Ogni anno, gli analisti di IBM X-Force valutano i dati raccolti in tutte le nostre discipline di sicurezza per creare IBM X-Force Threat Intelligence Index, il report annuale che traccia i cambiamenti nel landscape per rivelare le tendenze e aiutare i clienti a implementare in modo proattivo le misure di sicurezza. Tra i numerosi risultati degni di nota nell'edizione 2024 del rapporto X-Force, spiccano tre tendenze principali che consigliamo ai professionisti della sicurezza e ai CISO di osservare:
I criminali informatici preferiscono percorrere la strada di minor resistenza per raggiungere i loro obiettivi, e quindi è preoccupante che, per la prima volta nella nostra ricerca, l'abuso di account validi sia diventato il mezzo preferito per accedere agli ambienti delle vittime. L'uso di credenziali rubate per accedere agli account validi è aumentato del 71% rispetto all'anno precedente e ha rappresentato il 30% di tutti gli incidenti a cui X-Force ha risposto nel 2023, con il phishing come principale vettore di infezione.
Mentre i difensori aumentano le capacità di rilevamento e prevenzione, gli aggressori stanno scoprendo che lo scorso anno ottenere credenziali valide era un percorso "più semplice" per raggiungere i loro obiettivi. Questo fatto non sorprende del tutto, considerando la grande quantità di credenziali valide facilmente accessibili sul dark web. Tuttavia, questo "ingresso facile" per gli aggressori è difficile da rilevare e richiede una risposta complessa da parte delle organizzazioni per distinguere tra attività legittime e dannose degli utenti sulla rete.
Il phishing, sia tramite allegato, link o as a service, ha rappresentato anche il 30% di tutti gli incidenti risolti da X-Force nel 2023, anche se il volume di phishing è diminuito del 44% rispetto al 2022. Il calo significativo delle compromissioni osservate tramite il phishing è probabilmente un riflesso sia della continua adozione di tecniche di mitigazione, sia del passaggio degli aggressori all'uso di credenziali valide.
Inoltre, X-Force ha osservato un aumento del 100% del "Kerberoasting" durante le attività di risposta agli incidenti. Kerberoasting è una tecnica focalizzata sulla compromissione delle credenziali di Microsoft Windows Active Directory tramite ticket Kerberos. Ciò indica un cambiamento sul piano tecnico nel modo in cui gli aggressori acquisiscono identità per eseguire le loro operazioni.
Questi cambiamenti suggeriscono che gli attori delle minacce hanno rivalutato le credenziali come vettore di accesso iniziale affidabile e preferito.
L'abuso di account validi come tecnica di accesso principale è stato accompagnato da un'impennata di malware, noti come infostealer, progettati per rubare informazioni e acquisire credenziali. Abbiamo osservato un aumento del 266% dei malware di infostealing, così come abbiamo notato che gruppi precedentemente specializzati in ransomware si sono rivolti agli infostealer.
Nonostante rimanga l'azione più comune sull'obiettivo (20%), X-Force ha registrato una diminuzione dell'11,5% negli incidenti di ransomware aziendali. Questo calo è probabilmente dovuto al fatto che le grandi organizzazioni fermano gli attacchi prima ancora che il ransomware venga implementato e optano per la ricostruzione piuttosto che pagare il riscatto se il ransomware prende piede. Vale la pena notare che, secondo l'analisi dei siti di estorsione ransomware, l'attività ransomware a livello globale è effettivamente aumentata nel 2023. Questo sembra indicare che i client X-Force hanno continuato a migliorare la capacità di rilevare e rispondere ai precursori di un evento ransomware.
Sebbene X-Force abbia registrato un calo degli attacchi ransomware, gli attacchi basati sull'estorsione continuano a essere una forza trainante della criminalità informatica nell'ultimo anno, superati solo dal furto di dati e dalle fughe di notizie come impatto più comune osservato negli incidenti X-Force. Ad esempio, X-Force ha risposto a molteplici incidenti associati agli attacchi di estorsione dati diffusi del gruppo ransomware CL0P, attraverso lo sfruttamento della vulnerabilità precedentemente sconosciuta di MOVEit, uno strumento di Managed file transfer (MFT) comunemente utilizzato.
Sebbene le vulnerabilità zero-day come questa siano notorie, in realtà queste vulnerabilità costituiscono una percentuale molto piccola della superficie di attacco vulnerabile, solo il 3% del totale delle vulnerabilità tracciate da X-Force. Nel 2023 si è registrato un calo del 72% nel numero di zero-day rispetto al 2022, con solo 172 nuove vulnerabilità di questo tipo. Anche se il numero totale di giorni zero è diminuito, le organizzazioni dovrebbero comunque enfatizzare la conoscenza della loro superficie di attacco e l'identificazione e il patching delle vulnerabilità nell'ambiente per prevenire molti attacchi.
L'anno scorso passerà alla storia come l'anno di svolta della gen AI. I policy maker, i dirigenti aziendali e i professionisti della cybersecurity sentono tutti la pressione di adottare l'AI nelle loro operazioni. E la fretta di adottare la gen AI sta attualmente superando la capacità del settore di comprendere i rischi per la sicurezza che queste nuove funzionalità introdurranno. Tuttavia, una superficie di attacco universale AI si materializzerà una volta che l’adozione dell'AI raggiungerà una massa critica, costringendo le organizzazioni a dare priorità alle difese di sicurezza in grado di adattarsi alle minacce AI su larga scala.
Per giungere a questa conclusione, X-Force ha riflettuto sui fattori tecnologici abilitanti e sulle pietre miliari che hanno favorito le attività dei criminali informatici in passato, per prevedere quando vedremo indicatori di maturità della superficie di attacco dell'AI. X-Force prevede che ciò accadrà quando una singola tecnologia AI raggiungerà il 50% di quota di mercato, o quando il mercato si consoliderà a tre tecnologie o anche meno.
Inoltre, nonostante i segnali di interesse da parte dei criminali informatici nell'utilizzare la gen AI nei loro attacchi, X-Force non ha osservato alcuna prova concreta di attacchi informatici ingegnerizzati dalla gen AI fino ad oggi. Si prevede che il phishing sarà uno dei primi casi d'uso malevolo dell'AI in cui i criminali informatici investiranno, riducendo il tempo per creare messaggi convincenti da diversi giorni a pochi minuti. Anche se non è improbabile che vengano segnalati attacchi abilitati all'AI nel breve termine, X-Force ritiene che l'attività proliferata non si affermerà fino a quando non maturerà il ritmo di adozione dell'AI nelle aziende.
La combinazione tra l'aumento degli infostealer e l'abuso di credenziali di account valide per ottenere l'accesso iniziale ha esacerbato le sfide dei difensori della gestione delle identità e degli accessi. La rinnovata attenzione dei criminali informatici alle identità evidenzia i rischi delle organizzazioni che esistono su dispositivi al di fuori della loro visibilità e devono continuare a sottolineare le buone abitudini di sicurezza presso la forza lavoro. I dati delle credenziali aziendali possono essere rubati da dispositivi compromessi tramite il riutilizzo delle credenziali, la memorizzazione delle credenziali del browser o l'accesso agli account aziendali direttamente dai dispositivi personali.
Sebbene i "fondamenti della sicurezza" non ricevano tante attenzioni come gli "attacchi ingegnerizzati dall'AI", resta comunque che il problema di sicurezza più grande delle imprese si riduce alle cose basilari e conosciute, non al nuovo e all'ignoto. L'identità viene usata ripetutamente contro le aziende, un problema destinato a peggiorare man mano che gli avversari investiranno nell'AI per ottimizzare la tattica.
L'X-Force Threat Intelligence Index offre i nostri insight unici ai clienti IBM, ai ricercatori del settore della sicurezza, ai decisori politici, ai media e alla più ampia comunità di professionisti della sicurezza e leader aziendali.
Scopri di più nel report sul landscape e sulle ultime tendenze della cybersecurity:
Scarica il report e leggi la sintesi del webcast per una tavola rotonda con Kevin Albano, partner associato di IBM X-Force, e Ryan Leszczynski, agente speciale supervisore della Divisione informatica dell'FBI. Forniranno una spiegazione dettagliata dei risultati e del loro significato per le organizzazioni che si difendono da queste minacce in continua evoluzione.