Gli analisti delle minacce riferiscono che lo sfruttamento delle vulnerabilità zero-day è in aumento e gli hacker cinesi sono quelli che hanno utilizzato la maggior parte negli attacchi dello scorso anno.
Le vulnerabilità zero-day sono debolezze di sicurezza nei prodotti di software che sono sconosciuti o non sono stati riparati al momento della scoperta.
Le rivelazioni zero-day sono di particolare interesse per gli hacker perché hanno una finestra di sfruttamento più ampia fino a quando i venditori affrontano le falle e i clienti iniziano ad applicare gli aggiornamenti.
In genere, questa finestra di opportunità dura almeno un paio di giorni, e poiché non tutti gli amministratori applicano immediatamente gli aggiornamenti di sicurezza, il numero di obiettivi vulnerabili rimane alto per un po’.
Secondo un’analisi della società di cybersecurity Mandiant, l’anno scorso ci sono stati 80 casi di zero-days sfruttati in natura, 18 in più del 2020 e del 2019 messi insieme.
La maggior parte di essi sono stati attribuiti a operazioni di cyberspionaggio da parte di attori sostenuti dallo Stato.
Tuttavia, l’azienda ha scoperto che uno su tre attori malintenzionati che sfruttano le vulnerabilità zero-day era motivato finanziariamente, una statistica che continua una tendenza crescente rispetto agli anni precedenti.
In termini di attori minacciosi, la Cina è in cima alla lista con otto zero-day utilizzati nei cyberattacchi nel 2021, seguita dalla Russia che ne ha utilizzati due e dalla Corea del Nord con uno.
Il caso più notevole è stato quello di Hafnium, un gruppo di hacker cinese sponsorizzato dallo stato che ha utilizzato quattro vulnerabilità zero-day sui server Microsoft Exchange per accedere alle comunicazioni e-mail delle organizzazioni occidentali.
Mandiant ha anche registrato un aumento dei ransomware che sfruttano le vulnerabilità zero-day per violare le reti e distribuire i loro payloads di cifratura dei file.
Un esempio importante di questa attività è stato quello degli operatori ransomware HelloKitty, che hanno sfruttato un bug zero-day nei dispositivi VPN SonicWall SMA 100.
I venditori più bersagliati negli attacchi zero-day del 2021 sono stati Microsoft, Apple e Google, che rappresentano oltre il 75% di tutti gli attacchi.
L’anno scorso ha visto un record nello sfruttamento degli zero-day e i trend attuali indicano che quest’anno sarà peggio.
“Suggeriamo che campagne significative basate sullo sfruttamento zero-day sono sempre più accessibili a una più ampia varietà di attori sponsorizzati dallo stato e motivati finanziariamente, anche come risultato della proliferazione di fornitori che vendono exploit e sofisticate operazioni ransomware che potenzialmente sviluppano exploit personalizzati” secondo Mandiant
Il team Project Zero di Google martedì ha pubblicato un rapporto sullo stesso argomento, sottolineando che l’aumento dello sfruttamento zero-day è in parte il risultato di una maggiore visibilità e rilevamento e non necessariamente un aumento dell’attività o della complessità degli attacchi.
Come il rapporto dettaglia, solo due dei 58 nuovi zero-days Project Zero divulgati nel 2021 mostrano eccellenza tecnica e unicità, il che potrebbe indicare la maturità della sicurezza del software.
