I cyber criminali sfruttano sempre di più le vulnerabilità note per mettere a segno gli attacchi ransomware. Il dato arriva una ricerca di RiskSense, che nel 2020 ha individuato 223 vulnerabilità CVE legate ad attacchi ransomware. Nel 2019 lo stesso procedimento ne aveva rilevate solo un quarto.

Il dato è preoccupante, e lo è ancora di più il fatto che le famiglie ransomware stanno crescendo e stanno diventando più complesse. Nel report del 2019 i ricercatori avevano individuato 19 famiglie ransomware separate; nel 2020 sono state almeno 125. Significa che il cyber crime si sta organizzando ed evolvendo, anche mediante la creazione di nuove varianti di malware che mirano ad approfittare delle falle nei software e nelle applicazioni web.

Passiamo all'analisi dettagliata delle famigerate falle. Circa il 40% dei 223 CVE legati ai recenti attacchi ransomware rientrano in cinque categorie facilmente identificabili: autorizzazioni, privilegi e controlli di accesso; code injection; convalide di input non corrette; memory buffer ed esposizione di informazioni sensibili agli utenti non autorizzati.
Il codice malevolo può sfruttare solo una o diverse combinazioni di queste vulnerabilità. Il mix diventa altamente pericoloso nel momento in cui, come accade ora, la superficie di attacco ampliata è caratterizzata da tendenze come la trasformazione digitale e la migrazione cloud, che sono accelerate dal COVID-19. La combinazione di tutti questi fattori spinge le aziende a commettere errori di configurazione e a mettere in secondo piano il patching, aprendo le porte ai cyber attacchi.

Falle vecchie e nuove

Abbiamo già parlato in passato dello sfruttamento delle vecchie falle. Torniamo sull'argomento perché i dati di RiskSense aggiornati sono un'indicazione precisa. Il 96% delle vulnerabilità sfruttate negli attacchi ransomware è vecchia di anni ed è stata identificata prima del 2019. Per esempio, la CVE-2007-1036 è una vulnerabilità di remote code execution scoperta per la prima volta nel 2007, ed è tutta sfruttata.

Non si pensi che i cyber attacchi vivano solo di rendita sulle falle più vecchie. In realtà queste ultime vengono sfruttate in associazione a un flusso molto più piccolo, ma costante, di vulnerabilità nuove. Non è una buona notizia: significa che il problema peggiora nel tempo, sommando gli arretrati di cui gli uffici IT si devono occupare.

A complicare ulteriormente la questione è che non sono solo i gruppi ransomware a sfruttare le vecchie falle. RiskSense ha rilevato che le stesse vulnerabilità vengono sempre più sfruttate anche dai gruppi APT. Non parliamo di casi isolati: ci sono almeno 33 gruppi APT che hanno fatto uso di exploit, fra cui alcuni spalleggiati da Stati come Cina, Russia, Iran e Corea del Nord.

Abbiamo affrontato più volte il problema del patching. Alla luce di quanto evidenziato è chiaro che non ci si può più permettere di posticipare l'installazione delle patch. E non è più possibile nemmeno stilare delle liste di priorità: le falle sfruttate nella catena degli attacchi ransomware sono troppe. Si può dare priorità a quelle di cui sono già disponibili exploit utilizzati in natura e alle più datate (risalenti al periodo 2017-2019).

E all'interno di queste sistemare per prime le urgenze nelle urgenze. Quali exploit possono causare i danni maggiori? Quelli che attivano il remote code execution, l'escalation dei privilegi, le autorizzazioni di accesso remoto. L'elenco è lungo, bisogna mettersi di buona lena per portarsi in pari.