Il nuovo Cyber Security Report 2024 di Hornetsecurity analizza in dettaglio minacce e threat che interessano la piattaforma Microsoft 365 e non solo.
Per elaborare questo studio, rilasciato a cadenza annuale, l’azienda raccoglie ed elabora più di 3,5 miliardi di e-mail ogni mese. Analizzando le minacce identificate in queste comunicazioni, il Security Lab di Hornetsecurity è in grado di rivelare le principali tendenze. Gli esperti sono inoltre capaci di fornire proiezioni e previsioni circa il futuro delle minacce alla sicurezza, consentendo alle aziende di agire di conseguenza.
Le analisi del Cyber Security Report 2024
Sfruttando l’esteso database di dati raccolti ogni giorno, Hornetsecurity può condurre un esame dettagliato delle minacce basate sulle e-mail e rilasciare opportune indicazione per imprese, CISO, amministratori di rete e manutentori IT.
Ad oggi, continua il trend che vede le e-mail quale canale privilegiato per il trasferimento di minacce e vettori di attacco. Rispetto a un traffico di messaggi analizzati pari a 45 miliardi di e-mail, il 36,4% è attualmente classificato come “indesiderato”. Di questa parte, il 96,4% è costituito da spam o da messaggi bloccati in base agli indicatori di sicurezza. Il 3,6% circa è invece contrassegnato come dannoso/malevolo.
Come si realizza un attacco? Sussistono differenti stili e modalità per portare un attacco diretto. Il più utilizzato è il phishing (43,3%), con un aumento del 4% rispetto al 2023. Segue l’utilizzo di URL dannosi nelle e-mail (30,5%), con un aumento significativo del 18% rispetto al rapporto dello scorso anno.
Hornetsecurity si occupa di monitorare ogni tipo di vettore che può essere utilizzato per colpire imprese e professionisti durante le consuete attività lavorative.
Quali sono gli allegati più pericolosi? I file HTML (37,1%) e PDF (23,3%) sono stati utilizzati con grande frequenza, assieme a documenti d’archivio compressi (20,8%).
Le prime due tipologie di file sono in netta ascesa, trainati soprattutto dalle attività di botnet e minacce come Qakbot, che si servono di allegati HTML e PDF per diffondere software malevolo.
I file a larga diffusione DOCX e XLSX, generati con suite Office, sono oggi meno utilizzati, grazie anche alla funzione standard imposta Microsoft, che prevede la disabilitazione di macro e contenuti esterni.
Phishing e impersonificazione
Hornetsecurity elabora, inoltre, un Industry E-mail Threat Index, che misura il numero di e-mail che contengono tentativi minacce rispetto al numero di e-mail “pulite” ricevute. I dati estratti forniscono una buona idea di quali tipi di aziende siano attualmente prese di mira dagli attori del cybercrime. In definitiva è possibile affermare che quasi tutti i tipi di attività sono attualmente a rischio. In particolare, le organizzazioni di ricerca, il settore dell’intrattenimento e manufacturing sono tra i bersagli preferenziali degli attaccanti.
Tra le minacce e-mail persistenti c’è sicuramente l’impersonificazione del marchio. Si tratta di una forma di phishing particolarmente elaborata: i cybercriminali si occupano infatti di inviare e-mail fraudolente impersonando enti o aziende legittime.
I marchi più usati sono DHL (26,1%), Amazon (7,7%) e FedEx (2,3%), ma anche Microsoft (2,4%), LinkedIn (2,4%) e Netflix (2,2%).
Fingendosi operatori dei suddetti brand, gli attaccanti cercano di ottenere le credenziali dell’utente finale per venderle o per effettuare altri attacchi.
Microsoft 365, le sfide e il panorama delle minacce
Il Security Lab di Hornetsecurity esamina le minacce globali e fornisce informazioni sulle potenziali minacce future. La questione della sicurezza dei dati all’interno dell’ecosistema cloud Microsoft continua a rappresentare un elemento di discussione. Diverse recenti violazioni della cyber security hanno spinto molti a rivalutare la propria posizione di sicurezza nell’era del cloud. Ciò ha anche sollevato la questione dell’eccessiva dipendenza dai fornitori e di quanto le organizzazioni dovrebbero fare affidamento su un singolo fornitore.
Negli ultimi 12 mesi, diversi incidenti di sicurezza di alto profilo hanno interessato il servizio cloud Microsoft 365, ma il più impattante è stato sicuramente l’attacco Storm-0558.
Il gruppo di hacker ha compromesso l’account di un ingegnere: un sistema di firma consumer si è arrestato in modo anomalo e ha generato un dump di arresto anomalo del sistema. Questo è stato spostato nella rete di produzione per il debug e, in questa fase, quando gli aggressori hanno violato l’account, hanno ottenuto l’accesso al dump e alla password.
Ciò ha permesso loro di generare proprie chiavi ex-novo e di accedere a qualsiasi tenant M365. I danni sin qui documentati includono la violazione di alcune dozzine di account di posta elettronica presso il Dipartimento di Stato degli Stati Uniti e il furto di 60.000 e-mail.
Hornetsecurity, le previsioni per il 2024
Lo scorso anno i cybercriminali hanno perfezionato le proprie tecniche di attacco. Sono state registrate estese campagne BEC e ransomware, nonché tecniche di bypass dei sistemi di autenticazione a più fattori, furto di token e spyware mobile…
Ogni anno, il team Security Lab di Hornetsecurity esamina lo stato del settore e, attraverso di dati elaborati, rilascia le tendenze degli attacchi e opportuni suggerimenti per migliorare la cyber security delle aziende.
Con il rilascio di ChatGPT alla fine del 2022 e la sua crescente popolarità all’inizio del 2023, l’IA generativa ha iniziato rapidamente a modificare il settore della sicurezza informatica. È diventato immediatamente evidente che l’IA generativa potrebbe essere utilizzata da attori delle minacce alle prime armi, non solo per lanciare attacchi, ma anche per imparare come portarli a termine con profitto.
Secondo Hornetsecurity, gli attori delle minacce continueranno a sviluppare le loro varianti del darkweb di ChatGPT (come DarkBERT e WormGPT) per automatizzare porzioni della catena di attacco. Ciò accelererà il tasso di attacchi informatici in ogni settore.
Non solo, la capacità degli LLM di tradurre in modo credibile il testo in altre lingue apre anche “nuovi mercati” per i criminali, in particolare perché molti di questi Paesi non sono culturalmente abituati agli attacchi di phishing, ad esempio.
Mentre il ciclo di notizie sulla sicurezza informatica si è concentrato quasi interamente sugli impatti negativi dell’IA generativa, ci sono però alcune buone notizie. Il potenziale dell’intelligenza artificiale è infatti a disposizione delle società e degli sviluppatori che realizzano software e infrastrutture a protezione delle imprese.
Hornetsecurity prevede dunque un impiego efficace dell’AI per il rilevamento dei valori anomali nella telemetria, l’analisi dei log, lo studio degli attacchi e la simulazione di situazioni di emergenza e molto altro ancora.
Non solo AI
L’evoluzione delle minacce si traduce in molteplici potenziali thread di attacco da parte dei cybercriminali. Tra i pericoli che si prevede aumenteranno nel 2024, la manomissione dei sistemi di autenticazione multi-fattore.
Sono apparsi online diversi “kit di bypass MFA” che semplificano il processo di configurazione di un proxy che agisca come un Attacker-in-the-Middle, presentando una pagina di accesso convincente per l’utente. I dati inseriti saranno effettivamente passati alla pagina di servizio richiesta, ma saranno anche archiviati facendo una copia dei cookie di sessione, consentendo all’aggressore di impersonare l’utente.
Nel 2024, gli attacchi alla supply chain avranno impatti potenzialmente maggiori rispetto a quanto avvenuto sino ad oggi. Questo, perché gli attaccanti sono sempre più esperti e perché, man mano che i servizi digitali diventano più radicati nella nostra società diventano di vasta portata e critici per l’operatività del medio periodo per imprese, amministrazioni e Governi.
Gli attori delle minacce sono dunque spinti da forti motivazioni economiche e mirano a rubare e rivendere i dati o ad avere accesso incondizionato a sistemi e reti.
Man mano che i gruppi criminali diventano più capaci e articolati, si assiste a un rinnovato impegno nell’esecuzione di attacchi in tempi ridotti. Di conseguenza, il tempo di permanenza degli attaccanti nelle reti delle imprese è diminuito in modo significativo nell’ultimo anno. Con l’aumento degli zero-day e un settore della sicurezza informatica che corre freneticamente per tenere il passo, gli aggressori sanno che devono eseguire i loro attacchi in tempi record prima che le difese vengano messe in atto.
Gli attaccanti sono sempre più esperti e dispongono di risorse ingenti per finanziare le proprie attività, oltre a gruppi specializzati nella ricerca di vulnerabilità e in nuovi modi per eludere le difese delle aziende.
Come difendersi? I consigli di Hornetsecurity
Le aziende, oggi, tendono a reagire alle minacce puntando su specifiche soluzioni tecnologiche, senza comprendere le basi dell’igiene della sicurezza. Molte imprese cadono vittima delle cyberminacce perché non hanno seguito le buone pratiche essenziali. Per esempio, perché non hanno implementato l’autenticazione forte MFA, oppure perché adottano password deboli o mantengono un livello di privilegi di accesso elevati sugli endpoint.
Occorre verificare ogni connessione e ogni utente. È poi fondamentale applicare sempre privilegi minimi, assegnando le autorizzazioni solo agli utenti e alle identità realmente abilitate a una determinata attività.
Tra le operazioni da effettuare con frequenza c’è anche il testing delle soluzioni di protezione e di backup, per verificare se ogni procedura è affidabile e funzionante al 100%.
Tra le soluzioni essenziali per la protezione a 360°, le imprese devono considerare sistemi di rilevamento di spam/malware di nuova generazione, con ATP.
E ancora, funzionalità di backup e ripristino sia per i dati on-premise sia per quelli in cloud, oltre a soluzioni per la conformità e la governance che possano aiutare a proteggere i dati da incidenti, furto e perdite di informazioni.
Seguendo queste regole essenziali è possibile trasformare l’organizzazione in un’azienda resiliente dal punto di vista informatico. Il miglioramento della cyber-resilience passa anche dalla formazione e dal coinvolgimento dei dipendenti.
L’azienda deve intraprendere periodicamente attività di training e sensibilizzazione alla sicurezza verso gli utenti finali, per addestrarli a individuare potenziali attacchi sofisticati e basati su ingegneria sociale e spear-phishing.
Solo stratificando le strategie di sicurezza con queste funzionalità le aziende possono essere sicure di operare al meglio e in conformità.