le sfide che hanno dovuto fronteggiare hanno spianato la strada a soluzioni adattive e alternative che hanno preso in considerazione prospettive sia umane che tecnologiche.

Per i cyber criminali, tuttavia, l'anno ha offerto una serie di opportunità per la messa in opera di attività criminose. Hanno approfittato di importanti eventi per generare profitti illeciti. Utilizzando tecniche vecchie e nuove, hanno sfruttato vulnerabilità, configurazioni errate e altre lacune di sicurezza mentre gli individui e le aziende si affrettavano ad adottare nuove tecnologie per adattarsi alle sfide in corso.

Guardando indietro a un anno senza precedenti, il nostro report annuale sulla cybersecurity esamina i problemi di sicurezza più importanti e cruciali emersi nel 2020 e fornisce agli utenti e alle aziende informazioni su come affrontare un panorama delle minacce in drastico cambiamento.





Attacchi mirati

Quali settori sono stati più duramente colpiti dagli attacchi ransomware?
Enti pubblici, banche, produzione industriale e sanità sono stati i settori che hanno complessivamente fatto segnare quasi 90.000 rilevamenti.

Qual è stato il primo ransomware in termini di rilevamenti?
WannaCry ha fatto segnare il maggior numero di rilevamenti: 220.166.

Ryuk è stato più attivo in ottobre, con più di 2.000 rilevamenti, dopo cinque mesi di inattività da aprile ad agosto.
Egregor e DoppelPaymer, due famiglie relativamente nuove di ransomware, si sono classificate tra i primi 10 in termini di rilevamenti.

Ransomware








Gli operatori di ransomware hanno massimizzato i profitti con un doppio colpo doppio colpo. Oltre a chiedere denaro per il ripristino dell'accesso da parte delle vittime ai dati crittografati (e persino aumentare l'importo del riscatto qualora il pagamento fosse in ritardo), hanno minacciato di diffondere informazioni sensibili in caso di mancato pagamento. Dato il rischio di esposizione pubblica, le aziende vittime hanno affrontato la possibilità di un danno reputazionale oltre a quello della perdita di dati. L'essenzialità delle attività degli obiettivi più frequenti degli attacchi ransomware, che includono agenzie e aziende pubbliche, banche, siti di produzione industriale e settore sanitario, ha solo acuito l'urgenza di cedere alle richieste degli operatori di ransomware.

95
127
2019
2020

Un confronto tra i numeri delle nuove famiglie ransomware del 2019 e del 2020

Enti pubblici
31.906
Settore bancario
22.082
Produzione industriale
17.071
Assistenza sanitaria
15.701
Finanza
4.917
Istruzione
4.578
Tecnologia
4.216
Cibo e bevande
3.702
Petrolio e gas
2.281
Assicurazione
2.002

I 10 settori maggiormente presi di mira dagli attacchi ransomware nel 2020


Il nuovo arrivato Egregor, che ha lasciato il segno negli ultimi mesi dell'anno, ha utilizzato in modo particolare la tecnica della doppia estorsione poiché ha perseguito obiettivi di alto profilo, comprese le principali aziende nel campo della vendita al dettaglio, dei giochi e delle risorse umane.

La tecnica della doppia estorsione utilizzata da Egregor


Attacchi alla supply chain





Sebbene le organizzazioni possano migliorare la propria sicurezza, i malintenzionati potrebbero comunque trovare il modo di accedere ai loro sistemi compromettendo quelli dei loro partner della supply chain. Sfruttando la relazione e la fiducia stabilite tra un'azienda obiettivo e i suoi partner, gli aggressori della supply chain potrebbero riuscire a mettere un piede nei sistemi aziendali.

Uno degli attacchi alla supply chain più recenti e pubblicizzati è venuto alla luce a dicembre sotto forma dell'attacco che ha coinvolto Orion, un software di gestione di rete ampiamente utilizzato e sviluppato da SolarWinds. Gli aggressori dietro l'attacco hanno inserito una vulnerabilità in alcune build di Orion che consentiva loro di compromettere i server che eseguono il software. Una volta che l'aggiornamento pertinente è stato installato dai clienti, gli aggressori sono stati in grado di implementare backdoor che garantissero loro l'accesso completo alle reti interessate e consentissero di eseguire varie attività dannose. Data la natura di alcuni obiettivi, comprese le principali agenzie governative USA, l'attacco avrebbe potuto avere conseguenze di vasta portata.





Minacce provocate dalla pandemia

Quante minacce rilevate sono correlate al COVID-19?
Sono state rilevate più di 16 milioni di minacce correlate al Covid-19.

Quale tipo di minaccia associata al COVID-19 è stata maggiormente rilevata?
Quasi il 90% delle minacce rilevate e relative al Covid-19 erano spam dannoso.

Nonostante sia relativamente nuova, la vulnerabilità VPN indicata come CVE-2019-11510 ha fatto segnare nel solo 2020 quasi 800.000 rilevamenti.
Più del 60% dei rilevamenti di minacce correlate al Covid-19 provenivano da USA, Germania e Francia.

Truffe legate al Covid-19








Mentre il Covid-19 ha continuato a pesare sulle vite delle persone in tutto il mondo, gli aggressori hanno approfittato del disagio e dell'incertezza causati dalla pandemia per promuovere i loro schemi illeciti. La stragrande maggioranza delle nostre rilevazioni di minacce a tema Covid-19 ha riguardato email di spam dannose, comprese quelle dedicate al phishing di informazioni personali e finanziarie, e la maggior parte di queste proveniva da USA, Germania e Francia, che sono stati anche tra i Paesi maggiormente colpiti dalla pandemia. I truffatori dietro queste minacce hanno conferito loro un senso di attualità e urgenza personalizzandole con riferimenti a preoccupazioni rilevanti come i pacchetti di aiuti economici legati al Covid-19 e la distribuzione dei vaccini. Anche i truffatori specializzati in Business Email Compromise (BEC) hanno puntato sulla pandemia: i contenuti dell'oggetto della maggior parte dei campioni di BEC che abbiamo rilevato menzionavano il Covid-19.


88,5% - Spam

11,3% - URL

0,2% - Malware

TOTALE: 16.393.564

La distribuzione delle minacce correlate al Covid-19 nel 2020 per tipo


38,4% - USA

14,6% - Germania

9,2% - Francia

4,7% - Australia

4,1% - Regno Unito

29,0% - Altro

TOTALE: 16.393.564

La distribuzione delle minacce correlate al Covid-19 nel 2020 per Paese


Sfide del lavoro da remoto






Poiché le aziende hanno adottato accordi di lavoro da remoto in risposta alla pandemia, le reti private virtuali (Virtual Private Network, VPN) sono diventate strumenti preziosi per proteggere le connessioni di rete dalle minacce esterne. Ma, come qualsiasi software, le soluzioni VPN possono anche ospitare vulnerabilità che, se sfruttate, consentono agli aggressori di rubare informazioni proprietarie e di intercettare le comunicazioni sui sistemi dei loro obiettivi. Una vulnerabilità VPN, CVE-2019-11510, ha fatto segnare quasi 800.000 rilevamenti solo nel 2020 e nello stesso anno è stata coinvolta in attacchi in cui è stata sfruttata per la distribuzione di ransomware. Gli aggressori hanno anche trovato altri modi per incorporare le VPN nei loro attacchi: a settembre abbiamo scoperto un caso in cui un aggressore ha integrato in un programma di installazione VPN la backdoor Bladabindi che potrebbe essere utilizzata per raccogliere informazioni dalle macchine infette.

L'aumento del lavoro da remoto ha anche significato un aumento dell'uso di strumenti di comunicazione come Zoom, Slack e Discord. Questo, a sua volta, ha portato a un aumento degli attacchi che hanno preso di mira queste applicazioni: dagli scherzi di "Zoombombing" e i programmi di installazione di Zoom infetti, a una variante ransomware che sfrutta i webhook di Slack, a una campagna di spam tramite email che utilizza Discord per distribuire malware.

413.641
784.063
130
21.652
CVE-2018-13379
CVE-2019-11510
CVE-2019-11539
CVE-2019-19781

Il numero di rilevamenti per vulnerabilità VPN importanti nel 2020





Il cloud e i rischi dell'IoT

Qual è stato il metodo più comune utilizzato negli attacchi IoT?
Per la stragrande maggioranza degli attacchi in entrata e in uscita è stato usata la violazione dell'accesso tramite forza bruta.

Quali servizi basati su cloud vengono smerciati negli ambienti underground?
I servizi basati su cloud offerti negli ambienti underground vanno da semplici servizi di hosting dedicato a offerte più di nicchia come gli spazi di lavoro mobili.

Il malware botnet Mirai ha generato nuove varianti che sfruttano le vulnerabilità di comandi e codice da remoto.
I set di dati venduti negli ambienti underground contengono informazioni di identificazione personale e credenziali utente per vari servizi in cloud.

Minacce per il cloud






Nel 2020, il cloud è diventato una componente ancora più integrante delle attività di molte aziende. Ma la corretta configurazione delle risorse e dei servizi in cloud ha continuato a rappresentare una sfida. Ad aprile, ad esempio, è stato segnalato che degli aggressori avevano rilasciato miner di criptovaluta su porte API del daemon Docker, configurate in modo errato tramite il malware Kinsing. E a ottobre abbiamo segnalato un attacco alle API Docker esposte che prevedeva l'uso dello shellcode Metasploit Framework (MSF) come payload: la prima volta che abbiamo osservato l'uso di tale tecnica.

Nel 2020, abbiamo anche pubblicato i nostri risultati su come gli aggressori traggono vantaggio dall'infrastruttura cloud clandestina. Nel mondo underground, i cyber criminali interagiscono e negoziano regolarmente tra loro. A volte delegano lo svolgimento delle attività comuni, trasformano in tal modo i servizi clandestini in commodity. Alcuni attori del mondo underground vendono anche l'accesso a raccolte di dati rubati pubblicizzati come "nuvole di log".

La catena di infezione del malware Kinsing

In che modo lo shellcode MSF è stato utilizzato per attaccare le API non correttamente configurate dei container


Attacchi ai dispositivi IoT






I cyber criminali hanno anche preso atto della maggiore dipendenza delle aziende e dei dipendenti dall'Internet delle cose (IoT). Questa dovrebbe essere una delle principali preoccupazioni poiché le reti e i dispositivi domestici potrebbero essere oggetto di attacco da parte degli aggressori per ottenere l'accesso alle reti aziendali a cui sono connessi. I router sono particolarmente vulnerabili, soprattutto perché la sicurezza a casa di un dipendente non è così rigida come presso la postazione di lavoro aziendale.

15,5%
dei router è stato probabilmente vittima di un attacco
5,1%
dei router è stato probabilmente compromesso.

Nel 2020 abbiamo registrato un aumento del numero totale di eventi di attacco in ingresso, che è più del triplo del conteggio del 2019, e del numero totale di eventi di attacco in uscita, che è quasi raddoppiato rispetto al 2019.

929.084.564
2.878.216.479
2019
2020

Un confronto dei conteggi dei rilevamenti dei possibili attacchi in entrata nel 2019 e nel 2020

99.266.382
196.012.782
2019
2020

Un confronto dei conteggi dei rilevamenti dei possibili attacchi in uscita nel 2019 e nel 2020

Il panorama delle minacce

62.637.731.995
minacce bloccate nel 2020


57.262.610.930

1° semestre:
25.825.951.753
2° semestre:
31.436.659.177

Minacce tramite email bloccate

3.698.445.871‬

1° semestre:
1.028.006.974
2° semestre:
2.670.438.897

File dannosi bloccati

1.676.675.194

1° semestre:
969.254.232
2° semestre:
707.420.962

URL dannosi bloccati

79.743.156.637‬

1° semestre:
36.271.603.944
2° semestre:
43.471.552.693

Query di email reputation

1.523.957.334.514

1° semestre:
708.757.638.233
2° semestre:
815.199.696.281

Query di file reputation

2.338.754.688.044

1° semestre:
1.006.547.423.405
2° semestre:
1.332.207.264.639

Query di URL reputation


Un confronto dei numeri delle minacce tramite email, file e URL bloccate nonché delle query relative alla reputazione di email, file e URL nel primo e secondo semestre del 2020.

59.984.723
35.156.917
2019
2020

Un confronto del numero di app Android dannose bloccate nel 2019 e nel 2020

88.121
73.093
2019
2020

Un confronto del numero di tentativi di BEC rilevati nel 2019 e nel 2020

Scarica il nostro report completo per saperne di più sui problemi di cybersecurity più significativi del 2020 e sulle strategie più efficaci contro le minacce attuali ed emergenti.

2 Scarica A Constant State of Flux: il report di Trend Micro sulle minacce di cybersecurity che hanno colpito nel 2020

HIDE

Like it? Add this infographic to your site:
1. Click on the box below.   2. Press Ctrl+A to select all.   3. Press Ctrl+C to copy.   4. Paste the code into your page (Ctrl+V).

Image will appear the same size as you see above.