Nella prima metà del 2023 le organizzazioni che hanno identificato un ransomware sono diminuite, le attività APT sono aumentate e gli attaccanti hanno modificato le tecniche MITRE ATT&CK utilizzate. Inoltre si è rilevata una esplosione di exploit unici, varianti di malware e persistenza delle botnet. Sono alcune delle informazioni contenute nell’H1 2023 Global Threat Landscape Report redatto dai FortiGuard Labs, frutto dell’elaborazione dei dati rilevati di miliardi di eventi osservati in tutto il mondo.

Andando per ordine, partiamo con l’identificazione dei ransomware. Nel periodo in esame le varianti ransomware sono stranamente calate rispetto agli ultimi anni, ma gli attacchi sempre più mirati e sofisticati hanno permesso ai criminali informatici di aumentare il ritorno sull’investimento e di essere più difficili da rilevare. Da qui il dato indicato in apertura: il volume dei rilevamenti di ransomware è cresciuto di 13 volte rispetto alla fine del 2022, ma con un ritmo più basso dello scorso anno, che indica la tendenza complessiva al ribasso.

A favorire gli attacchi di successo è anche lo sfruttamento delle vulnerabilità. A tale riguardo, e con l’obiettivo di aiutare la detection degli attacchi, Fortinet ha aderito al progetto Exploit Prediction Scoring System (EPSS) che si prefigge lo scopo di sfruttare un considerevole numero di fonti di dati per prevedere la probabilità e il momento in cui una vulnerabilità sarà sfruttata esternamente. Questa attività ha permesso di calcolare che oggi gli attaccanti hanno una probabilità 327 volte maggiore di attaccare le principali vulnerabilità EPSS entro sette giorni, rispetto a tutte le altre CVE.

Una informazione che aiuta a quantificare la percentuale di vulnerabilità disponibili sugli endpoint attaccati attivamente e che supporta i team di sicurezza nella prioritizzazione e installazione tempestiva delle patch. Un dato indicativo è che nella seconda metà del 2022 erano sotto attacco circa 1.500 CVE delle oltre 16.500 conosciute. Nella prima metà del 2023 il numero è sceso leggermente, all’8,3%.

Legato alle vulnerabilità è il discorso degli exploit: nel primo semestre del 2023 i FortiGuard Labs hanno rilevato oltre 10.000 exploit unici, con un aumento del 68% rispetto a cinque anni fa. È una chiara indicazione dell’enorme volume di attacchi malevoli in corso e di come questi si siano moltiplicati e diversificati in un periodo di tempo relativamente breve. La buona notizia è che gli exploit gravi sono calati del 10%.

Passiamo alla questione APT: nel periodo in esame quasi un terzo dei gruppi APT era attivo, ossia 41 (30%) dei 138 gruppi di minacce informatiche monitorati dal MITRE. Tra i più attivi in base ai rilevamenti malware spiccano Turla, StrongPity, Winnti, OceanLotus e WildNeutron. A proposito di malware: nel periodo in esame le famiglie e le varianti di malware sono aumentate rispettivamente del 135% e del 175%. Inoltre, il numero di famiglie di malware che si propaga in almeno il 10% delle organizzazioni globaliè raddoppiato negli ultimi cinque anni.

È questa escalation a indicare un maggiore impiego del malware sia da parte del cybercrime che dagli APT per diversificare i propri attacchi. Impossibile ignorare poi il conflitto ucraino, che ha contribuito a innalzare il numero di malware in circolazione, soprattutto i temibili malware wiper.

Chiudono questa rassegna i botnet: quelle attive sono in crescita (+27%) e hanno un tasso di incidenza più elevato tra le organizzazioni (+126%). Inoltre è aumentato in maniera esponenziale il numero totale di “giorni attivi” (la quantità di tempo che intercorre tra il primo attacco di un determinato tentativo di botnet su un sensore e l’ultimo): si parla di 83 giorni, con un aumento di oltre 1.000 volte rispetto a cinque anni fa.