Secondo Palo Alto Networks, gli aggressori stanno diventando più veloci nello sfruttare difetti zero-day precedentemente non divulgati.
La società avverte nel suo rapporto del 2022 che copre 600 casi di risposta agli incidenti (IR) che gli aggressori in genere iniziano a scansionare le vulnerabilità entro 15 minuti dall’annuncio di una.
Tra questo gruppo ci sono i difetti più significativi del 2021, inclusi i set di difetti ProxyShell e ProxyLogon di Exchange Server, i difetti persistenti di Apache Log4j alias Log4Shell, i difetti zero-day di SonicWall e Zoho ManageEngine ADSelfService Plus.
Un altro grave difetto che ha costretto gli aggressori a scansionare rapidamente Internet alla ricerca di dispositivi interessati è stato il bug critico di F5 nel suo software Big-IP, che la Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto al suo catalogo delle vulnerabilità sfruttate in crescita a maggio. Palo Alto Networks ha visto 2.500 scansioni entro 10 ore dall’implementazione di una firma per il difetto.
Sebbene il phishing rimanga il metodo principale per l’accesso iniziale, rappresentando il 37% dei casi IR, le vulnerabilità del software rappresentano il 31%. Gli attacchi a forza bruta alle credenziali (come la spruzzatura di password) rappresentavano il 9%, mentre le categorie più piccole includevano credenziali precedentemente compromesse (6%), minacce interne (5%), ingegneria sociale (5%) e abuso di relazioni/strumenti di fiducia (4 %).
Oltre l’87% dei difetti identificati come fonte di accesso iniziale rientrava in una delle sei categorie di vulnerabilità.
I difetti di accesso iniziale più comuni erano i difetti di Exchange Server ProxyShell nel 55% dei casi a cui ha risposto. Microsoft ha lanciato le patch per ProxyShell e i relativi difetti ProxyLogon all’inizio del 2021, ma sono diventate l’obiettivo principale di diversi attori delle minacce, inclusa la banda di ransomware Hive.
Guardando solo ai casi IR che coinvolgono ransomware, l’azienda ha scoperto che il 22% proveniva dalla banda Conti soggetta a perdite, seguita da LockBit 2.0 (14%). Le restanti bande di ransomware costituivano meno del 10% dei casi ciascuna e queste includevano Hive, Dharma, PYSA, Phobos, ALPHV/BlackCat, REvil e BlackMatter.
La società prevede che vedrà più casi che coinvolgono attori di minacce non qualificati attratti dalla criminalità informatica da segnalazioni di ransomware redditizi e attacchi di estorsione non crittografati insieme a pressioni economiche globali.
A causa del successo delle forze dell’ordine nel rintracciare i portafogli crittografici ai loro proprietari e dell’instabilità della criptovaluta, la società prevede anche un possibile aumento delle frodi di compromissione delle e-mail aziendali, ovvero la truffa da 43 miliardi di dollari che viene oscurata nelle discussioni pubbliche da attacchi ransomware dirompenti.