I gruppi ransomware e altri attori di minacce motivati finanziariamente si sono uniti ai gruppi sostenuti dallo stato nazionale per sfruttare i difetti senza patch nelle campagne di attacco.
Gli attori delle minacce hanno sfruttato più vulnerabilità zero-day nel 2021 rispetto a qualsiasi anno precedente e principalmente nel software di Microsoft, Google e Apple.
Gli attori delle minacce avanzate sostenuti dallo stato sono rimasti gli utenti più prolifici di questi exploit, come poi è sempre stato fino ad oggi. Tuttavia, non sono stati gli unici: i gruppi con motivazioni finanziarie, in particolare gli operatori di ransomware, hanno notevolmente intensificato l'uso degli zero-day e rappresentano un terzo degli aggressori che sfruttano queste vulnerabilità.
Due avvisi separati, uno di Mandiant e l'altro del team di sicurezza di Project Zero di Google, hanno identificato un grande salto l'anno scorso nei difetti del software che gli attori delle minacce hanno sfruttato prima che diventasse disponibile una patch. Mandiant ha contato un totale di 80 di questi difetti nel 2021, mentre Google ha identificato 58 giorni zero che sono stati sfruttati in natura prima di essere corretti.
Le vulnerabilità in Microsoft, Google e Apple hanno rappresentato il 75% degli zero-day sfruttati dagli attori delle minacce l'anno scorso, un numero probabilmente legato all'ampio utilizzo e alla popolarità delle tecnologie di questi tre fornitori. Un foglio di calcolo dei difetti zero-day che Google ha mantenuto dal 2014 mostra che 16 dei 58 exploit zero-day che l'azienda ha osservato l'anno scorso erano nelle sue stesse tecnologie; 21 prodotti Microsoft coinvolti; e 13 erano in prodotti Apple. Le restanti vulnerabilità riguardavano prodotti di un totale di altri nove fornitori, tra cui Qualcomm, Trend Micro, Sonic Wall, Accellion (ora Kiteworks) e Pulse Secure.
I dati sottolineano come le organizzazioni non possano ignorare il potenziale per gli attori delle minacce di cercare e sfruttare gli zero-day in tecnologie meno utilizzate.
Infatti, sebbene i fornitori popolari rimangano gli obiettivi principali per lo sfruttamento zero-day, si è gradualmente assistito all'espansione di entrambe le tecnologie e dei fornitori presi di mira dallo sfruttamento zero-day al di fuori dei fornitori principali.
Ci sono molteplici potenziali ragioni dietro l'esplosione nell'uso da parte degli attori delle minacce di exploit zero-day lo scorso anno:
· la maggiore adozione da parte delle aziende di tecnologie cloud, mobili e IoT come un aumento del volume di software utilizzato dalle organizzazioni e, di conseguenza, con la scoperta di più bug.
· l'aumento del numero di cosiddetti exploit broker che commerciano in vulnerabilità zero-day
· l'aumento degli investimenti in ricerca e sviluppo da parte di gruppi di minacce di exploit zero-day.
· il miglioramento del rilevamento e della divulgazione di bug zero-day
I gruppi tipicamente sponsorizzati dallo stato, in particolare quelli cinesi, continuano a dominare l'utilizzo dell'exploit zero-day. Ma c'è stato un notevole aumento del numero di ransomware e altri gruppi di minacce motivate finanziariamente che sfruttano gli zero-day nei loro attacchi.
Questi attori delle minacce stanno acquisendo exploit zero-day tramite broker di exploit clandestini e fornitori di servizi criminali. Oppure potrebbero reclutare internamente i talenti necessari per ricercare le vulnerabilità e sviluppare exploit zero-day, come sembra essere il caso del gruppo di ransomware Conti: i file di chat di Conti trapelati mostrano gli attori delle minacce che discutono delle vulnerabilità divulgate di recente e assegnano membri per creare uno scanner per identificare i sistemi potenzialmente vulnerabili.
Dato che i gruppi di ransomware raccolgono somme sempre più ingenti dalle loro operazioni, possono utilizzare più frequentemente exploit zero-day nelle loro operazioni.
Il maggiore utilizzo di exploit zero-day mostra che gli attori delle minacce stanno spostando i loro vettori di attacco dalle vulnerabilità che le tradizionali soluzioni di rilevamento e valutazione delle minacce scoprirebbero: ecco perché non solo le minacce zero-day, ma anche lo sfruttamento delle vulnerabilità IoT e l'utilizzo di software open source sono minacce aziendali in rapida crescita.
Comments