L'ecosistema del cybercrime prosegue la sua evoluzione con un'espansione delle attività che prende di mira i fornitori di servizi cloud. Preoccupa la crescita del numero di gruppi criminali e l'impiego sempre più massivo di attacchi privi di malware. Sono alcune delle informazioni contenute nell'annuale Global Threat Report 2022 redatto da CrowdStrike.

Un dato che preoccupa forse più di tutti è il cosiddetto eCrime Breakout Time, ossia il tempo che un attaccante impiega per spostarsi lateralmente da un host inizialmente compromesso a un altro host all'interno dell'ambiente della vittima. Il Breakout Time calcolato da CrowdStrike nel 2021 è stato di appena 1 ora e 38 minuti. Una finestra strettissima, che rende l'idea della difficoltà che hanno gli addetti alla security per rispondere a un attacco in atto. E parimenti della necessità di attuare una difesa proattiva, anziché una reattiva.

Esaminando le conseguenze degli attacchi Log4Shell, il report mette in luce che il 62% delle recenti rilevazioni sono prive di malware. Unendo i dati se ne deduce un crescente livello di sofisticatezza, velocità e impatto degli attacchi ransomware mirati.

I dati non si fermano qui. Secondo l'analisi proposta da CrowdStrike, nel 2021 si è verificato un aumento dell’82% dei data leak causati dagli attacchi ransomware e il debutto di due nuovi gruppi criminali, come Wolf in Turchia e Ocelot in Colombia. In tutto, nel 2021 i gruppi cyber monitorati dalla CrowdStrike Intelligence sono stati più di 170.

Gli attaccanti

A dominare la scena restano le attività motivate finanziariamente, che secondi i dati di CrowdStrike hanno rappresentato quasi la metà (49%) di tutte le attività osservate. Gli attaccanti iraniani sfruttano il ransomware per operazioni di "lock-and-leak", ossia per crittografare le reti target e poi pubblicare dati critici sui siti di rivendicazione.

I threat actor cinesi sono invece specializzati nello sfruttamento di vulnerabilità. Nell'anno di riferimento hanno modificato le proprie tattiche per bersagliare dispositivi e servizi rivolti a Internet, come Microsoft Exchange. Secondo l’analisi di CrowdStrike Intelligence, gli autori Cina-nexus hanno sfruttato 12 vulnerabilità pubblicate nel 2021.

Il gruppo russo conosciuto come Cozy Bear ha invece ampliato i suoi obiettivi nel settore IT ai fornitori di servizi cloud, al fine di sfruttare le relazioni di fiducia da questi coltivate e guadagnare accesso ad ulteriori target attraverso i movimenti laterali. Inoltre, Fancy Bear ha aumentato le proprie tattiche per la raccolta di credenziali, compresa la scansione su larga scala e le attività di phishing.

I threat actor della Repubblica Democratica Popolare di Corea (DPRK) si sono invece concentrati sulle vittime legate alle criptovalute, nel tentativo di aumentare o almeno mantenere stabili gli incassi per contrastare le difficoltà economiche legate alla pandemia.

Lo spionaggio

Nel 2021, CrowdStrike Intelligence ha osservato un aumento dell‘82% dei data leak legati agli attacchi ransomware, con ben 2.686 attacchi registrati fino al 31 dicembre 2021, rispetto ai 1.474 avvenuti nel 2020. Il CrowdStrike eCrime Index (ECX) mostra la redditività e il livello di sofisticazione degli attacchi ransomware. In particolare, si segnalano 721 incidenti di Big Game Hunting nel periodo in esame, una media di oltre 50 eventi ransomware mirati ogni settimana con richieste di riscatto medie di 6,1 milioni di dollari (+36% rispetto al 2020).

Non ultimo, gli attaccanti sfruttano sempre di più le credenziali e le identità rubate per aggirare le soluzioni di sicurezza.