Ivanti ha presentato i risultati del Ransomware 2021 Year End Report, condotto insieme a Cyber Security Works e Cyware. Il report ha individuato, nel 2021, 32 nuove famiglie di ransomware, portando il totale a 157, e un aumento del 26% rispetto all’anno precedente.
Il report evidenzia anche come questi gruppi di ransomware riescono, in tempi molto brevi, a individuare vulnerabilità zero-day e colpire quelle sprovviste di patch.
Contemporaneamente i cybercriminali stanno ampliando il proprio raggio di azione, identificando nuovi modi per compromettere le reti aziendali.
Tra le principali tendenze emerse, il report evidenzia che le vulnerabilità sprovviste di patch rappresentano ancora i vettori di attacco più sfruttati dai criminali informatici. Solamente nello scorso anno, sono state scoperte 65 nuove vulnerabilità legate al ransomware, rappresentando una crescita del 29% rispetto all’anno precedente. Il dato allarmante è che più di un terzo (37%) di queste erano presenti sul dark web e ripetutamente sfruttate. Anche il 56% delle 223 vulnerabilità più vecchie, identificate prima del 2021, sono state attivamente sfruttate dagli hacker. In questo scenario le aziende devono assegnare priorità alle vulnerabilità e applicare le patch.
I cybercriminali, inoltre, continuano a rilevare e sfruttare le vulnerabilità zero-day, anticipando l’inserimento dei CVE nel National Vulnerability Database e il rilascio delle patch.
In questo scenario poco rassicurante, i vendor devono rendere note le vulnerabilità e rilasciare le patch in base alle priorità. Inoltre, per le organizzazioni è importante controllare costantemente le tendenze delle vulnerabilità, i casi di sfruttamento, gli avvisi dei fornitori e quelli delle agenzie di sicurezza.
Sono aumentati anche gli attacchi alle reti della supply chain con l’obiettivo di generare gravi danni alle imprese. Una singola violazione della supply chain può aprire molteplici strade ai cybercriminali, dirottando intere distribuzioni del sistema attraverso le reti delle vittime.
Dal report è emerso anche che i cybercriminali stanno condividendo i propri servizi con terze parti, seguendo il modello delle soluzioni SaaS legittime. Il ransomware-as-a-service è un modello di business in cui gli sviluppatori di ransomware offrono i loro servizi, varianti, kit o codici ad altri criminali in cambio di un pagamento. Le soluzioni exploit-as-a-service consentono invece ai cybercriminali di affittare exploit zero-day dagli sviluppatori mentre i dropper-as-a-service permettono ai più inesperti di distribuire programmi che, se lanciati, possono eseguire un payload dannoso sul computer della vittima. Il trojan-as-a-service, invece, chiamato anche malware-as-a-service, consente a chiunque abbia una connessione Internet di ottenere e distribuire un malware personalizzato nel cloud, senza ricorrere a installazioni.
Tutto questo dimostra come sia necessaria una maggiore attenzione all’igiene informatica, attraverso l‘implementazione di soluzioni automatizzate per gestire la crescente complessità degli ambienti.
Srinivas Mukkamala, Senior Vice President of Security Products di Ivanti afferma: “I cybercriminali stanno diventando sempre più sofisticati e i loro attacchi sempre più efficaci. Gli strumenti più utilizzati sono kit automatizzati in grado di sfruttare le vulnerabilità e penetrare a fondo nelle reti compromesse. Anche in termini di obiettivi si sta verificando un’espansione notevole che coinvolge diversi settori, causando danni senza precedenti. Le aziende devono quindi assegnare alle vulnerabilità una priorità basata sul rischio, implementare patch automatizzate e accelerare il processo di remediation”.
Anuj Goel, CEO di Cyware, sostiene: “Il cambiamento più rilevante nell’attuale panorama degli attacchi ransomware è rappresentato dal tentativo degli aggressori di penetrare nei processi di distribuzione delle patch e nell’individuazione delle lacune dei sistemi. La scoperta della vulnerabilità richiede una particolare attenzione nel trattamento dei dati relativi alle vulnerabilità per rispondere rapidamente. Mentre i cybercriminali implementano e sviluppano strumenti, metodi e obiettivi, è essenziale per i team SecOps automatizzare i processi di auto-riparazione degli asset e dei sistemi vulnerabili, mitigando il rischio attraverso informazioni utili in tempo reale”.
Aaron Sandeen, CEO di Cyber Security Works, afferma che “Il ransomware rappresenta una grande minaccia per i clienti e i dipendenti di qualsiasi settore. Nel 2022, continueremo a rilevare vecchie e nuove vulnerabilità, tipologie di exploit, gruppi APT, famiglie di ransomware e categorie CWE. I leader richiedono una soluzione innovativa e predittiva per rimediare alle minacce tempestivamente”.