HP Wolf Security Threat Insights ha pubblicato il suo ultimo Global Threat Insights Report, che fornisce un’analisi degli attacchi e delle vulnerabilità alla sicurezza informatica nel mondo reale. «La ricerca mostra un aumento significativo della frequenza e della sofisticazione dell’attività di criminalità informatica, incluso un aumento del 65% nell’uso di strumenti di hacking scaricati da forum underground e siti Web di file sharing dal secondo semestre 2020 al primo semestre 2021.
I ricercatori hanno notato che gli strumenti di hacking in larga diffusione erano sorprendentemente capaci. Ad esempio, uno strumento può risolvere le sfide CAPTCHA utilizzando tecniche di visione artificiale, vale a dire il riconoscimento ottico dei caratteri (OCR), al fine di eseguire attacchi di riempimento delle credenziali contro i siti web. Più in generale, il rapporto ha rilevato che il crimine informatico è più organizzato che mai, con forum sotterranei che forniscono una piattaforma perfetta per gli attori delle minacce per collaborare e condividere tattiche, tecniche e procedure di attacco.
“La proliferazione di strumenti di hacking pirata e forum underground consente ad attori precedentemente di basso livello di rappresentare seri rischi per la sicurezza aziendale”, afferma il dott. Ian Pratt, Global Head of Security, Personal Systems, HP Inc. “Contemporaneamente, gli utenti continuano a diminuire preda più e più volte di semplici attacchi di phishing. Le soluzioni di sicurezza che armano i reparti IT per stare al passo con le minacce future sono fondamentali per massimizzare la protezione e la resilienza del business”.
Le minacce notevoli isolate da HP Wolf Security includevano:
- La collaborazione con i criminali informatici sta aprendo le porte ad attacchi più grandi contro le vittime: gli affiliati di Dridex stanno vendendo l’accesso alle organizzazioni violate ad altri attori delle minacce, in modo che possano distribuire ransomware. Il calo dell’attività di Emotet nel primo trimestre del 2021 ha portato Dridex a diventare la principale famiglia di malware isolata da HP Wolf Security.
- Ladri di informazioni che forniscono malware più dannoso: il malware CryptBot, storicamente utilizzato come infostealer per sottrarre credenziali da portafogli di criptovaluta e browser Web, viene utilizzato anche per fornire DanaBot, un trojan bancario gestito da gruppi di criminalità organizzata.
- Campagna downloader VBS rivolta ai dirigenti aziendali: una campagna Visual Basic Script (VBS) a più fasi condivide allegati ZIP dannosi che prendono il nome dal dirigente a cui si rivolge. Distribuisce un downloader VBS furtivo prima di utilizzare strumenti SysAdmin legittimi per “vivere la terra”, persistere sui dispositivi e fornire malware.
- Dall’applicazione all’infiltrazione: una campagna di spam dannoso a tema curriculum ha preso di mira società di spedizioni, marittime, logistiche e correlate in sette paesi (Cile, Giappone, Regno Unito, Pakistan, Stati Uniti, Italia e Filippine), sfruttando una vulnerabilità di Microsoft Office per distribuire commercialmente -disponibile Remcos RAT e ottenere l’accesso backdoor ai computer infetti.
I risultati si basano sui dati di HP Wolf Security, che tiene traccia del malware all’interno di macchine microvirtuali isolate per comprendere e acquisire un’intera catena di infezioni e aiutare a mitigare le minacce. Comprendendo meglio il comportamento del malware in natura, i ricercatori e gli ingegneri di HP Wolf Security sono in grado di rafforzare le protezioni di sicurezza degli endpoint e la resilienza complessiva del sistema.
“L’ecosistema del crimine informatico continua a svilupparsi e trasformarsi, con maggiori opportunità per i piccoli criminali informatici di connettersi con attori più grandi all’interno della criminalità organizzata e scaricare strumenti avanzati in grado di aggirare le difese e violare i sistemi”, osserva Alex Holland, Senior Malware Analyst, HP Inc. “Stiamo vedendo gli hacker adattare le loro tecniche per promuovere una maggiore monetizzazione, vendendo l’accesso a gruppi criminali organizzati in modo che possano lanciare attacchi più sofisticati contro le organizzazioni. I ceppi di malware come CryptBot in precedenza sarebbero stati un pericolo per gli utenti che utilizzano i loro PC per archiviare i portafogli di criptovaluta, ma ora rappresentano anche una minaccia per le aziende. Vediamo infostealer che distribuiscono malware gestiti da gruppi criminali organizzati, che tendono a favorire il ransomware per monetizzare il loro accesso”.
Altri risultati chiave del rapporto includono:
- Il 75% del malware rilevato è stato inviato tramite e-mail, mentre i download dal Web sono stati responsabili del restante 25%. Le minacce scaricate utilizzando i browser Web sono aumentate del 24%, parzialmente guidate dagli utenti che scaricano strumenti di hacking e software di mining di criptovaluta.
- Le esche di phishing più comuni sono state fatture e transazioni commerciali (49%), mentre il 15% sono state risposte a thread di posta elettronica intercettati. Le esche di phishing che menzionano il COVID-19 hanno costituito meno dell’1%, in calo del 77% dal secondo semestre 2020 al primo semestre 2021.
- Il tipo più comune di allegati dannosi erano file di archivio (29%), fogli di calcolo (23%), documenti (19%) e file eseguibili (19%). Tipi di file di archivio insoliti, come JAR (file di archivio Java), vengono utilizzati per evitare strumenti di rilevamento e scansione e installare malware facilmente reperibili nei mercati sotterranei.
- Il rapporto ha rilevato che il 34% del malware catturato era precedentemente sconosciuto, un calo del 4% rispetto al secondo semestre del 2020
- Un aumento del 24% del malware che sfrutta CVE-2017-11882, una vulnerabilità di danneggiamento della memoria comunemente utilizzata per sfruttare Microsoft Office o Microsoft WordPad ed eseguire attacchi senza file.
“I criminali informatici stanno aggirando facilmente gli strumenti di rilevamento semplicemente modificando le loro tecniche. Abbiamo assistito a un’ondata di malware distribuito tramite tipi di file non comuni come i file JAR, probabilmente utilizzati per ridurre le possibilità di essere rilevati dagli scanner anti-malware”, commenta Holland. “Gli stessi vecchi trucchi di phishing stanno attirando le vittime, con esche a tema transazionale che convincono gli utenti a fare clic su allegati, collegamenti e pagine Web dannosi”.
“Man mano che il crimine informatico diventa più organizzato e gli operatori più piccoli possono facilmente ottenere strumenti efficaci e monetizzare gli attacchi vendendo in base all’accesso, non esiste una violazione minore”, conclude Pratt. “L’endpoint continua a essere un enorme obiettivo per i criminali informatici. Le loro tecniche stanno diventando più sofisticate, quindi è più importante che mai disporre di un’infrastruttura endpoint completa e resiliente e di una difesa informatica. Ciò significa utilizzare funzionalità come il contenimento delle minacce per difendersi dai moderni aggressori, riducendo al minimo la superficie di attacco eliminando le minacce dai vettori di attacco più comuni: e-mail, browser e download”.»
https://threatresearch.ext.hp.com/hp-wolf-security-threat-insights-report-1h-2021/