Il “periodo d’oro” dei ransomware è finito. Fra marzo 2017 e dicembre 2018 la diffusione dei programmi maligni in grado di cifrare i contenuti dei dischi è crollata del 60 per cento. I dati, elaborati partendo da migliaia di miliardi di segnali rilevati ogni giorno dal cloud di Microsoft, evidenziano che i Paesi più colpiti da questa minaccia sono quelli in via di sviluppo (Etiopia, Mongolia e Camerun), mentre i più sicuri sono Irlanda, Giappone e Stati Uniti. Secondo i ricercatori di Microsoft, i motivi del declino potrebbero essere due: aziende e utenti finali stanno diventando sempre più sensibili al tema e, seppur lentamente, stanno imparando a riconoscere il pericolo e ad evitarlo. Inoltre, come spesso succede, gli hacker seguono le mode del momento e nei mesi scorsi hanno deciso di concentrarsi su altre tecniche.
Innanzitutto quella del cryptomining: un fenomeno che ha avuto il suo picco nel corso del 2018 e che ha scalzato i ransomware come principale minaccia per imprese e persone. Solo per fare un esempio, l’anno scorso il tasso medio di diffusione dell’estrazione illecita di criptovalute è stato dello 0,12 per cento, mentre quello dei programmi maligni dello 0,05 per cento. Il motivo di questa popolarità è da ricercare essenzialmente nella “semplicità” di funzionamento del codice per il cryptomining. E per il suo basso costo.
Questa tipologia di software funziona infatti in background e, fino a quando le prestazioni della macchina infetta non degradano sensibilmente, è molto difficile accorgersi della sua presenza. Il programma, che spesso si attiva semplicemente visitando un sito Web contraffatto, può quindi continuare a lavorare indisturbato per molto tempo. Permettendo agli hacker di generare profitti sostanziosi senza rischi eccessivi.
Ma, anche nel mondo delle minacce cyber, c’è un pericolo sempreverde: il phishing. L’adescamento via mail delle potenziali vittime rimane uno dei metodi preferiti dai malintenzionati e, tra gennaio e dicembre 2018, il quantitativo di messaggi di posta elettronica segnalati come phishing è aumentato del 250 per cento. Il principale obiettivo dei pirati informatici è quello di distribuire payload zero-day agli utenti, compromettendo così più o meno seriamente i sistemi colpiti.
Le campagne di phishing continuano a cambiare forma e sfruttano sempre con maggior frequenza più Url, domini e indirizzi Ip per inviare le mail, appoggiandosi anche alle infrastrutture cloud e utilizzando piattaforme di collaboration online per distribuire codice maligno e moduli di login fasulli per ottenere le credenziali delle vittime.
Fonte: Microsoft Security Intelligence Report
Il potere della nuvola per proteggere le aziende
Se il cloud può rappresentare un’arma in più per i cybercriminali, che possono sfruttarne l’enorme capacità di elaborazione per scagliare attacchi sempre più complessi e potenti, è anche vero che la nuvola è un fidato alleato per le aziende. Microsoft ha lanciato oggi in anteprima Azure Sentinel, una soluzione Siem (Security Information and Event Management) nativa in cloud e arricchita con algoritmi di intelligenza artificiale.
Il servizio, sottolinea il colosso di Redmond, aiuta i clienti ad analizzare tutti i dati provenienti da Office 365 riducendo il “rumore di fondo” anche fino al 90 per cento (numeri calcolati dal vendor sui primi utilizzatori). La reportistica può essere poi integrata con altre informazioni di sicurezza delle organizzazioni per ottenere in conclusione una visione più articolata dello scenario.
Azure Sentinel è gratuito per i clienti Office 365, è basato su standard aperti (come il Common Event Format, Cef) e supporta le tecnologie di un’ampia schiera di produttori e partner come Check Point, Cisco, F5 Networks, Palo Alto Networks, Symantec e Servicenow. Il servizio è attivabile in anteprima dal portale di Azure.
Inoltre, a ulteriore conferma della volontà di investire un miliardo di dollari all’anno in cybersecurity, Microsoft ha introdotto anche la funzionalità Threat Experts: incluso nella piattaforma Windows Defender Atp, estende le potenzialità dei team di sicurezza dei clienti per “andare a caccia” in modo proattivo di minacce nascoste nei dati e nei log generati dai sistemi aziendali. Le organizzazioni possono chiedere l’intervento di un professionista on-demand semplicemente cliccando sul pulsante “Chiedi a un esperto”. Threat Experts è disponibile in anteprima pubblica ed è possibile richiedere l’accesso alla beta tramite le impostazioni di Windows Defender Atp.