Nel nuovo Cloud and Threat Report di Netskope emerge che Wizard Spider è l’attore malevolo russo che più ha tentato di infiltrarsi negli ambienti delle organizzazioni nel mirino.
“I dati che emergono dal rapporto”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “confermano quanto osservato dalle principali agenzie governative e aziende di sicurezza, Russia e Ucraina continuano a ospitare i principali attori malevoli nel panorama delle minacce“.
Ecco le tecniche e le motivazioni più diffuse nei primi tre trimestri del 2023 tra i clienti Netskope a livello globale.
Indice degli argomenti
Wizard Spider: l’attore malevolo russo da monitorare
I ricercatori hanno scoperto che le principali gang di cyber crime hanno base in Russia e Ucraina. Invece provengono dalla Cina i principali gruppi di minaccia geopolitica.
“Riferiamo di gruppi che operano su scala internazionale”, continua Paganini, “caratterizzati da elevate capacità ed in grado di adattare rapidamente le proprie tattiche, tecniche e procedure (TTP) in risposta agli eventi ed agli obiettivi presi di mira. L’analisi del contesto geopolitico e le attività di threat intelligence e threat hunting sono fondamentali per comprendere l’evoluzione di questi gruppi e cercare di anticiparne le mosse”.
Wizard Spider sarebbe l’autore del malware TrickBot che continua ad evolvere.
Nell’uso del ransomware emergono TA505, l’autore del ransomware Clop, e FIN7, gruppo che ha sfruttato REvil e creato Darkside. Invece memupass e Aquatic Panda sono ai vertici dei gruppi di minacce geopolitiche.
“Altra conferma che emerge dal rapporto”, mette in guardia Paganini, “è la focalizzazione in attività di spionaggio volto al furto di proprietà intellettuale da parte di gruppi legati alla Cina”.
I link e gli allegati di spearphishing sono i vettori d’attacco più gettonati dai Threat Labs di Netskope quest’anno. Gli attaccanti sono stati in grado di ingannare le vittime. Le hanno indotte ad aprire link ed allegati via mail, voce, testo, social media e motori di ricerca.
L’esecuzione da parte dell’utente è la chiave d’ingresso. Gli avversari hanno il più alto tasso di successo nell’indurre le vittime a scaricare i trojan attraverso le più diffuse applicazioni cloud.
“Altro aspetto importante è l’analisi delle motivazioni degli attaccanti in relazione alle tipologie delle vittime e la loro collocazione geografica”, aggiunge Paganini. Infatti, i servizi finanziari verticali e del settore sanitario denunciano la più alta percentuale di attività attribuibili a gruppi di avversari geopolitici sulla piattaforma di Netskope.
Per il command and control e l’esfiltrazione dei dati, gli aggressori stanno privilegiando l’uso di HTTP e HTTPS. Puntano infatti a passare inosservati, confondendosi con il traffico normale.
Come mitigare il rischio
“A rendere complessa l’analisi”, avverte Paganini, “è spesso l’allineamento delle strategie di questi gruppi alle agende ed interessi di governi come quello russo, un aspetto che ne complica la profilazione”.
Ma il fattore umano è l’anello debole. Occorrono più consapevolezza e formazione, mettendo in pratica programmi di security awareness. Bisogna infatti formare l’intera forza lavoro, grazie a simulazioni di phishing e campagne efficaci di sensibilizzazione alla sicurezza.
Infine, conviene adottare una strategia Zero Trust, ben delineata e da articolare lungo tutta l’organizzazione. L’obiettivo è aumentare la cyber resilienza delle aziende in questo scenario di crescenti minacce.
“Come sottolinea il rapporto”, conclude Paganini, “la conoscenza delle aree geografiche più colpite e i settori sono cruciali nel determinare quali avversari potrebbero prendere di mira un’organizzazione”.