Nel 2021 il settore manifatturiero è diventato il più attaccato del 2021 (23%) dai gruppi ransomware, superando i settori dei servizi finanziari e assicurativi che sono stati al vertice per diversi anni.
Lo rivela lo studio annuale X-Force Threat Intelligence Index di IBM da cui emerge come ransomware e sfruttamento delle vulnerabilità insieme abbiano “imprigionato” le imprese gravando ulteriormente sulle catene di approvvigionamento globali e con il manufatturiero come l’industria più colpita.
Un allarmante 47% degli attacchi al settore manifatturiero è stato causato da vulnerabilità che le organizzazioni vittime non avevano ancora corretto, o non potevano correggere, con patch di aggiornamento, evidenziando la necessità di gestire prontamente le vulnerabilità del software.
Portando avanti attacchi ransomware più che in qualunque altro settore d’industria, gli aggressori hanno scommesso sull’effetto a catena che l’interruzione delle attività di imprese manifatturiere avrebbe causato alle loro catene di approvvigionamento a valle, spingendole a pagare il riscatto.
Il 2022 traccia le nuove tendenze e i modelli di attacco che IBM Security ha osservato e analizzato dai propri dati – attingendo da miliardi di datapoint che spaziano dalla rete ai dispositivi di endpoint detection, dai casi di risposta agli incidenti, al tracciamento dei kit di phishing e altro – compresi i dati forniti da Intezer.
I gruppi ransomware hanno “nove vite”
In risposta alla recente accelerazione delle azioni di contrasto al ransomware da parte delle forze dell’ordine, i gruppi ransomware potrebbero attivare dei piani di disaster recovery. L’analisi di X-Force rivela che la durata media della vita di un gruppo ransomware, prima di chiudere o cambiare brand, è di 17 mesi. Per esempio, REvil, responsabile del 37% di tutti gli attacchi ransomware nel 2021, ha resistito per quattro anni attraverso i rebrand, suggerendo la probabilità che riemerga di nuovo nonostante l’interruzione delle attività a seguito di un’operazione guidata da più governi avvenuta a metà del 2021.
Mentre i blocchi attuati dalle forze dell’ordine possono rallentare le attività degli attaccanti, questi sono attualmente anche appesantiti dalle spese necessarie per finanziare i loro rebranding o per ricostruire la loro infrastruttura. Poiché il loro campo d’azione è in cambiamento, è importante che le organizzazioni approfittino di questo momento per modernizzare le loro infrastrutture e mettere i propri dati in un ambiente che possa aiutare a salvaguardarli – sia che si tratti di on-premises o in cloud. Questo può aiutare le imprese a meglio gestire, controllare e proteggere i propri carichi di lavoro e, inoltre, a rendere più difficile l’accesso ai dati critici negli ambienti cloud ibridi, impedendo che gli attaccanti rendano la minaccia scalabile in caso di compromissione.
Le vulnerabilità determinano una crisi esistenziale (per alcuni)
Il rapporto X-Force evidenzia il numero record di vulnerabilità divulgate nel 2021, con le vulnerabilità nei Sistemi di Controllo Industriale che aumentano del 50% rispetto all’anno precedente. Sebbene negli ultimi dieci anni siano state divulgate oltre 146.000 vulnerabilità, la crescita maggiore è avvenuta solo in tempi recenti, caratterizzati dalla trasformazione digitale delle imprese, avvenuta in gran parte a seguito della pandemia. Questo ci suggerisce che la sfida nella gestione delle vulnerabilità deve ancora raggiungere il suo picco.
Allo stesso tempo, lo sfruttamento delle vulnerabilità come metodo di attacco sta diventando sempre più popolare. X-Force ha osservato un aumento del 33% rispetto all’anno precedente, con le due vulnerabilità più sfruttate nel 2021 che sono state trovate in applicazioni aziendali ampiamente utilizzate (Microsoft Exchange, Apache Log4J Library). La sfida delle imprese nel gestire le vulnerabilità potrebbe continuare ad aggravarsi con l’espansione delle infrastrutture digitali e l’aumento delle richieste di compliance rispetto a requisiti di audit e manutenzione, evidenziando l’importanza di operare partendo sempre dal presupposto di una possibile compromissione e applicare una strategia Zero Trust per proteggere le proprie architetture informatiche.
Gli attaccanti mirano agli spazi comuni nei cloud
Nel 2021, X-Force ha osservato che più aggressori stanno spostando i loro obiettivi verso le architetture containerizzate come Docker – di gran lunga il motore runtime di container dominante secondo RedHat. Gli aggressori riconoscono che i container rappresentano uno spazio comune alle organizzazioni e, quindi, stanno cercando i modi per massimizzare il loro ROI con malware che possano essere trasversali sulle piattaforme e utilizzati come punto di partenza per attaccare altri componenti delle infrastrutture delle loro vittime.
Il report 2022 invita a prestare attenzione anche ai continui investimenti nello sviluppo di malware Linux, precedentemente non osservati. Secondo i dati forniti da Intezer, si riscontra un aumento del 146% dei ransomware Linux basati su un nuovo codice. Dal momento che gli aggressori continuano a ricercare modi per scalare le operazioni attraverso gli ambienti cloud, le aziende devono cercare di avere una visibilità estesa sulla loro infrastruttura ibrida. Gli ambienti cloud ibridi che sono costruiti su interoperabilità e standard aperti possono aiutare le organizzazioni a rilevare i punti ciechi e ad accelerare e automatizzare le risposte di sicurezza.