Microsoft è stata per anni un importante punto di riferimento della comunità di esperti di sicurezza informatica, questo perché ogni anno rilasciava il Microsoft Security Intelligence Report da molti considerato un vero e proprio ‘gold standard’ per avere una fotografia puntuale e completa sulle principali minacce informatiche.
Questo rapporto chiarisce che gli attori delle minacce sono aumentati rapidamente in sofisticazione nell’ultimo anno, utilizzando tecniche che li rendono più difficili da individuare e che minacciano anche gli obiettivi più scaltri.
Microsoft, nell’ultimo anno un aumento delle minacce informatiche e della loro pericolosità
Gli attori si stanno impegnando in nuove tecniche di ricognizione che aumentano le loro possibilità di compromettere obiettivi di alto valore, i gruppi criminali che prendono di mira le aziende hanno spostato la loro infrastruttura nel cloud per nascondersi tra i servizi legittimi e gli aggressori hanno sviluppato nuovi modi per setacciare il Internet per i sistemi vulnerabili al ransomware.
Oltre agli attacchi che diventano più sofisticati, gli attori delle minacce mostrano chiare preferenze per determinate tecniche, con notevoli cambiamenti verso la raccolta delle credenziali e il ransomware, nonché una crescente attenzione ai dispositivi Internet of Things.
Crescono le email di phishing. I cinque brand più impersonati dai truffatori e dai criminali informatici sono Microsoft, UPS, Amazon, Apple, and Zoom. Solamente nel 2019 Microsoft ha bloccato 13 miliardi di email malevole. Le operazioni di phishing vengono spesso utilizzate come premessa di un attacco Business Email Compromise; una volta preso il controllo degli indirizzi email di un’azienda, i truffatori mandano fatture fraudolente ai partner commerciali in modo da dirottare i soldi dei clienti nei loro account bancari.
I ransomware sono stati di gran lunga la più importante minaccia informatica del 2020. Il trend continua ad essere in crescita ed è preoccupante. I due gruppi “Big Game Hunters” e “Human-operated ransomware” sono stati i due gruppi criminali più efficaci degli ultimi 12 mesi. Questo perché selezionano con cura i loro bersagli, prediligendo grosse organizzazioni statali, e le loro tecniche d’attacco.
Attacco ransoware
Alcuni team di hacker si limitano ad acquistare malware da altri gruppi criminali, altri hanno gli strumenti per scansionare continuamente il web a caccia di nuove vulnerabilità non ancora note alla comunità di ricercatori informatici. Spesso i gruppi criminali ottengono il controllo di un sistema mesi prima del lancio del vero e proprio attacco ransomware.
Tuttavia, nel 2020 i team di hacker hanno ridotto estremamente i tempi di pianificazione ed esecuzione dell’attacco. Ci sono stati casi dove dalla compromissione del sistema al lancio del ransomware non sono passati che 45 minuti. Microsoft ha individuato dei pattern precisi comuni ad un gran numero di attacchi ransomware.
Un altro importante trend notato da Microsoft è l’aumento di attacchi contro la supply-chain. I gruppi non attaccano direttamente il loro obiettivo, ma preferiscono compromettere le infrastrutture dei provider, dei fornitori di tool manageriali, delle library di software opensource o di altre organizzazioni B2B che possiedono una chiave d’accesso alle reti delle aziende. Il vantaggio è ovvio; compromesso il fornitore del servizio è possibile accedere, a catena, anche alle infrastrutture delle aziende clienti.
Nel 2020 Microsoft ha inviato oltre 13mila segnalazioni per attacchi condotti da attori statali. La maggior parte delle minacce informatiche sono legate alla Russia, seguono Iran, Cina e Corea del Nord. Il bersaglio preferito dalle reti di hacker foraggiate dai governi stranieri sono gli Stati Uniti d’America, seguono Regno Unito, Canada, Corea del Sud e Arabia Saudita.