Sophos, leader globale nella sicurezza informatica di nuova generazione, ha pubblicato il nuovo Sophos 2022 Threat Report che conferma il ruolo sempre più preponderante del ransomware e il suo devastante impatto sui sistemi IT e mostra come la forza gravitazionale del “buco nero del ransomware” stia attirando altre minacce informatiche per formare un enorme sistema di distribuzione dello stesso.
Il report, a cura dei ricercatori di sicurezza di SophosLabs, degli esperti del Sophos Managed Threat Response e dal team di Sophos AI, fornisce una prospettiva multidimensionale unica sulle cyberminacce e sui nuovi trend in atto nel mondo della security che le aziende dovranno affrontare nel 2022.
Il nuovo Threat Report 2022 di Sophos analizza le seguenti tendenze chiave:
- Nel corso del prossimo anno, il panorama del ransomware diventerà sia più modulare che più uniforme, con gli “specialisti” dell’attacco che offriranno i diversi elementi di un attacco “as-a-service” e forniranno playbook con strumenti e tecniche che consentono ad altri gruppi di hacker criminale di implementare attacchi molto simili. Secondo i ricercatori di Sophos, gli attacchi da parte di singoli gruppi di ransomware hanno lasciato il posto a un maggior numero di offerte di ransomware-as-a-service (RaaS) nel corso del 2021, con sviluppatori di ransomware specializzati che si sono concentrati sull’affitto di codice dannoso e infrastrutture a terzi affiliati. Alcuni degli attacchi ransomware di più alto profilo dell’anno passato, hanno coinvolto RaaS, compreso un attacco contro Colonial Pipeline negli Stati Uniti da parte di un affiliato di DarkSide. Un affiliato del ransomware Conti ha fatto trapelare la guida di implementazione fornita dagli operatori, rivelando gli strumenti e le tecniche passo dopo passo che gli attaccanti potrebbero utilizzare per distribuire il ransomware. Una volta ottenuto il malware di cui hanno bisogno, gli affiliati RaaS e altri operatori di ransomware possono rivolgersi agli Initial Access Brokers e alle piattaforme di consegna del malware per trovare e colpire potenziali vittime. Questo sta alimentando la seconda grande tendenza prevista da Sophos.
- Le minacce informatiche ormai consolidate continueranno a adattarsi per distribuire e fornire ransomware e lo faranno utilizzando loader, dropper e altri malware di base, broker di accesso iniziale sempre più avanzati e gestiti dall’uomo; spam e adware.
Nel 2021, Sophos ha rilevato come Gootloader operasse nuovi attacchi ibridi che combinavano campagne di massa con un attento filtraggio per individuare gli obiettivi di specifici pacchetti di malware.
- L’utilizzo di forme multiple di estorsione da parte dei cybercriminali volte a fare pressione sulle vittime per indurle a pagare il riscatto continuerà e aumenterà di portata e intensità. Nel 2021, gli esperti di incident response di Sophos hanno catalogato 10 diversi tipi di tattiche di pressione, dal furto di dati ed esposizione, alle telefonate minatorie, agli attacchi DDoS (distributed denial of service) e altro ancora.
- Le criptovalute continueranno ad alimentare i crimini informatici come il ransomware e il cryptomining malevolo, e Sophos prevede che la tendenza continuerà fino a quando le criptovalute globali non saranno regolamentate in modo più efficace. Durante il 2021, i ricercatori di Sophos hanno scoperto cryptominer come Lemon Duck e il meno comune, MrbMiner, che sfruttano l’accesso fornito dalle vulnerabilità appena segnalate e gli obiettivi già violati dagli operatori di ransomware per installare cryptominer su computer e server.
Altri trend analizzati nel Report di Sophos:
- Dopo che le vulnerabilità ProxyLogon e ProxyShell sono state scoperte (e patchate) nel 2021, la velocità con cui sono state sfruttate dagli aggressori è stata tale che Sophos si aspetta di vedere continui tentativi di abuso di massa degli strumenti di amministrazione IT e dei servizi vulnerabili esposti via Internet sia da parte di cybercriminali esperti che di criminali informatici comuni.
- Sophos prevede anche che i criminali informatici aumenteranno l’abuso di strumenti di simulazione degli attacchi come Cobalt Strike Beacons, mimikatz e PowerSploit. I responsabili della cybersecurity aziendale dovrebbero controllare ogni allarme relativo agli strumenti legittimi o alla combinazione di strumenti, proprio come controllerebbero un rilevamento dannoso, poiché potrebbe indicare la presenza di un intruso nella rete.
- Nel 2021, i ricercatori di Sophos hanno analizzato una serie di nuove minacce che prendono di mira i sistemi Linux e prevedono un crescente interesse per i sistemi basati su quest’ultimo durante il 2022, sia nel cloud che sui server web e virtuali.
- Si prevede che le minacce verso i device mobili e lo scam basato sull’ingegneria sociale, tra cui Flubot e Joker, continueranno ad imperversare e si diversificheranno per colpire sia gli individui che le aziende.
- L’applicazione dell’intelligenza artificiale alla cybersecurity continuerà e accelererà, dato che potenti modelli di apprendimento automatico dimostrano il loro valore nel rilevamento delle minacce e nella prioritizzazione degli avvisi. Allo stesso tempo, tuttavia, ci si aspetta che gli autori degli attacchi facciano un uso crescente dell’IA, con un’evoluzione prevista nei prossimi anni da campagne di disinformazione basate sull’IA e profili di social media fasulli a contenuti web di attacco watering-hole, e-mail di phishing e altro ancora, man mano che diventeranno disponibili tecnologie avanzate di sintesi vocale e video deepfake.
https://www.sophos.com/en-us/press-office/press-releases/2021/11/sophos-2022-threat-report.aspx
https://www.sophos.com/en-us/medialibrary/pdfs/technical-papers/sophos-2022-threat-report.pdf