“La presenza globale di Cisco e l’esperienza di livello mondiale di Talos hanno fornito un’enorme quantità di dati da vagliare: rilevamenti di endpoint, attività di incident response, traffico di rete, corpus di e-mail, sandbox, honeypot e molto altro ancora”, esordisce la ricerca di Cisco Talos ‘Year in review’ che riassume lo scenario attuale di ‘cyberminacce’.
Sfruttando tutte le fonti di informazioni ricche e complesse, fortunatamente, Cisco Talos ha analizzato le principali tendenze che hanno caratterizzato il panorama delle minacce nel 2023. Il ransomware ha continuato a minacciare le aziende a livello globale, con ‘LockBit’ che è rimasto la principale minaccia in questo spazio per il secondo anno consecutivo.
L’assistenza sanitaria è stato il settore più bersagliato, in quanto i ‘pirati’ hanno mantenuto la loro attenzione sulle entità che hanno vincoli di finanziamento per la sicurezza informatica piuttosto contenuti e una bassa tolleranza ai tempi di inattività. Tuttavia, non tutto è stato uguale, poiché si sono visti visto attori come Clop distribuire una collezione di ‘exploit zero-day’, un comportamento che di solito è associato a un’attività di minaccia persistente avanzata (APT). Allo stesso tempo, il codice sorgente del ransomware trapelato ha permesso anche a player meno qualificati di aggiungersi agli assalti. A complicare ulteriormente le cose, si è osservata una nuova tendenza nel ransomware, che è passato all’estorsione pura, saltando del tutto la crittografia e minacciando di far trapelare i dati sensibili.
I ‘commodity loaders’ vengono ancora utilizzati per distribuire questi SW ransomware e molte delle stesse famiglie dell’anno scorso sono rimaste prevalenti, come Qakbot e IcedID. Ciò si riflette nella telemetria di Talos, e questi loaders si stanno liberando di tutti i residui del loro passato di trojan bancari, posizionandosi come più semplici ma eleganti meccanismi di consegna. Gli sviluppatori e e gli hacker si stanno adattando al miglioramento delle difese, trovando nuovi modi per aggirare i crescenti aggiornamenti di sicurezza.
Anche se è stata eliminata ancora di una grande rete di bot, quest’anno è toccato a Qakbot, l’esperienza dimostra che questo non significa necessariamente che la minaccia sia stata annullata. Una delle tendenze trasversali più recenti è l’aumento del targeting dei dispositivi di rete da parte di attori APT e ransomware. Entrambi i gruppi si basano sullo sfruttamento di vulnerabilità divulgate di recente e di credenziali deboli/difettose, uno dei motivi per cui l’uso di account validi è sempre stato uno dei principali punti deboli negli impegni di Talos IR. Qualunque sia la sofisticazione e l’intento dell’avversario, la ragione alla base del bersaglio è la stessa: i dispositivi di rete hanno un valore estremamente elevato e presentano molte debolezze di sicurezza.
L’instabilità geopolitica si manifesta nell’attività delle APT, e ciò si riflette nella telemetria di Talos, che mostra un aumento del traffico sospetto durante i principali eventi geopolitici. Per quanto riguarda i gruppi cinesi, man mano che le relazioni con l’Occidente e l’Asia-Pacifico si fanno più tese, si nota il rafforzamento delle operazioni: questo si osserva in particolare quando prendono di mira le organizzazioni di telecomunicazioni, che possiedono numerose infrastrutture critiche in aree geografiche strategicamente importanti come Guam e Taiwan.
Per quanto riguarda le APT russe, Gamaredon e Turla hanno preso di mira l’Ucraina a un ritmo accelerato, ma l’attività russa in generale per il 2023 non riflette l’intera gamma di capacità informatiche distruttive che sono state dispiegate in passato, potenzialmente grazie agli sforzi concertati dei cyberdefender. Un punto di forza di quest’anno è stato l’impegno di Cisco nel creare e fornire soluzioni di sicurezza innovative che contribuiscono a rafforzare i partner del brand. La Task Force Ucraina di Talos continua a sventare gli attacchi contro i partner ucraini più importanti. Quest’anno è stato guidato uno sforzo per stabilizzare la rete elettrica ucraina contro gli effetti dell’interferenza del sistema di posizionamento globale (GPS) sul campo di battaglia, inviando switch Cisco modificati in una zona di guerra attiva. Cisco ha inoltre lanciato la Network Resilience Coalition con i principali partner del settore, con l’obiettivo di aumentare la consapevolezza e fornire raccomandazioni attuabili per migliorare la sicurezza delle reti.
Inoltre, il team di ricerca e scoperta delle vulnerabilità di Talos ha fatto dell’indagine sui router SOHO (Small Office, Home Office) e industriali una delle principali priorità, segnalando ai fornitori 289 vulnerabilità, pubblicate in 141 advisory. Con l’aggravarsi del conflitto in Medio Oriente, infine, è diventato necessario il rafforzamento di tutte le forze a disposizione: con l’aumento dell’audacia, della sofisticazione e della persistenza degli hackeri, cresce anche la determinazione dei difensori a intercettarli in ogni modo possibile.
