CrowdStrike Holdings, Inc. annuncia la nuova edizione del Global Threat Report 2022, che evidenzia per il 2021 un aumento dell’82% delle fughe di dati causate dagli attacchi ransomware e il debutto di due nuovi avversari criminali (WOLF in Turchia e OCELOT in Colombia). Il report 2022 aggiunge 21 nuovi avversari a quelli monitorati in tutto il mondo.
Giunto ormai alla sua ottava edizione, il Global Threat Report delinea inoltre nuove operazioni e tecniche da parte delle cosiddette Big Four: Iran, Cina, Russia e Corea del Nord. Esaminando le conseguenze degli attacchi Log4Shell, il rapporto mette in luce come gli avversari si stiano muovendo oltre il malware: il 62% delle recenti rilevazioni sono infatti prive di malware.
Il rapporto, punto di riferimento di CrowdStrike Intelligence, documenta da un lato la continua evoluzione degli avversari nation-state affiliati e criminali e, dall’altro, l’aumento del livello di sofisticatezza, velocità e impatto degli attacchi ransomware mirati, delle operazioni dagli effetti dirompenti e degli attacchi legati al cloud nel 2021. I principali risultati emersi dal rapporto 2022 forniscono alle aziende le informazioni e gli insight necessari per innovare le loro strategie di sicurezza e difendere il proprio business dalle minacce informatiche, oggi sempre più prolifiche.
La continua espansione dei gruppi nation-state e criminali
Nel 2021, lo scenario delle minacce informatiche è apparso sempre più popolato e contraddistinto dalla nascita di nuovi avversari. A oggi, infatti, sono più di 170 quelli monitorati in totale da CrowdStrike Intelligence.
Ecco alcune delle principali rilevazioni:
- L’attività di eCrime motivata da questioni finanziarie continua a dominare i tentativi di intrusione interattiva tracciata da CrowdStrike OverWatch. Le intrusioni attribuite all’eCrime hanno rappresentato quasi la metà (49%) di tutte le attività osservate.
- Gli avversari basati in Iran adottano l’uso di ransomware e operazioni di "lock-and-leak", usando il ransomware per crittografare le reti target e – successivamente – far trapelare le informazioni delle vittime attraverso profili o entità controllate dagli autori.
- Nel 2021, i Cina-nexus sono emersi come i principali autori in grado di sfruttare le vulnerabilità e hanno modificato le tattiche per prendere sempre più di mira i dispositivi e i servizi rivolti a Internet, come Microsoft Exchange. Secondo l’analisi di CrowdStrike Intelligence, gli autori Cina-nexus hanno sfruttato 12 vulnerabilità pubblicate nel 2021.
- L‘avversario Russia-nexus COZY BEAR espande i suoi obiettivi nel settore IT ai fornitori di servizi cloud, al fine di sfruttare le relazioni di fiducia da questi coltivate e guadagnare accesso a ulteriori target attraverso il movimento laterale. Inoltre, FANCY BEAR aumenta l’utilizzo di tattiche di raccolta delle credenziali, comprese le tecniche di scansione su larga scala e attività di phishing dei siti web create ad hoc sulle vittime.
- La Repubblica Democratica Popolare di Corea (DPRK) ha preso di mira entità legate alla criptovaluta nel tentativo di continuare a generare lo stesso livello di profitti illeciti raggiunto durante le interruzioni economiche causate dalla pandemia da COVID-19.
- Gli autori di eCrime – inclusi gli affiliati DOPPEL SPIDER e WIZARD SPIDER – hanno adottato Log4Shell come vettore di accesso per consentire le operazioni ransomware. Gli attori sponsorizzati dagli stati, inclusi NEMESIS KITTEN (Iran) e AQUATIC PANDA (Cina), si sono affiliati probabilmente utilizzando Log4Shell prima della fine del 2021.
Lo spionaggio diventa sempre più sofisticato
Il rapporto evidenzia, per il 2021, una crescita e un impatto sorprendenti degli attacchi ransomware mirati, delle operazioni con impatto dirompente e degli attacchi legati al cloud, le cui conseguenze in quasi tutti i settori e i Paesi sono state evidenti.
- Nel 2021, CrowdStrike Intelligence ha osservato un aumento dell‘82% delle fughe di dati legate agli attacchi ransomware, con ben 686 attacchi registrati fino al 31 dicembre 2021, rispetto ai 1.474 avvenuti nel 2020.
- Il CrowdStrike eCrime Index (ECX) mostra come gli attacchi ransomware siano stati altamente redditizi per tutto il 2021. L’ECX mostra la forza, il volume e la sofisticatezza del mercato cyber-criminale ed è aggiornato settimanalmente sulla base di 20 indicatori unici dell’attività criminale; l’indice ha tracciato aspetti quali le vittime del Big Game Hunting, le fughe di dati e le domande di riscatto.
Nel corso del 2021, il CrowdStrike eCrime Index ha riscontrato quanto segue:
- CrowdStrike ha osservato 721 incidenti di Big Game Hunting lo scorso anno;
- CrowdStrike Intelligence ha registrato una media di oltre 50 eventi ransomware mirati ogni settimana;
- le domande di riscatto legate ai ransomware sono state, in media, di $6.1 milioni per riscatto, con un aumento fino al 36% dal 2020;
- gli avversari sfruttano sempre di più le credenziali e l'identità rubate agli utenti per aggirare le soluzioni di sicurezza legacy - di tutte le rilevazioni indicizzate nel quarto trimestre del 2021, il 62% era infatti privo di malware.