Difendersi dalle minacce critiche - Analisi delle principali violazioni e tendenze
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Panoramica della soluzione
Informazioni pubbliche Cisco
Difendersi dalle
minacce critiche
Analisi delle principali
violazioni e
tendenze
2 Difendersi dalle minacce critiche: analisi delle principali violazioni e tendenze
Come agiscono i criminali informatici?
Questo report illustra anche le previsioni e i punti di riferimento
per il prossimo anno. Dopo un anno caotico come il 2021,
non ero sicura di come affrontare la questione. Poi ho parlato
con Matt Olney, direttore del reparto Threat Intelligence and
Interdiction di Cisco Talos, che mi ha spiegato il suo punto di
vista:
"In generale, negli ultimi cinque anni,
non è successo nulla che abbia
cambiato radicalmente l'approccio alla
Hazel Burton gestione della sicurezza. Rileviamo in
(caporedattore)
media una o due vulnerabilità gravi e
Joe Walsh, chitarrista degli Eagles, una volta disse: "Mentre
viviamo il nostro presente sembra che l'anarchia e il caos
inaspettate ogni anno, che gli hacker
la facciano da padroni, presentandoci eventi casuali che si cercano di sfruttare battendo sul
intrecciano tra loro; quando poi ci guardiamo indietro, tutto
appare come una storia scritta alla perfezione e curata nei
tempo i responsabili della sicurezza
minimi dettagli." e i loro studi per comprenderle e
Purtroppo invece, nel 2021 la situazione era tutt'altro che proteggere i sistemi."
chiara per i responsabili della cybersecurity, che dovevano
(e devono tuttora) gestire innumerevoli minacce di alto profilo,
tra cui Log4j, attacchi ransomware contro infrastrutture "Sicuramente, gli attacchi alla catena di
critiche, un numero di segnalazioni di vulnerabilità mai
visto prima, attacchi ogni giorno più pesanti alla catena di approvvigionamento e il ransomware
approvvigionamento e il ritorno di Emotet sulla scena. Il
sono un problema serio, ed è per
tutto in aggiunta all'ordinaria gestione quotidiana dei rischi
aziendali. questo che in tutto il mondo si assiste a
Per analizzare le principali tendenze delle minacce del una risposta sempre più forte da parte
2021 e aiutare gli addetti alla sicurezza a vederci chiaro,
ho intervistato sei analisti esperti nella caccia alle minacce
delle istituzioni."
del team Cisco Secure, e ho chiesto loro di illustrarmi le
loro scoperte relative a una specifica minaccia o incidente Le analisi degli esperti illustrate in questo report evidenziano
informatico avvenuto negli ultimi 12 mesi. Ciascun esperto il ruolo cruciale degli addetti alla sicurezza, ma anche le
ha scelto di trattare un tema molto indicativo delle attuali competenze di settore sviluppate e consolidate con anni di studi
priorità dei criminali informatici. meticolosi degli attacchi e del comportamento degli hacker.
Preciso che questo documento è stato scritto nel gennaio Continua a leggere per scoprire come gestire le minacce critiche
2022. Il contenuto non tratta quindi i recenti avvenimenti in e conoscere il punto di vista degli esperti che lavorano ogni
Ucraina; tuttavia, il blog di Talos dedicato ai consigli sulle giorno per individuare e bloccare gli attacchi informatici.
minacce è sempre aggiornato con le ultime novità.
Difendersi dalle minacce critiche: analisi delle principali violazioni e tendenze 3
Sommario
Colonial Pipeline: quando si tratta di ransomware, le preghiere non bastano 04
Intervista a Matt Olney, responsabile Threat Intelligence and Interdiction, Cisco Talos
Debito di sicurezza: un'opportunità per gli hacker 08
Intervista a Dave Lewis, consulente CISO, Cisco Secure
Le vulnerabilità più critiche (che potresti non aver considerato) 11
Intervista a Jerry Gamblin, responsabile Security Research, Kenna Security (ora parte di Cisco)
Log4j e come prepararsi agli attacchi zero-day 15
Intervista a Liz Waddell, Practice Lead, Cisco Talos Incident Response
Ultime notizie su Emotet 19
Intervista a Artsiom Holub, analista della sicurezza senior, Cisco Umbrella
Il malware colpisce anche MacOS 23
Intervista a Ashlee Benge, responsabile Strategic Intelligence and Data Unification, Cisco Talos
Perché Cisco Secure può fare la differenza? 26
Altre risorse 27
© 2022 Cisco e/o relativi affiliati. Tutti i diritti sono riservati.
Colonial Pipeline: quando si tratta di ransomware, le preghiere non bastano Intervista a Matt Olney, responsabile Threat Intelligence and Interdiction, Cisco Talos
Difendersi dalle minacce critiche: analisi delle principali violazioni e tendenze 5
Tra tutte le minacce che hanno turbato i nostri
sonni nel 2021, perché hai scelto proprio di parlare Colonial Pipeline Qualche dato
dell'attacco alla Colonial Pipeline? • La Colonial Pipeline gestisce il 45% delle
Il caso della Colonial Pipeline evidenzia due aspetti interessanti. Il forniture di petrolio della costa orientale
primo riguarda l'impatto che questo attacco ha avuto nel mondo degli Stati Uniti
reale e sulle forniture di gas nella costa orientale degli Stati Uniti.
• L'oleodotto è lungo 29.000 miglia
A seguito dell'attacco la pressione a livello politico si è fatta più
forte, e il governo statunitense ha accelerato gli interventi di • L'azienda ha pagato un riscatto di 75 Bitcoin
risposta agli attacchi ransomware.
(circa 4,4 milioni di dollari)
Il secondo aspetto ha a che fare con la reazione dei criminali
informatici. La situazione ricorda molto quella di Icaro, che volò • L'87% delle stazioni di rifornimento di
troppo vicino al sole. Avendo colpito un'infrastruttura critica, gli Washington D.C. è rimasto senza carburante
hacker sapevano di aver oltrepassato il limite. La risposta della
comunità di criminali informatici è stata immediata e molto intensa.
Sicuramente, dopo l'attacco alla Colonial Pipeline, le cose sono
cambiate, e gli effetti di quel cambiamento si vedono ancora oggi.
Quando è iniziato l'attacco ransomware e qual è
stata la risposta iniziale?
A onor del vero, Cisco non è stata coinvolta nella gestione Per capire meglio la portata di questa decisione, basta pensare
dell'attacco alla Colonial Pipeline. Tutte le informazioni a cui che la Colonial Pipeline copre il 45% della fornitura di carburante
faccio riferimento sono disponibili pubblicamente. della costa orientale. Non parliamo solo della benzina per le auto,
ma anche del gas naturale e del carburante per aviazione.
A inizio maggio, un venerdì mattina molto presto, una rete della
Colonial Pipeline già infettata in un momento precedente è risultata La popolazione, presa dal panico, ha reagito precipitandosi a fare
criptata, e l'azienda ha sostanzialmente perso l'intera rete IT. rifornimenti, così le stazioni hanno iniziato a esaurire le scorte,
mentre la corsa agli accaparramenti non faceva che peggiorare la
In genere, le infrastrutture critiche sono suddivise in ambiente
situazione. Ci sono stati anche episodi poco piacevoli di persone
IT (Information Technology) e ambiente OT (Operational
che cercavano di portarsi via la benzina riempiendo contenitori
Technology), che è la sede dei componenti industriali. L'OT
non omologati. Il governo ha emesso un comunicato per chiedere
include gli impianti di gestione dell'oleodotto, i sistemi di
ai cittadini di non mettere il carburante nei sacchetti di plastica.
pompaggio e i sistemi di monitoraggio.
Anche una volta ripristinata l'operatività il mercoledì successivo,
Secondo quanto riportato, l'ambiente OT della Colonial Pipeline non
oltre 10.000 stazioni di rifornimento della costa orientale
è stato colpito direttamente. È stato criptato solo l'ambiente IT. La
continuavano a rimanere a secco.
Colonial Pipeline ha subito pagato il riscatto di 75 Bitcoin, che alla
data dell'attacco corrispondevano a circa 4,4 milioni di dollari. L'amministrazione Biden ha subito una pressione crescente
da parte delle forze politiche per risolvere il problema
Tuttavia, lo strumento fornito dagli hacker per decriptare il
dell'approvvigionamento di gas. Se la situazione si fosse protratta
sistema era così lento che è stato più semplice recuperare i dati
troppo a lungo (le stime variano dai tre ai quattro giorni in più),
attraverso i mezzi tradizionali. Non credo che l'azienda possa dire
l'impatto economico sarebbe stato più ampio. Il trasporto di
di aver ottenuto qualche vantaggio dal pagamento del riscatto.
massa, ad esempio, ne avrebbe risentito in maniera significativa,
Non potendo monitorare l'erogazione del gas né fatturare i e le persone non sarebbero state in grado di recarsi al lavoro.
consumi (dato che queste funzionalità si trovavano nell'ambiente IT
Ci si è chiesti con preoccupazione quali sarebbero stati gli effetti
aziendale), la Colonial Pipeline ha deciso di sospendere la fornitura,
a lungo termine.
e questo nonostante la rete OT fosse attiva e disponibile.
La Colonial Pipeline era anche preoccupata di garantire la
sicurezza della rete OT. Entro un'ora dall'attacco, l'azienda ha
sospeso le attività dell'oleodotto. Per sei giorni consecutivi non ha
erogato neppure un goccio di gas all'intera costa orientale.
© 2022 Cisco e/o relativi affiliati. Tutti i diritti sono riservati.6 Difendersi dalle minacce critiche: analisi delle principali violazioni e tendenze
Che cosa sappiamo sugli autori di questo attacco? "Il ransomware continua a
Ci sono alcuni punti interessanti da considerare.
rappresentare una minaccia critica alla
Immediatamente, nei forum clandestini e sul dark web si è
iniziato a vociferare che l'attacco doveva essere un errore.
sicurezza e, pertanto, va trattato come
Diversi gruppi hacker responsabili di altri attacchi
un problema di sicurezza nazionale."
ransomware hanno negato il proprio coinvolgimento
Questo significa che è necessaria una risposta governativa
nella vicenda della Colonial Pipeline. Alcuni hanno
a 360 gradi. Devono essere coinvolti il Dipartimento di Stato,
persino messo in piedi policy formali dichiarando di non
il Tesoro, il Cyber Command, il Dipartimento di Giustizia e le
voler attaccare infrastrutture critiche né ospedali.
rispettive controparti nel resto del mondo, perché si tratta di un
Alcuni forum underground hanno imposto delle regole per problema di portata globale.
impedire agli utenti di promuovere servizi ransomware, così Non basta più emettere comunicati e avvisi e avviare ogni tanto
da evitare di attirare l'attenzione delle forze dell'ordine. un'indagine delle forze dell'ordine seguendo qualche pista
Nei mesi successivi, le cose sono rimaste invariate. La comunità nell'Europa dell'Est che poi si rivela essere un vicolo cieco.
hacker ha capito che questo evento ha cambiato le carte
in tavola per i Paesi e le amministrazioni pubbliche, che ora
A luglio, si è verificato un altro attacco
iniziano ad affrontare il ransomware in modo diverso.
ransomware alla catena di approvvigionamento
Faccio parte della Ransomware Task Force (RTF), un'iniziativa di Kaseya, questa volta da parte del gruppo
volta a definire alcune raccomandazioni esaustive su come REvil. In base a quanto accaduto quest'anno e
gestire questa minaccia, rivolte alle amministrazioni pubbliche di in prospettiva per il 2022, che cosa puoi dirci
tutto il mondo e ai partner nel settore privato. Abbiamo presentato riguardo alla natura degli attacchi ransomware e
i risultati un paio di settimane prima dell'attacco alla Colonial alla catena di fornitura?
Pipeline. Uno dei consigli che diamo ai Paesi è di trattare il
La portata di un attacco ransomware alla catena di fornitura
ransomware come un problema di sicurezza nazionale. è un aspetto che ci preoccupa da sempre. Nel 2017, con
In quest'ottica, l'amministrazione Biden ha accelerato NotPetya, abbiamo visto che cosa comporta un attacco
l'emissione di alcuni ordini esecutivi. L'U.S. Cyber Command ha di tipo ransomware sferrato attraverso una catena di
incrementato le proprie attività, e l'FBI ha recuperato parte delle fornitura. Quell'attacco ha causato perdite per oltre 10
miliardi di dollari a livello globale. Sia chiaro: non si è
somme versate dall'azienda con il riscatto.
trattato di ransomware vero e proprio, ma di un attacco
L'80% dell'importo è stato recuperato ma, purtroppo, nel sponsorizzato dallo Stato con il solo scopo di distruggere,
frattempo il Bitcoin è crollato. Alla fine, la somma recuperata e progettato per sembrare un attacco ransomware.
valeva solo 2,2 milioni di dollari.
"In questo momento, la catena di
Poco dopo l'attacco, in un articolo hai detto che fornitura è il principale problema
"quando si tratta di ransomware, le preghiere non di sicurezza. È la questione più
bastano." Ci spieghi cosa intendevi?
preoccupante che mi viene in mente."
Fino a quel momento, la risposta governativa alle minacce
informatiche consisteva principalmente nell'informare i cittadini. Kaseya è un'azienda che offre servizi di amministrazione di reti e
Per dare la caccia ai gruppi ransomware, i governi si affidavano sistemi rivolti alle medie imprese. Questo è lo scenario ideale per
ai metodi tradizionali di applicazione della legge. gli hacker. Si è trattato di una minaccia a un livello completamente
nuovo.
Purtroppo, già da tempo questo approccio si era rivelato
inefficace. La percentuale di arresti rimaneva incredibilmente Non è qualcosa che accade normalmente. È un tipo di attacco
bassa rispetto all'impatto catastrofico che il ransomware può molto complesso: gli hacker, infatti, colpiscono più aziende
causare. contemporaneamente e, al tempo stesso, devono fornire diverse
serie di chiavi di decrittografia in ciascuno di questi ambienti. Se
una delle aziende paga il riscatto e ottiene una chiave, i criminali
informatici devono assicurarsi che con quella stessa chiave non
sia possibile decriptare anche gli altri sistemi.
È uno dei motivi per cui questo tipo di attacco non è così diffuso.
Inoltre, gli hacker fanno soldi anche colpendo un'azienda alla
volta, come avviene in genere.Difendersi dalle minacce critiche: analisi delle principali violazioni e tendenze 7
Che consiglio puoi dare ai responsabili della
sicurezza che devono proteggere l'azienda dagli
attacchi ransomware?
In passato, avrei detto di applicare le patch o usare
l'autenticazione a due fattori. Sebbene questi aspetti siano
ancora importanti, il consiglio principale è di fare attenzione.
Insieme al team di Cisco Talos Incident Response,
abbiamo esaminato le ultime evoluzioni degli attacchi
ransomware, e non sembrano esserci grandi cambiamenti
nelle tecniche degli hacker. Raramente ci capita di trovare
un attacco ransomware sferrato con metodi nuovi.
"Se si presta molta attenzione
al panorama delle minacce e si
investono risorse e tempo per
bloccare le vie di ingresso utilizzate
dagli hacker (come furto di credenziali
e vulnerabilità specifiche), la gestione
degli attacchi ransomware sarà
sicuramente molto più efficace."
La maggior parte delle volte, ai criminali informatici non
importa chi colpiscono. Ciò che conta per loro è rimpinguarsi
le tasche. Se si fa in modo di essere un obiettivo molto difficile,
è probabile che gli hacker decidano di lasciar perdere e
attacchino prede più facili.
Altre risorse:
Per conoscere le ultime novità sulla sicurezza delle infrastrutture critiche leggi
l'articolo di Talos sull'attacco alla Colonial Pipeline.
© 2022 Cisco e/o relativi affiliati. Tutti i diritti sono riservati.Debito di sicurezza: un'opportunità per gli hacker Intervista a Dave Lewis Consulente CISO, Cisco Secure
Difendersi dalle minacce critiche: analisi delle principali violazioni e tendenze 9
Che cos'è il debito di sicurezza e perché sta
diventando un problema sempre più rilevante?
Come si crea il debito di
Ho coniato l'espressione "debito di sicurezza" circa 20 anni fa, a
sicurezza?
seguito della mia esperienza di collaborazione con varie società • Per garantire il rispetto delle tempistiche dei
elettriche. Avevo notato che molte di queste aziende utilizzavano progetti si accetta di correre dei rischi
sistemi obsoleti o non effettuavano la manutenzione richiesta. Di
conseguenza, erano più esposte agli attacchi informatici. • Le risorse economiche vengono destinate
altrove
Possiamo parlare di una sorta di debito tecnologico che si
manifesta come un problema di sicurezza; ciò può dipendere da • Si tralasciano le patch perché tanto i sistemi
una mancanza di tempo o di manutenzione adeguata, oppure
sono protetti dal firewall
semplicemente dall'interazione con un altro sistema introdotto
nell'ambiente.
Puoi fare un esempio che illustri il concetto di Come fanno gli hacker a sfruttare il
debito di sicurezza in base alla tua esperienza? debito di sicurezza di un'azienda?
Potrei fare moltissimi esempi diversi, ma uno dei più indicativi Molte aziende diventano bersagli facili per gli hacker. Ad esempio,
riguarda il periodo in cui ho lavorato per un'azienda di potrebbero mancare le patch di alcune vulnerabilità perché le
tecnologia (tengo a precisare che non si tratta di Cisco). aziende non hanno le risorse tecniche o non possono contare su
La prima settimana abbiamo svolto una valutazione di un partner esterno di fiducia.
tutti i nomi utente e le password usate in azienda. Inoltre, spesso le tempistiche non vengono adeguatamente
Abbiamo trovato 10 account con lo stato di "super utente" pianificate. Si implementano i progetti senza definire un piano per
legati a persone che ormai non facevano più parte dell'organico. la loro conclusione. Di conseguenza, alcuni di questi proseguono
La maggior parte di esse aveva cambiato lavoro, mentre ben oltre la loro vita utile, il che purtroppo introduce nell'ambiente
purtroppo una era deceduta nei cinque anni precedenti. vulnerabilità per la sicurezza.
Tuttavia, il suo account negli ultimi due anni era stato utilizzato. L'hacker ha varie possibilità. Ad esempio, potrebbe usare Shodan
Per fortuna, non per scopi malevoli. Ma la fortuna non è o la scansione oppure semplicemente l'intelligence open source,
un criterio su cui basare il proprio programma di sicurezza. andando su LinkedIn per vedere i CV delle persone e scoprire i
È fondamentale avere visibilità su ciò che accade nell'ambiente. prodotti su cui hanno lavorato.
Quindi, può desumere i prodotti che potrebbero essere usati
in quell'ambiente e confrontarli con le vulnerabilità pubblicate o
reperibili sul dark web.
© 2022 Cisco e/o relativi affiliati. Tutti i diritti sono riservati.10 Difendersi dalle minacce critiche: analisi delle principali violazioni e tendenze
Quale consiglio puoi dare alle aziende che Qual è l'impatto del debito di sicurezza
presentano un debito di sicurezza e vogliono su altri fattori di rischio?
risolvere il problema? Il debito di sicurezza ha un impatto sulla catena di fornitura,
Le aziende possono fare tre cose. Innanzitutto, svolgere non solo fisicamente ma anche a livello di software.
una valutazione delle risorse presenti nell'ambiente, degli
utenti, delle applicazioni e dell'hardware utilizzati. Queste
informazioni devono essere facilmente accessibile.
"Se si usano applicazioni sviluppate
In secondo luogo, creare un registro dei rischi per tenere da terze parti, assicurarsi che i
traccia dei problemi individuati. Questo è utile non solo fornitori seguano un processo
ai fini del monitoraggio, ma anche per i controlli dei
revisori. Infatti, il registro dei rischi contiene le informazioni definito e ripetibile che non introduca
sui problemi rilevati e il piano d'azione per gestirli.
vulnerabilità nell'ambiente."
Il terzo punto, nonché il più importante, è definire
processi ripetibili. In passato ho lavorato per alcune
Mi è capitato nella mia carriera di vedere situazioni del genere.
aziende dove, in caso di problemi, non si sapeva mai chi
Le vulnerabilità venivano introdotte nel sistema non con dolo, ma
dovesse gestire che cosa e spesso dominava il panico.
perché nessuno controllava le librerie.
In genere, consiglio di adottare un approccio analitico alla
"Definire un protocollo per capire valutazione del proprio ambiente. Bisogna chiedersi se i sistemi
chi chiamare in caso di problemi, in essere sono adatti alle esigenze attuali, o se è possibile
sostituire su larga scala alcuni specifici componenti hardware. Un
specificando i compiti di ciascun aggiornamento della tecnologia migliora la latenza dei dispositivi
e consente di risolvere molti dei problemi di sicurezza del passato.
ruolo."
Inoltre, l'approccio alla gestione della sicurezza deve essere
democratico. In molti Paesi del mondo, il lavoro ibrido sembra
È importante non associare un'attività al nome di una persona,
essere la tendenza dominante per il prossimo futuro.
ma al ruolo; così, si eviteranno problemi di attribuzione quando
qualcuno se ne va o entra in azienda. Individuare questi ruoli È quindi essenziale fornire agli utenti finali tutti gli strumenti
consente di seguire un percorso preciso per gestire eventuali necessari per lavorare in condizioni di sicurezza. Non possiamo
imprevisti. pretendere che usino strumenti scritti da tecnici per i tecnici.
Altre risorse:
Per saperne di più su come gestire il debito di sicurezza, leggi l'ultimo report di
Duo Trusted Access.
Lo Studio sui risultati della sicurezza, Volume 2 include dati strategici sul modo in
cui le aziende affrontano questo problema.Le vulnerabilità più critiche (che potresti non aver considerato) Intervista a Jerry Gamblin, responsabile Security Research, Kenna Security (ora parte di Cisco)
12 Difendersi dalle minacce critiche: analisi delle principali violazioni e tendenze
CVE al giorno 2021
Puoi parlarci del lavoro che svolgi con il tuo team per rilevare le GIORNI DELLA
SETTIMANA S S F T W T M
minacce? 8 2 30
Il team Kenna monitora attentamente tutte le vulnerabilità pubblicate, e assegna 2 97 60 54 48 44
Gen
loro un punteggio in base al rischio per aiutare i clienti a capire su quali aspetti 2 52 32 169 178 84
concentrarsi per primi. 12 49 236 48 14
1 4 60 31 43 160 4
Per darvi un'idea del panorama delle minacce e di come si sta evolvendo, 5 21 37 113 77 40 47
quest'anno per la prima volta abbiamo rilevato oltre 20.000 CVE (Common 4 2 59 86 113 146 76
Feb
Vulnerabilities and Exposures), vale a dire 55 CVE al giorno. La maggior parte dei 1 2 44 37 110 55 41
team di sicurezza non hanno le risorse per valutare più di 55 CVE ogni giorno e 16 74 74 41 64 71
capire quali vulnerabilità rappresentano un rischio per l'ambiente e quali no. 6 1 62 66 63 33 29
5 44 121 100 90 25
I modelli più comuni per la gestione delle vulnerabilità spesso richiedono di applicare Mar
6 6 45 93 38 22 65
le patch a tutte le vulnerabilità con un punteggio CVSS (Common Vulnerability 2 72 71 86 77 40
Scoring System) superiore a 7. Il problema è che, al momento, il punteggio CVSS 1 178 64 56 81 40
medio è di 7,1, e questo significa applicare le patch ad almeno la metà delle CVE. 9 2 55 64 62 89 65
Apr
8 4 21 55 74 206 56
Sappiamo che il problema è sempre più diffuso (non ci piace dire che sta
6 4 48 295 40 30 44
peggiorando, perché la stragrande maggioranza delle CVE sono vulnerabilità valide).
1 51 112 58 50 68
In parte, il motivo è legato a una maggiore segnalazione e visibilità delle minacce.
105 135 57 13 19
GitHub, che ora è una CNA (CVE Numbering Authority), lo scorso anno ha fatto Mag
5 2 168 64 43 141 56
uscire la maggior parte delle CVE tramite progetti open source. 18 43 59 29 41 76
Alcune vulnerabilità del 2021 sono ben note (ad esempio, Log4j e le vulnerabilità 4 61 88 100 66 78
7 63 50 76 96 2
di Microsoft Exchange). Tuttavia, diverse vulnerabilità critiche sono meno note e
1 14 158 74 186 108 63
potrebbero sfuggire alle maglie dei sistemi di rilevamento. Giu
1 41 32 85 56 32
Molte di queste colpiscono applicativi open source come Chrome ed Edge, e alcune 1 47 105 31 104 82
vulnerabilità sono specifiche per Windows, ad esempio le CVE di PrintNightmare 63 57 66 61 72
emerse l'estate scorsa. 4 2 61 66 108 27 5
Lug
1 6 58 82 171 139 88
34 1 20 91 215 44 60
1 6 83 11 11 6 62
68 11 52 91 84 117 116
Riepilogo CVE 2021 Ago
3 1 65 167 125 86 68
6 1 73 36 95 72 106
• Totale CVE: 20.129 8 1 33 59 68 195 94
4 1 27 54 115 69 87
• CVE al giorno (in media): 55,3 2 2 50 140 278 122 37
Set
2 4 50 48 153 100 66
• Punteggio CVSS medio: 7,1 2 1 26 104 29 25 169
5 65 53 72 51 115
1 61 72 123 58 95
Ott
Riepilogo CVE gennaio 2022 59
99
34 116 72
59 191 120 64
66
• Totale CVE: 2.020 11 1 32 105 70 43 84
6 100 52 88 86 30
• CVE al giorno (in media): 65,16 17 14 73 23 132 69 89
Nov
1 19 76 66 104 51 65
• Punteggio CVSS medio: 6,86 2 1 17 1 46 90 50
- 250
6 1 31 38 73 50 52
• Crescita a gennaio 2021 (1.523): 32% o +497 4 1 33 52 139 136 53
- 200
Dic - 150
3 3 65 44 252 114 108
- 100
220 11 15 94 117 65 70
- 50
50 21 28 94
Fonte: Kenna SecurityDifendersi dalle minacce critiche: analisi delle principali violazioni e tendenze 13
CVE alla settimana nel 2021:
Nuove
CVE
600
500
400
300
200
100
Gen Feb Mar Apr Mag Giu Lug Ago Set Ott Nov Dic Gen Feb Mar
2021 2022
Fonte: Kenna Security
La scoperta di nuove vulnerabilità spesso non è Tra le istituzioni di rilievo, la CISA (Cybersecurity and
una notizia da prima pagina, ma puoi dirci perché Infrastructure Security Agency) invita le aziende a trasformare il
è importante prestare maggiore attenzione a proprio approccio alla gestione delle vulnerabilità. Ecco quanto
dichiarato dalla CISA nella direttiva operativa vincolante (BOD)
questo tema?
22-01 del novembre 2021:
Spesso, gli addetti alla sicurezza che devono gestire le
vulnerabilità fanno fatica a ottenere l'attenzione da parte della
dirigenza o le risorse necessarie, poiché sono proprio le CVE "Per raggiungere i loro scopi, gli hacker
di cui non si legge sui giornali a rappresentare la minaccia più non sfruttano solo le vulnerabilità più
grande per le aziende.
Delle oltre 20.000 CVE esistenti, solo alcune ricevono copertura
critiche; infatti, alcuni degli attacchi
mediatica; tuttavia, le vulnerabilità che presentano un rischio di portata maggiore e con un impatto
più significativo per l'azienda sono quelle di cui si sente meno
parlare.
più devastante si sono basati su
Per la gestione delle vulnerabilità, quello che conta è trovare vulnerabilità classificate come ad alto,
il giusto equilibrio delle risorse richieste. Le notizie corrono medio o persino basso rischio. Ai fini
velocemente, la pressione da parte degli stakeholder inizia a
farsi sentire e l'intera settimana di lavoro viene stravolta quando, delle misure correttive, è fondamentale
a causa di una mancanza di informazioni, la nuova vulnerabilità
analizzare le vulnerabilità note e
rilevata viene ritenuta una priorità. Per riconoscere ciò che
conta davvero, è utile definire un elenco dei rischi organizzato sfruttate dagli hacker."
per priorità (nonché un elenco delle misure correttive).
- CISA, Direttiva operativa vincolante (BOD) 22-01
© 2022 Cisco e/o relativi affiliati. Tutti i diritti sono riservati.14 Difendersi dalle minacce critiche: analisi delle principali violazioni e tendenze
Su cosa ha lavorato il team nel 2021? Puoi Inoltre, per ridurre al minimo le possibilità di un attacco,
evidenziare alcune delle vulnerabilità chiave? un approccio che si concentri sulle vulnerabilità con
codice exploit disponibile pubblicamente è 11 volte
Abbiamo trascorso molto tempo sul motore V8 di Chrome. Anche più efficace rispetto all'uso del punteggio CVSS.
Microsoft ha introdotto un cambiamento importante quest'anno
Se vogliamo individuare una tendenza prevalente, possiamo dire
con il passaggio da Internet Explorer a Microsoft Edge, basato
che abbiamo molto da guadagnare - o forse sarebbe meglio dire
su Chromium; stiamo quindi cercando di supportare i clienti nel
che abbiamo la possibilità di ridurre significativamente i rischi -
passaggio da un browser open source a uno proprietario.
se ci concentriamo innanzitutto sulle vulnerabilità già sfruttate
Inoltre, le vulnerabilità della virtualizzazione sono sempre più dagli hacker per prevedere quale sarà il loro prossimo obiettivo.
diffuse. Quest'anno abbiamo rilevato il numero di vulnerabilità
VMware ESXi ad alto rischio più elevato di sempre.
"Le aziende devono passare a un
Iniziamo a notare anche un nuovo fenomeno, che internamente
chiamiamo "catasta di CVE" (non abbiamo ancora trovato un sistema di gestione delle vulnerabilità
termine appropriato per descriverlo). Viene rilevata una nuova basato sui rischi, che prevenga
CVE poi, entro circa due settimane, ne vengono aggiunte altre
allo stesso codice. Ne sono un esempio Log4j e PrintNightmare, l'esecuzione di codice dannoso da
a cui sono assegnate più CVE univoche. remoto o rilevi l'esistenza di codice
In questi casi, è bene monitorare i progressi del fornitore nella
exploit pubblicato. Questo processo
gestione delle vulnerabilità RCE (Remote Code Execution), in
particolare di quelle con ampie superfici di attacco (e un impatto è assolutamente fondamentale per
potenziale importante). identificare le vulnerabilità chiave che
potrebbero esporre maggiormente
Puoi descrivere alcune tendenze nelle l'azienda a un attacco."
vulnerabilità?
Quest'anno, la portata e l'impatto delle vulnerabilità saranno Qual è il consiglio più importante che puoi dare ai
ancora maggiori. Abbiamo eseguito un modello ogni notte responsabili della sicurezza per avere il coltello dalla
utilizzando il framework Prophet di Facebook, e i risultati parte del manico nella gestione delle vulnerabilità?
indicano che quest'anno ci saranno oltre 23.000 CVE.
Mai disattivare l'applicazione automatica delle patch. All'inizio
Inoltre, il punteggio CVSS in genere non ci aiuta a capire della mia carriera informatica, ho lavorato per un po' sia nel
dov'è il problema. Il nostro report Priority to Prediction ha settore pubblico che in quello privato, quindi so come funziona:
ricevuto attenzione mediatica poiché affermiamo che Twitter in genere le patch automatiche vengono disattivate perché
è un miglior indicatore della possibilità di un exploit. nessuno sa quale problema potrebbero causare. Se si lascia
tutto attivo, la copertura è assai maggiore.
Le patch automatiche evitano di doversi occupare della
manutenzione ordinaria; così, si avrà tutto il tempo per
approfondire le vulnerabilità che richiedono molto lavoro per le
verifiche e applicazione delle patch.
Altre risorse:
Il blog di Kenna Security è sempre aggiornato con le informazioni più recenti sulle
vulnerabilità che potrebbero non ricevere copertura mediatica.
Jerry gestisce anche un suo progetto personale disponibile su CVE.ICU: ogni
giorno, un notebook esegue un'analisi dei dati open source sulle CVE.Log4j e come prepararsi agli attacchi zero-day Intervista a Liz Waddell, Practice Lead, Cisco Talos Incident Response
16 Difendersi dalle minacce critiche: analisi delle principali violazioni e tendenze
Il team di Cisco Talos Incident Response (CTIR) Cronologia dell'exploit della TALOS
era in prima linea per supportare i clienti nella vulnerabilità di Log4j
gestione dell'exploit alla vulnerabilità di Log4j 24 nov Il team di sicurezza cloud di Alibaba segnala ad Apache
la vulnerabilità RCE di Apache Log4j2.
avvenuto alla fine del 2021. Per prima cosa, 2021
puoi parlarci di come si è verificato l'exploit?
Il 24 novembre 2021, il team addetto alla sicurezza del cloud di 30 nov La richiesta pull GitHub rende pubblica la vulnerabilità.
Alibaba ha avvertito Apache della presenza di una vulnerabilità 2021
RCE (Remote Code Execution) all'interno di Apache Log4j2, una
libreria Java per la gestione dei log. Questo aspetto è importante 1° dic Primo exploit segnalato.
ed entrerà in gioco in seguito. 2021
Esistono almeno 1.800 librerie di codici e progetti integrati nei 2 dic Primo exploit rilevato da Cisco.
servizi e negli endpoint cloud che usano questa specifica libreria 2021
di gestione dei log. Quando è stata identificata, l'esposizione alla
vulnerabilità di Log4j era, come hanno scritto i giornali, mostruosa. 9 dic
Prima patch rilasciata da Apache.
Il 30 novembre, un ricercatore di sicurezza ha pubblicato su 2021
Twitter, tramite un profilo anonimo con l'handle @p0rz9, un Pubblicazione del blog di Cisco Talos con le prime
collegamento GitHub a una prova di concetto. Il giorno dopo sono
10 dic informazioni.
2021 Rilevamento di campagne di exploit attive, inizialmente
uscite le prime notizie sull'exploit di questa vulnerabilità nelle per distribuire miner.
aziende di tutto il mondo.
Il 9 dicembre il problema ha iniziato a ricevere una reale
attenzione da parte dell'opinione pubblica, e Apache ha rilasciato 11 dic Osservate attività relative alla botnet Mirai;
pubblicazione di ulteriori informazioni.
la prima patch. Poi, il nostro team (Cisco Talos) ha iniziato a 2021
vedere emergere exploit e alcuni strani fenomeni. Gli utenti di
Minecraft hanno iniziato a segnalare che gli hacker potevano 13 dic Cisco Talos riscontra la presenza di e-mail usate come
vettore di attacco e di nuove zone d'ombra e abuso di
eseguire codice dannoso su client e server che eseguivano la 2021 protocolli. Aggiornamento del blog con informazioni
versione Java del famoso gioco. aggiuntive.
Il 10 dicembre abbiamo pubblicato la prima edizione del blog di Dichiarazione della CISA su Log4j2.
Talos, e da allora continuiamo ad aggiornarlo con le informazioni
più recenti. Quel periodo, che io chiamo "il coacervo delle
vulnerabilità", è stato davvero movimentato, con una quantità 14 dic Apache pubblica la patch aggiuntiva 2.16.0 e consiglia a
tutti gli utenti di eseguire l'aggiornamento.
immane di informazioni tra cui districarsi. 2021
Cisco Talos scopre che Log4j2 è incorporata in diverse
fonti di metadati, tra cui le immagini e i documenti Word.
Gli addetti alla sicurezza cercavano di capire come rilevare le Aggiornamento del blog con informazioni aggiuntive.
vulnerabilità, le aziende cercavano di capire se erano esposte e
i ricercatori cercavano di capire quanti erano gli utenti vulnerabili,
analizzando tutto il possibile. Ecco perché, per gli addetti alla 18 dic Apache rilascia la patch aggiuntiva 2.17.0 per gestire una
nuova vulnerabilità DoS.
sicurezza, era così importante poter fare affidamento su un'unica 2021
fonte di informazioni attendibili. C'era bisogno di qualcuno che li
aiutasse a orientarsi in tutto quel trambusto.
"Se c'è qualcosa che abbiamo imparato Questo non significa che non stesse accadendo nulla. Talos
sapeva che erano attive alcune campagne, tra cui tentativi di
dall'esperienza dello scorso anno è exploit da parte dei miner o altri hacker spinti da motivazioni
finanziarie. Avevamo ricevuto segnalazioni relative ad attività
che la prima patch per un'applicazione criminali a livello nazionale e rilevato un'attività capillare negli
vulnerabile non è mai l'unica." honeypot e nei dati telemetrici.
Dal 5 gennaio, quando il National Health Service (NHS) britannico
Per Log4j è andata proprio così, e prima del 18 dicembre sono ha dichiarato di aver rilevato vulnerabilità di Log4Shell nei server
state rilasciate tre patch. Dopo l'attacco alla SolarWinds, che
VMware Horizon, il numero di exploit segnalati per la vulnerabilità
ha rovinato le vacanze dello scorso anno, ci aspettavamo di
ha iniziato ad aumentare.
trascorrere il periodo di Natale 2021 in modo molto simile.
Per fortuna, però, il numero di segnalazioni dei clienti relative
a Log4j durante le feste è stato abbastanza contenuto.Difendersi dalle minacce critiche: analisi delle principali violazioni e tendenze 17
Piano di Talos Incident Response per la gestione degli attacchi zero-day
Il nostro piano di azione in sette punti può essere utile alle aziende che devono gestire la vulnerabilità di Log4j e potenziali attacchi
zero-day nel 2022.
1 Informazioni di contesto e sulla minaccia
È necessario fare affidamento su un'unica fonte di 4 Come faccio a sapere se la mia azienda è
stata colpita da un exploit?
informazioni attendibili, che i clienti devono poter usare È possibile effettuare diverse verifiche per determinare
per definire i piani di sicurezza delle proprie aziende. se la propria azienda è stata colpita da un exploit; di
Sul blog di Talos pubblichiamo sempre le informazioni seguito è riportato un elenco definito dal nostro team.
più aggiornate. Alcuni di questi aspetti riguardano Log4j nello specifico.
Gli altri sono aspetti più generali da monitorare. Ecco
alcuni esempi:
2 Cosa può fare la minaccia
Ci interessa identificare non solo la vulnerabilità, ma
• Ricercare nei log dei dispositivi di sicurezza
perimetrale (come firewall, IDS/IPS) la presenza di
anche il modo in cui può essere sfruttata. La CVE indicatori di compromissione (IOC).
può rappresentare un problema? Nel caso delle
• Esaminare i protocolli RMI e LDAP e le porte sul
vulnerabilità di Log4j e Microsoft Exchange, la risposta
perimetro della rete. Tramite questi protocolli, è
è decisamente sì.
possibile stabilire eccezioni all'elenco bloccati per le
Gli hacker possono prendere il controllo di un sistema? comunicazioni note e attendibili, ove appropriato.
Cosa possono fare una volta ottenuto il controllo?
• Esaminare i log degli eventi del sistema operativo
Possono spostarsi lateralmente e rubare i dati o
per rilevare le richieste HTTP sospette o dannose.
distribuire ransomware?
• Esaminare i log dei server web per rilevare gli IOC
Le risposte a queste domande potranno aiutarci
correlati.
nell'analisi se il percorso dell'exploit dovesse proseguire.
• È possibile includere eventuali script per aiutare gli
analisti (o i clienti) a capire se l'applicazione si trova
3 Come sapere se si è vulnerabili? su un dato sistema (ad esempio librerie Log4j).
Questa è la domanda che ci fanno più spesso.
5
he cosa fare se si è vulnerabili ma non si è
C
Nel caso della vulnerabilità di Log4j, bisogna stati colpiti da un exploit?
innanzitutto sapere quali sistemi eseguono Log4j.
In base ai dati attuali, identifichiamo e condividiamo
Non esiste un unico punto in cui può emergere il modo migliore per mitigare le minacce. A volte
una vulnerabilità legata a Log4j all'interno di basta semplicemente applicare le patch al sistema.
un'applicazione. Qualsiasi posizione in cui Ad esempio, nel caso di Log4j, è necessario
l'applicazione registra dati controllati dall'utente tramite disabilitare Java Naming and Directory Interface (JNDI)
Log4j potrebbe essere usata come vettore di minacce. aggiornandola con la patch più recente. Oppure, se non
Ad esempio, l'app potrebbe registrare gli URI è possibile applicare le patch, cerchiamo altri metodi
controllati dagli utenti, gli agenti utente in ingresso e per arginare la minaccia.
i parametri POST nonché i file forniti dagli utenti. In
molti casi, potrebbe esserci una relazione indiretta
tra l'inserimento di un valore influenzato dall'utente
e l'uso di tale valore dal framework di Log4j. Questo
6 he cosa fare se si è vulnerabili e si è stati
C
colpiti da un exploit?
Dal punto di vista del cliente, dipende dalla situazione,
complica ulteriormente la valutazione del rischio di un
ma nel caso di Log4j è molto semplice: è necessario
particolare percorso.
seguire i passaggi dall'1 al 5 e attivare il piano
Inoltre, non sono a rischio soltanto i sistemi aziendali, aziendale di risposta agli incidenti. E chiamare noi.
ma anche quelli dei fornitori e dei partner. Per tale
ragione, quando si è verificato questo exploit, si è
scatenato il panico generale. 7 Indicatori di compromissione (IOC)
L'elenco degli indicatori di compromissione (IOC) è una
delle risorse più utili da creare e tenere aggiornate. Sul
blog di Talos sono disponibili tutte le informazioni, tra
cui l'elenco di IOC. In genere, gli IOC sono IP, domini,
agenti utente o specifici hash SHA-256 web shell,
come nel caso di Log4j.
© 2022 Cisco e/o relativi affiliati. Tutti i diritti sono riservati.18 Difendersi dalle minacce critiche: analisi delle principali violazioni e tendenze
Quando è stato scritto questo report (febbraio Secondo te, quale potrebbe essere l'impatto di
2022), qual era lo stato attuale della problematica Log4j quest'anno?
legata a Log4j? La vulnerabilità di Log4j continuerà a essere sfruttata anche
Abbiamo scoperto che le vulnerabilità di Log4Shell che nel 2022. È già accaduto con l'exploit a VMware Horizon. Per
colpivano il sistema sanitario nazionale venivano sfruttate per difendersi, bisogna riuscire a individuare con anticipo i potenziali
stabilire delle web shell. Purtroppo, gli hacker possono usare le punti di accesso che un hacker potrebbe usare per ottenere il
web shell per portare avanti svariati tipi di attività criminali: invio controllo dell'ambiente.
di malware, attacchi ransomware, rick roll e furto di credenziali È fondamentale prestare attenzione a eventuali segnali di attività
o dati. che potrebbero essere sfuggite ai controlli iniziali. Sono presenti
Il punto è che, una volta ottenuto l'accesso alla rete di un segnali di spostamenti laterali? Sono presenti indicatori di
prodotto VMware vulnerabile, i criminali informatici possono compromissione dell'ambiente?
sfruttare queste vulnerabilità per ottenere il controllo completo
del sistema.
Come riporta Huntress, a gennaio c'erano circa 25.000 server Puoi dare qualche altro consiglio ai responsabili
VMware Horizon accessibili da Internet. Inoltre, sempre secondo della sicurezza che, nel corso dell'anno, dovranno
Huntress, un gran numero di questi server era senza patch. gestire questa vulnerabilità o potenziali attacchi
Gestire queste vulnerabilità è complicato, poiché molti dei
zero-day?
file eseguibili sono esclusi dal monitoraggio AV e EDR. Come Bisogna sempre ricordare che, durante un attacco zero-day, gli
abbiamo potuto riscontrare sia noi che molte altre società di exploit associati a una vulnerabilità aumentano dopo che questa
sicurezza, gli hacker sfruttano attivamente questi punti deboli. viene resa pubblica. È consigliabile registrare le informazioni
note e tenere sempre aggiornata la documentazione.
Attualmente, l'exploit che vediamo più spesso è diretto ai server
VMware Horizon. Purtroppo non mi è possibile quantificare il tempo che una
documentazione accurata delle informazioni consente di
Tuttavia, svolgiamo regolarmente le attività di monitoraggio
risparmiare, in base alla mia esperienza negli ambienti dei
e prestiamo attenzione a ciò che accade sul dark web, per
clienti. Dovrete fidarvi della mia parola, ma credete che è
garantire una risposta il più efficace possibile a eventuali
davvero molto tempo.
cambiamenti ed exploit futuri.
Questa applicazione si trova in moltissimi sistemi. Il blog di Talos
riporta tutti gli ultimi aggiornamenti in merito.
Altre risorse:
Leggi il blog di Cisco Talos per saperne di più sulle tendenze 2021 nella risposta
agli incidenti.
Se l'azienda si trova in una situazione di emergenza per la sicurezza, contattare
il team di Cisco Talos Incident Response: USA: 1-844-831-7715 | Europa: (44)
808-234-6353Ultime notizie su Emotet Intervista a Artsiom Holub, analista della sicurezza senior, Cisco Umbrella
20 Difendersi dalle minacce critiche: analisi delle principali violazioni e tendenze
Puoi inquadrare Emotet all'interno del Nel 2020, il settore della sicurezza ha fatto uno sforzo
panorama delle minacce e spiegare in che congiunto per debellare Emotet. La campagna ha avuto un
modo questa minaccia si è estesa? discreto successo e, di conseguenza, ci sono stati diversi
periodi di inattività.
Emotet ha una lunga storia. Questo malware è apparso per la
prima volta nel 2015 sotto forma di semplice trojan bancario. Tuttavia, gli hacker non rinunciano tanto facilmente a un'attività
All'epoca giravano diversi trojan, ma Emotet era leggermente così redditizia ed efficace. I periodi di quiete apparente servono
diverso, poiché era stato sviluppato da un team molto valido. non solo a eludere il rilevamento, ma anche a pianificare modi
Infatti, il malware mutava costantemente. per sferrare attacchi ancora più distruttivi in futuro.
Nel 2016, è stato riconfigurato come loader. Nel 2017, ha iniziato Sul finire del 2020, Emotet è tornato sulla scena con un codice
a diffondersi come modello LaaS (Loader as a Service). È a quel rigenerato e nuovi modi per distribuire payload dannosi alle
punto che Emotet ha cominciato ad avere un impatto più ampio, aziende su larga scala. Si tratta di uno dei primi loader di
poiché si coordinava con altri malware quali TrickBot e QakBot. malware in grado di ottenere l'accesso alle reti aziendali, nei
settori pubblico e privato.
Il biennio 2018-2019 è stato prolifico per questo malware, e i tre
ransomware Emotet, TrickBot e Ryuk sono stati utilizzati insieme
per sferrare diversi attacchi di alto profilo.
In che modo è stata gestita l'attività
La rete informatica di Francoforte, in Germania, uno dei maggiori di Emotet nel 2021?
centri finanziari europei, è stata messa fuori uso da un attacco
A gennaio, con la collaborazione dei settori pubblico e privato
che utilizzava Emotet. Allentown, città della Pennsylvania, ha
nonché tramite un'operazione diretta dall'Europol e dall'Eurojust
subito un attacco malware che ha paralizzato i sistemi critici,
(European Union Agency for Criminal Justice Cooperation),
diffondendosi in maniera così estesa da richiedere interventi
le attività criminali legate a Emotet e buona parte della
correttivi per circa 1 milione di dollari. A Berlino, un attacco ai
relativa infrastruttura sono state nuovamente smantellate.
sistemi della più alta Corte dello Stato ha permesso di sottrarre
una grande quantità di dati riservati. Ad aprile, Emotet è stato disinstallato da tutti i dispositivi infetti
rilevati. Inoltre, un'operazione delle forze dell'ordine ucraine ha
Per capire la portata di Emotet e del malware collaterale con cui
condotto all'arresto di diversi membri appartenenti a gruppi di
veniva usato, si pensi che nel 2019 Cisco Umbrella bloccava fino
hacker che si ritiene siano i principali sviluppatori di Emotet.
a 4 milioni di richieste al mese.
All'epoca, speravamo di non sentir mai più parlare di
Evoluzione di Emotet Emotet. Sfortunatamente, non è andata così.
Evoluzione di Emotet
Smantellamento
Prima versione come Passaggio al modello LaaS Anno più prolifico, diversi dell'infrastruttura e arresto
trojan bancario (Loader as a Service) attacchi di alto profilo di diversi membri
2015 2017 2019 2021 (gennaio)
2016 2018 2020 2021 (novembre)
Riconfigurato come Collaborazione con Diversi periodi di Ritorno sulle scene,
loader TrickBot e QakBot inattività seguiti da aggiunta di payload
vari aggiornamenti CobaltStrike e relazioni
con il ransomware ContiDifendersi dalle minacce critiche: analisi delle principali violazioni e tendenze 21
Emotet modifica la kill chain del ransomware
Macros/Powershell
Emotet Link web Doc Emotet Programma di
intercettazione
Malspam di informazioni
Ransomware Trickbot
CLIENT WINDOWS
Movimento
laterale
Ransomware
Trickbot
RETE CONTROLLER DI DOMINIO ACTIVE DIRECTORY
Come ha fatto Emotet a ricomparire verso la fine Potresti approfondire questo aspetto? In base a
del 2021? quanto osservato, quali previsioni puoi fare sul
La natura delle operazioni e i profitti che questo malware ha possibile comportamento di Emotet nel 2022?
permesso di generare per la comunità hacker hanno fatto sì
che Emotet tornasse alla ribalta. Questa volta, è riapparso con
"Ritengo che Emotet potrebbe diventare
un'infrastruttura completamente riprogettata, che continua a
espandersi ancora oggi. la minaccia più pericolosa del 2022. Si
Il ritorno di Emotet ci fa capire che questo tipo di attività è tratta di un loader molto potente che è
sempre più in voga tra gli hacker. Bastano solo pochi gruppi
criminali ben organizzati per creare infinite opportunità per gli ricomparso sulla scena (di nuovo)."
sviluppatori di botnet Emotet.
Gli hacker hanno ampiamente utilizzato il ransomware Ryuk La previsione si basa sul fatto che sappiamo quanto la triade
insieme alla coppia TrickBot + Emotet, e ora Conti è la strada più Emotet, TrickBot e Ryuk abbia stravolto completamente il modo di
logica da seguire. operare non solo di questi ransomware, ma anche di tutti gli altri.
Questi malware vengono usati anche negli attacchi alla catena di
Il gruppo Conti organizza attacchi altamente mirati per
fornitura come livello di ingresso.
massimizzare le entrate. Se la situazione resta invariata e se
TrickBot ed Emotet diventeranno l'unico modo per distribuire Si tratta di una minaccia a più livelli. Innanzitutto, l'hacker deve
il ransomware Conti, è molto probabile che il prossimo anno ottenere l'accesso ai sistemi e creare dei profili molto dettagliati
queste campagne si diffonderanno in maniera sempre più delle reti da colpire. Quindi, l'attacco prevede la distribuzione
incontrollata. di strumenti quali TrickBot e Cobalt Strike, molto potenti, che
consentono di spostarsi lateralmente e prendere il controllo
dell'intera rete.
Adesso, con Conti, un provider di ransomware molto organizzato,
prevedo che nel 2022 ci saranno attacchi di alto profilo che
riguarderanno questa specifica kill chain.
© 2022 Cisco e/o relativi affiliati. Tutti i diritti sono riservati.22 Difendersi dalle minacce critiche: analisi delle principali violazioni e tendenze
Quale consiglio puoi dare ai responsabili della
sicurezza e in che modo possono proteggere le
aziende da questo tipo di attacchi?
Come per qualsiasi altro aspetto della sicurezza, non esiste
una formula magica per bloccare Emotet. Bisogna adottare un
approccio multilivello, sapere dove potrebbero trovarsi eventuali
punti deboli nella rete e applicare i controlli di sicurezza in quei
punti.
"In qualità di analista, consiglio sempre
di concentrare la strategia di difesa sul
rilevamento degli spostamenti laterali
e dell'esfiltrazione di dati in Internet.
Prestare attenzione in particolare
al traffico in uscita per rilevare le
connessioni dei criminali informatici."
Infine, consiglio di usare l'intelligence sulle minacce più recente
per essere sempre al passo con le tattiche, le tecniche e le
procedure (TTP) usate dagli hacker. Gli strumenti e le operazioni
possono variare, ma i criminali tendono a seguire le stesse
procedure che si sono già rivelate efficaci in passato.
Altre risorse:
Leggi il report di Cisco Umbrella: "The modern cybersecurity landscape: Scaling
for threats in motion".
Leggi il blog di Cisco Talos per saperne di più sul ritorno di Emotet.Il malware colpisce anche MacOS Intervista a Ashlee Benge, responsabile Strategic Intelligence and Data Unification, Cisco Talos
24 Difendersi dalle minacce critiche: analisi delle principali violazioni e tendenze
Puoi darci qualche informazione di base operativi. Che si tratti di Linux, Windows o MacOS, è possibile
sul malware che colpisce MacOS e sul usare lo stesso malware per eseguire codice dannoso e
perché hai scelto di parlarcene? compromette il sistema.
Questo è il mio ambito di ricerca. Ho scelto di parlarne in questo Nel momento in cui viene scritto questo report, Apple ha
report perché, per troppo tempo, abbiamo dato per scontato rilasciato due correzioni per vulnerabilità zero-day nei dispositivi
che MacOS fosse in qualche modo immune dal malware. Questo iOS e MacOS nei primi due mesi del 2022. Queste vulnerabilità
stereotipo perdura sin dall'introduzione del Mac sul mercato. che colpiscono il WebKit possono esporre gli utenti iOS e MacOS
agli attacchi che eseguono codice da remoto.
In qualità di ricercatori della sicurezza, riceviamo una mole
incredibile di informazioni. È compito del mio team farsi strada Gli hacker possono sfruttare queste gravi vulnerabilità per
tra tutti questi dati per identificare eventuali cambiamenti nel espandere la propria presenza in una rete già compromessa.
comportamento degli hacker. Qualsiasi cambiamento lancia un Tutto dipende da cosa vogliono fare una volta ottenuto
campanello di allarme, e da lì parte la caccia alle minacce nuove l'accesso iniziale.
ed emergenti. Spesso, viene rilasciato ed eseguito malware secondario. Potrebbe
È quanto avvenuto di recente con il malware che attacca MacOS. trattarsi di cryptojacker o ransomware, oppure di una backdoor.
MacOS diventa una superficie di attacco sempre più attraente e, Attraverso una backdoor, è possibile sottrarre informazioni
nel 2021, abbiamo scoperto nuovi tipi di malware diretti a questo sensibili e utilizzarle per scopi ricattatori o per danneggiare in
sistema operativo che hanno destato preoccupazione. altro modo l'organizzazione colpita. Gli hacker potrebbero anche
Sempre più spesso, rileviamo malware che colpisce il sistema rendere inutilizzabile il dispositivo colpito, causando interruzioni
MacOS nello specifico o che ha la capacità di colpire più sistemi del servizio e dell'operatività.
Puoi fare un esempio di un malware scoperto nel Sebbene i file binari fossero in grado di esfiltrare informazioni
2021 che colpisce i sistemi MacOS? sensibili, non erano stati usati a tale scopo. Questo ci ha messo
in allarme.
Una delle scoperte più interessanti che abbiamo fatto ad agosto
2021 è il malware McSnip Backdoor. Nel caso di McSnip, il file binario dannoso assumeva le
sembianze di uno strumento per l'acquisizione dello schermo,
La giornata era iniziata normalmente; eravamo impegnati nel
scaricabile direttamente da un sito web invece che dall'
monitorare il comportamento degli hacker, cercando eventuali
App Store legittimo.
cambiamenti che potevano segnalare la presenza di nuove
famiglie di malware. Abbiamo dato la caccia a questo malware per assicurarci
che non ci fossero campagne attive. Poco dopo, i tentativi di
Abbiamo rilevato un cambiamento in una tecnica esistente per il
compromettere i sistemi tramite il metodo McSnip sono cessati.
rilascio di dropper, uno dei metodi usati da uno specifico gruppo
di hacker per immettere file binari nel sistema prima dell'exploit. Nel mese di novembre, anche altre società di sicurezza hanno
iniziato a rilevare McSnip. Più o meno in quel periodo, ci siamo
Abbiamo raccolto il maggior numero possibile di file dannosi
accorti che era in atto una campagna secondaria. Il malware che
associati a questa campagna, quindi li abbiamo distrutti. I risultati
avevamo trovato ad agosto era stato leggermente aggiornato e
delle analisi sono molto interessanti.
sfruttava le nuove capacità per l'esfiltrazione di dati.
Credo che ad agosto stessero facendo un test. I creatori del
malware volevano assicurarsi che il meccanismo di introduzione
funzionasse come previsto e di poter rilasciare i file binari
nei dispositivi colpiti. La campagna vera e propria è iniziata a
novembre, quando gli hacker hanno cercato di usare McSnip per
compromettere i sistemi.
Ancora oggi assistiamo a violazioni o a tentativi di violazioni
dei nostri clienti tramite McSnip. Ma, grazie alle nostre attività
di threat hunting e al lavoro del mio team, siamo in grado di
bloccare l'effettiva esecuzione di questi file dannosi.Puoi anche leggere
