Fortinet: +43% nella velocità con cui i cybercriminali sfruttano le nuove vulnerabilità rispetto al primo semestre 2023

Fortinet annuncia la pubblicazione del nuovo Global Threat Landscape Report edito dai FortiGuard Labs. Il rapporto semestrale offre un’istantanea del panorama delle minacce attive e mette in evidenza i trend in atto nel periodo da luglio a dicembre del 2023, tra essi nello specifico, è stata analizzata la velocità con cui i cybercriminali stanno capitalizzando gli exploit appena identificati nel settore della cybersecurity e l’aumento delle attività ransomware e wiper mirate, rivolte contro il settore industriale e OT.

“Il Global Threat Landscape Report dei FortiGuard Labs relativo al secondo semestre dell’anno passato continua a mettere in luce la rapidità con cui i criminali informatici sfruttano le vulnerabilità appena divulgate. In questa particolare situazione, sia i vendor che i clienti hanno un ruolo da svolgere. I primi devono introdurre un robusto controllo della sicurezza in tutte le fasi del ciclo di vita del prodotto e dedicarsi a mettere in atto una trasparenza radicale e responsabile nella divulgazione delle vulnerabilità. Con oltre 26.447 vulnerabilità rilevate in più di 2.000 vendor nel 2023, come citato dal NIST, è inoltre fondamentale che i clienti mantengano un rigoroso regime di applicazione delle patch per ridurre il rischio che esse possano venire sfruttate”, ha spiegato Derek Manky, Chief Security Strategist and Global VP Threat Intelligence, FortiGuard Labs.

I risultati principali relativi alla seconda metà del 2023 includono le seguenti evidenze:

• Gli attacchi sono iniziati in media 4,76 giorni dopo la divulgazione di nuovi exploit: come fatto in precedenza con il Global Threat Landscape Report relativo al primo semestre 2023, i FortiGuard Labs hanno provato a determinare quanto tempo impieghi una vulnerabilità a passare dell’iniziale release all’exploitation, se quelle con un punteggio Exploit Prediction Scoring System (EPSS) elevato vengano sfruttate più velocemente e se sia possibile prevedere il tempo medio di impiego utilizzando i dati EPSS. In base a questa analisi, nella seconda metà del 2023 i responsabili degli attacchi hanno aumentato la velocità con cui capitalizzano le falle appena rese pubbliche (43% in più rispetto al primo semestre 2023). Questo dato evidenzia la necessità per i fornitori di dedicarsi a rilevare internamente le vulnerabilità e a sviluppare una patch prima che se ne verifichi lo sfruttamento (mitigando i casi di 0-Day). Viene inoltre rafforzata la necessità per i vendor di comunicare le problematiche ai clienti in modo proattivo e trasparente, per garantire che questi ultimi possano avere a disposizione le informazioni necessarie per proteggere efficacemente le proprie risorse prima che i cyber-avversari possano arrivare a sfruttare le N-day.
• Alcune vulnerabilità N-Day rimangono senza patch per oltre 15 anni: i CISO e i team che si occupano della sicurezza non devono preoccuparsi solo delle problematiche identificate di recente. La telemetria di Fortinet ha infatti rilevato come il 41% delle organizzazioni abbia evidenziato exploit da firme nate meno di un mese prima, mentre quasi tutte le organizzazioni (98%) hanno trovato vulnerabilità N-Day che esistono da almeno cinque anni; i FortiGuard Labs continuano inoltre a osservare come i cybercriminali ne sfruttino alcune vecchie di oltre 15 anni. Questo dato rafforza la necessità di mantenere la vigilanza per quanto concerne la cyber hygiene e rende più impellente la richiesta fatta alle aziende di agire rapidamente attraverso un programma coerente di patch e aggiornamenti, mettendo in atto le best practice e le indicazioni provenienti da organizzazioni come la Network Resilience Coalition, per migliorare la sicurezza complessiva delle reti.
• Meno del 9% di tutte le vulnerabilità degli endpoint conosciute sono state oggetto di attacchi: nel 2022, i FortiGuard Labs hanno introdotto il concetto di “zona rossa”, che aiuta gli utenti a comprendere al meglio la probabilità che i criminali informatici sfruttino specifiche vulnerabilità. Per illustrare questo punto specifico, gli ultimi tre Global Threat Landscape Report hanno esaminato il numero totale di vulnerabilità che hanno come obiettivo gli endpoint. Nella seconda metà del 2023, la ricerca ha rilevato che lo 0,7% di tutti i CVE (Common Vulnerabilities and Exposures) osservati sugli endpoint è effettivamente sotto attacco, rivelando una superficie attiva molto più ridotta, su cui i team devono concentrarsi e dare di conseguenza priorità agli sforzi di remediation.
• Il 44% di tutti i campioni di ransomware e wiper ha preso di mira i settori industriali: la rilevazione di ransomware da parte di tutti i sensori di Fortinet è diminuita del 70% rispetto alla prima metà del 2023. Questo rallentamento, osservato nell’ultimo anno, può essere attribuito al fatto che gli attori malevoli abbiano abbandonato la tradizionale strategia “spray and pray” adottando invece un approccio più mirato, rivolto soprattutto ai settori dell’energia, della sanità, della produzione, dei trasporti e della logistica e dell’automotive.
• Le botnet hanno dimostrato di avere un’incredibile resilienza, impiegando in media 85 giorni per interrompere le comunicazioni di comando e controllo (C2) dopo il primo rilevamento:mentre il traffico bot è rimasto costante rispetto alla prima metà del 2023, i FortiGuard Labs hanno continuato a rilevare le botnet più importanti degli ultimi anni, come ad esempio Gh0st, Mirai e ZeroAccess, nella seconda metà del 2023 sono tuttavia emerse tre nuove referenze, tra cui: AndroxGh0st, Prometei e DarkGate.
• 38 dei 143 gruppi Advance Persistent Threat (APT) elencati dal MITRE sono stati rilevati in attività durante il secondo semestre 2023: le informazioni provenienti da FortiRecon, il servizio di protezione dai rischi digitali di Fortinet, indicano che 38 dei 143 gruppi monitorati dal MITRE erano attivi nella seconda metà dell’anno passato. Tra questi, i gruppi più attivi sono stati Lazarus Group, Kimusky, APT28, APT29, Andariel e OilRig. L’evoluzione e il volume dell’attività in questo settore sono aspetti che i FortiGuard Labs seguiranno costantemente, data la natura mirata e la durata relativamente breve delle campagne attuati dai gruppi informatici APT e degli Stati nazionali rispetto alle quelle di lunga durata messe in atto dai cybercriminali.

I cybercriminali dialogano sul dark web

Il nuovo Global Threat Landscape Report comprende anche i risultati raccolti da FortiRecon, che offrono un’overview sulle conversazioni che avvengono tra gli attori delle minacce sui forum del dark web, sui marketplace, sui canali Telegram e tramite altre fonti. Alcuni dei risultati includono:

• La discussione avvenuta più di frequente tra i cybercriminali riguardava la possibilità di prendere di mira le organizzazioni del settore finanziario e, a seguire, quelle dei servizi alle imprese e dell’istruzione.
• Più di 3.000 violazioni di dati sono state condivise su importanti forum del dark web.
• 221 vulnerabilità sono state discusse attivamente sulla darknet, mentre 237 vulnerabilità sono state discusse sui canali Telegram.
• È stata pubblicizzata la vendita di oltre 850.000 carte di pagamento.

Invertire la rotta per agire contro il cybercrime

La superficie di attacco è in costante espansione ma si rileva una carenza di competenze in materia di cybersecurity in tutto il settore; in questo contesto è più che mai difficile per le aziende gestire correttamente un’infrastruttura complessa composta da soluzioni eterogenee, per non parlare della necessità di tenere il passo con il volume di avvisi provenienti dai point product e con le diverse tecniche e procedure che la criminalità sfrutta per compromettere le loro vittime.

Per invertire la rotta è necessario costruire una cultura della collaborazione, della trasparenza e della responsabilità che si sviluppi su una scala più ampia rispetto a quella delle singole organizzazioni che operano nell’ambito della sicurezza informatica. Ogni organizzazione ha infatti un ruolo nella catena che permettere di interrompere i processi alla base delle minacce. La collaborazione con organizzazioni di alto profilo e ben accreditate del settore pubblico e privato, tra cui CERT (Computer Emergency Response Team), enti governativi e università, è un aspetto fondamentale dell’impegno di Fortinet per migliorare la resilienza a livello globale.

Migliorare la sicurezza e supportare la lotta contro la criminalità informatica a livello globale è possibile attraverso la la costante innovazione tecnologica e la collaborazione tra i settori e i gruppi di lavoro, come Cyber Threat Alliance, Network Resilience Coalition, Interpol, World Economic Forum (WEF) Partnership Against Cybercrime e WEF Cybercrime Atlas.