A fine agosto Kaspersky, azienda che opera nel settore della sicurezza informatica finita anche al centro di una delle tante “prove muscolari” tra Stati Uniti e Russia, ha pubblicato un interessante report (link al documento nelle fonti) in cui riassume l’attività del team nell’arco di dodici mesi. Le infografiche proposte ai lettori offrono un’utile panoramica su quelle che sono state le principali criticità di sicurezza del 2018 ma non solo, vediamole nello specifico commentandone i dati più significativi.
I ransomware si posizionano senza troppe sorprese al primo posto con il 26% delle richieste di intervento, seguono a pari merito (22%) l’identificazione di file sospetti e di attività di rete anomale. Secondo l’azienda il 44% rappresentato da queste due ultime voci suggerisce alle aziende
la necessità di migliorare i [propri] metodi di identificazione degli attacchi e di risposta agli incidenti in modo da evitare [perdite economiche] e minimizzare l’impatto degli attacchi [sull’infrastruttura]. È opportuno notare che, in due casi su tre, l’investigazione [successiva alla segnalazione di un file sospetto o di un’attività di rete] ha rivelato la presenza di un attacco in corso all’infrastruttura del cliente. Negli altri casi le attività sospette sono state causate da azioni dell’utente o comportamenti dei software correlati ad errate configurazioni di sicurezza.
La seguente tabella rivela invece gli attacchi ransomware più frequenti:
WannaCry (o WannaCrypt), che molti lettori ricorderanno per la clamorosa copertura mediatica avuta nel 2017, distanzia notevolmente il secondo classificato Cryaki (7.37%) figurando in oltre il 40% dei casi registrati.
Principali vettori iniziali d’attacco
Nella terza tabella sono indicate le più comuni modalità con cui gli hacker danno inizio ad un attacco informatico:
Nel 33% dei casi i malintenzionati prendono di mira i servizi di desktop remoto appoggiandosi al classico metodo “forza bruta” o bruteforce (22%), cercando quindi di carpire le credenziali generando casualmente migliaia di combinazioni, o utilizzando un nome utente e password validi trafugati in precedenza (11%):
in 1/3 degli attacchi [ad] interfacce di gestione remota, le credenziali erano già note all’intruso (non sono stati rilevati tentativi di bruteforce). [Il nome utente e la password] erano stati probabilmente ottenuti attraverso social engineering o da fonti non protette accessibili pubblicamente (ad esempio un dipendente che utilizza la stessa password per registrarsi su [piattaforme/servizi] di terze parti)].
Classificazione degli attacchi ed individuazione dell’anello debole
Analizzando gli interventi effettuati nell’arco di 12 mesi, gli analisti hanno suddiviso gli attacchi in tre grandi categorie:
- attacchi rapidi. Caratterizzati da una durata media di 6 ore (mai superiori alle 24 ore), si affidano principalmente ai ransomware prendendo di mira i servizi di desktop remoto. In alcuni casi i malintenzionati, dopo aver bucato le difese o ottenuto le credenziali, hanno atteso 1-2 settimane prima di procedere con la sortita.
- Attacchi di media durata. L’attività dei cybercriminali può protrarsi fino ad 8 giorni e mira in particolare modo alle risorse finanziarie dell’obiettivo (conti bancari, carte di credito etc.). Il vettore iniziale di attacco più comune è il download, da parte della vittima, di file malevoli da siti compromessi/esca o link inseriti in email di phishing.
- Attacchi prolungati. Gli hacker si focalizzano sull’obiettivo per svariate settimane (minimo 3, in media 12) con lo scopo di trafugare dati sensibili o altamente confidenziali (cyber spionaggio di brevetti industriali, archivi governativi etc.). Anche in questo caso l’attacco parte a seguito del download di file infetti linkati da email malevole.
Ed in chiusura gli analisti Kasperky svelano quale sia la parte più debole di un perimetro di sicurezza:
[…]abbiamo notato che gli esseri umani continuano ad essere l’anello più debole della catena di sicurezza. Perfino con policy di sicurezza d’alto livello e controlli [vari], un singolo dipendente [non adeguatamente formato alla sicurezza informatica] può [compromettere un’intera azienda ed i suoi asset].Fonte: 1 (Kaspersky Incident response 2018 – inglese).