Autore: Redazione SecurityOpenLab
A fronte degli ultimi attacchi informatici che si sono verificati in questi ultimi due anni, tutti sappiamo che quando si parla di Advanced Persistent Threat (APT) s’intende una tipologia di cyberattacchi mirati e persistenti, condotti da cybercriminali dotati di notevole expertise tecnica e grandi risorse economiche. Le modalità più utilizzate dai gruppi APT sfruttano hacking continue, clandestine e sofisticate per ottenere l’accesso a un sistema, con l’obiettivo di causare danni irreparabili all’organizzazione colpita. Questa tipologia di attacchi è estremamente pericolosa perché si fonda su analisi e pianificazioni accurate in ogni singola fase. Prima di sferrare l’attacco i gruppi di hacker individuano attentamente l’azienda, analizzando mesi prima la struttura informatica dell’organizzazione.
Se consideriamo le ingenti risorse economiche e umane che vengono impiegate per progettare e finalizzare questa tipologia di cyberattacco, non c’è da sorprendersi se il tutto viene indirizzato principalmente verso bersagli di alto profilo, tra cui gli stati-nazione e grandi aziende. Per riuscire a finalizzare l’attacco, i gruppi ATP sferrano i primi cyberattacchi contro piccole e medie imprese che fanno parte della supply-chain di organizzazioni più grandi, ma non ne condividono gli elevati standard di sicurezza. Lo scopo di APT è principalmente legato allo spionaggio industriale o politico. Di fatti, secondo alcuni esperti, almeno due istituti di ricerca in Russia hanno subito attacchi di spionaggio per conto del gruppo cinese Twisted Panda, associato ad altri gruppi di hacker cinesi, tra cui Stone Panda (alias APT 10, Cicada o Potassium) e Mustang Panda (alias Bronze President, HoneyMyte o RedDelta). I ricercatori hanno scoperto che questa operazione di spionaggio, diretta contro organizzazioni associate alla Russia, è attiva almeno da giugno 2021 e le ultime tracce di attività degli hacker sono state scoperte nell’aprile 2022.
Il tradizionale approccio alla sicurezza, orientato alla semplice rimozione delle vulnerabilità, non è più sufficiente. Questo emerge chiaramente anche nel Q1 Ransomware Report del 2022 di Ivanti che ha individuato un aumento del 7,5%, dei gruppi APT coinvolti nel ransomware. Analizzando nel dettaglio i dati, emergono tre nuovi gruppi APT (Exotic Lily, APT 35, DEV-0401) che hanno utilizzato il ransomware come vettore d’attacco per i loro obiettivi, 10 nuove vulnerabilità attive e di tendenza che sono state associate al ransomware (portando il totale a 157) e quattro nuove tipologie di ransomware (AvosLocker, Karma, BlackCat, Night Sky) che sono diventate pericolose nel primo trimestre del 2022. A fronte di questo scenario poco rassicurante, sono convinto che tutte le organizzazioni debbano iniziare ad adottare un approccio olistico e integrato alla sicurezza IT, prediligendo analisi preliminari rispetto a un programma completo di gestione del rischio. Indubbiamente servono soluzioni di Advanced Malware Protection, per adattarsi alle strategie in continua evoluzione dei criminali informatici e anticipare qualsiasi tipo di violazione della sicurezza informatica.
In Ivanti abbiamo sviluppato Ivanti Neurons, una piattaforma di iperautomazione che automatizza la correzione, la protezione e l’erogazione dei servizi sia sul cloud sia sull'edge attraverso quattro moduli: