Bitdefender pubblica il Threat Debrief di marzo 2025

Bitdefender pubblica il Threat Debrief di marzo 2025

Bitdefender, azienda leader nel settore della cybersicurezza, ha recentemente pubblicato il suo Threat Debrief per il mese di marzo 2025. Questo report mensile offre un’analisi approfondita delle principali minacce informatiche e delle tendenze emerse nel mese precedente, combinando informazioni da fonti pubbliche (OSINT) con dati raccolti analizzando i portali di fuga dati utilizzati dai gruppi ransomware.

Aumento record degli attacchi ransomware

Il dato più allarmante emerso dal report è il drastico aumento degli attacchi ransomware registrato a febbraio 2025. Rispetto allo stesso mese dell’anno precedente, si è verificato un incremento del 126% delle vittime dichiarate, passando da 425 a 962. Questo rappresenta il mese peggiore nella storia del ransomware per numero totale di vittime rivendicate.

Il ruolo del gruppo Clop

Particolarmente preoccupante è l’attività del gruppo ransomware Clop (noto anche come Cl0p), responsabile di ben 335 delle 962 vittime totali. Questo rappresenta un aumento del 300% rispetto al mese precedente per questo singolo gruppo Ransomware-as-a-Service (RaaS).

Nuove tattiche dei gruppi criminali

Il report evidenzia un importante cambiamento di strategia da parte di alcuni gruppi ransomware. Invece di concentrarsi su aziende o settori specifici, stanno diventando sempre più opportunisti prendendo di mira vulnerabilità software recentemente scoperte in dispositivi di rete edge.

Il processo di attacco

  1. I criminali informatici cercano vulnerabilità che soddisfino determinati criteri:
    • Punteggi di rischio elevati (CVSS)
    • Possibilità di controllo remoto del sistema (RCE)
    • Software accessibile da Internet
    • Proof of concept (PoC) già pubblicato
  2. Entro 24 ore dalla divulgazione pubblica della vulnerabilità, gli attori delle minacce lanciano scanner automatizzati per identificare e accedere ai sistemi vulnerabili.
  3. Segue una fase manuale di hacking più approfondito, che può durare settimane o mesi prima del vero e proprio attacco ransomware o furto di dati.

Il caso Clop e le vulnerabilità Cleo

L’analisi di Bitdefender suggerisce che l’impennata di attacchi di Clop sia legata allo sfruttamento di due recenti vulnerabilità nel software di trasferimento file Cleo:

  • CVE-2024-50623
  • CVE-2024-55956

Queste vulnerabilità, con un punteggio di gravità di 9,8 su 10, permettevano agli attaccanti di eseguire comandi sui sistemi vulnerabili. Nonostante fossero state rivelate a ottobre e dicembre 2024, la fase manuale dell’attacco richiede tempo, spiegando perché le vittime stanno emergendo solo ora.

Consigli per la difesa

Bitdefender fornisce alcune raccomandazioni chiave per proteggersi da queste minacce:

  1. Patching intelligente: Dare priorità alle patch per le vulnerabilità attivamente sfruttate e mantenere la consapevolezza degli exploit noti (catalogo CISA KEV). È fondamentale una strategia di patching flessibile per una risposta rapida.
  2. Threat Hunting: Cercare proattivamente minacce nascoste nella propria rete. Scoprire backdoor prima che gli attaccanti lancino il loro attacco principale.
  3. EDR/XDR con SOC/MDR: Utilizzare sistemi di rilevamento avanzati (EDR/XDR) e analisi di esperti (SOC/MDR) per individuare gli attaccanti che si muovono all’interno della rete (movimento laterale) e fermarli prima che raggiungano dati critici.

Altre tendenze rilevanti

Il report Bitdefender evidenzia anche altre tendenze significative nel panorama delle minacce:

Strumenti RA World collegati ad attori cinesi

Gli attacchi RA World, che eseguono malware utilizzando una tecnica di DLL sideloading, presentano set di strumenti associati a Mustard Panda e altri attori di minacce cinesi. Questi stessi strumenti sono stati utilizzati in campagne di cyber spionaggio, supportando le previsioni di una fusione tra operazioni APT e RaaS.

Akira compromette una webcam per aggirare le difese

Il gruppo Akira ha sviluppato tecniche sofisticate per eseguire ransomware, inclusi strumenti unici come crittografi progettati per diversi sistemi operativi. In un caso recente, dopo aver ottenuto l’accesso al server di una vittima tramite RDP, Akira ha aggiunto un file di archivio contenente il ransomware. Hanno quindi sfruttato una webcam vulnerabile con sistema operativo Linux compatibile con il loro crittografo Linux. Questo ha permesso loro di distribuire il ransomware tramite SMB, eludendo l’EDR e crittografando condivisioni di rete e file in tutta la rete della vittima.

Nuovi gruppi ransomware emergenti

Il report menziona l’emergere di nuovi gruppi ransomware come Anubis e Run Some Wares. Entrambi i gruppi impiegano tattiche di doppia estorsione e hanno i propri siti di fuga dati.

Consigli aggiuntivi per la protezione

Oltre alle raccomandazioni già menzionate, ecco alcuni suggerimenti aggiuntivi per migliorare la sicurezza della propria organizzazione:

  1. Implementare l’autenticazione a più fattori: Questo può ridurre significativamente il rischio di accessi non autorizzati, anche in caso di compromissione delle credenziali.
  2. Formazione continua sulla sicurezza: Educare regolarmente i dipendenti sui rischi di phishing, social engineering e altre tattiche di attacco comuni.
  3. Segmentazione della rete: Limitare l’accesso e il movimento laterale all’interno della rete in caso di compromissione.
  1. Backup regolari e test di ripristino: Assicurarsi di avere backup offline e testare regolarmente le procedure di ripristino.
  2. Monitoraggio continuo: Implementare soluzioni di monitoraggio 24/7 per rilevare rapidamente attività sospette.
  3. Piano di risposta agli incidenti: Sviluppare e testare regolarmente un piano di risposta agli incidenti per garantire una reazione rapida ed efficace in caso di attacco.
  1. Valutazione delle vulnerabilità: Condurre regolarmente scansioni e valutazioni delle vulnerabilità per identificare e correggere le debolezze prima che possano essere sfruttate.
  2. Principio del minimo privilegio: Limitare i privilegi degli utenti e dei sistemi al minimo necessario per svolgere le loro funzioni.
  3. Aggiornamento continuo delle soluzioni di sicurezza: Mantenere aggiornati tutti i software di sicurezza, inclusi antivirus, firewall e sistemi di rilevamento delle intrusioni.
  4. Collaborazione con esperti di sicurezza: Considerare la possibilità di collaborare con aziende specializzate in cybersicurezza per ottenere supporto e consulenza esperti.

Il Threat Debrief di Bitdefender per marzo 2025 evidenzia un panorama delle minacce in rapida evoluzione, con un aumento allarmante degli attacchi ransomware e tattiche sempre più sofisticate da parte dei gruppi criminali. Le organizzazioni devono rimanere vigili, adottare un approccio proattivo alla sicurezza e implementare strategie di difesa multilivello per proteggersi efficacemente da queste minacce in continua evoluzione. La combinazione di tecnologie avanzate, formazione del personale e best practice di sicurezza è essenziale per costruire una solida postura di cybersicurezza in questo ambiente di minacce sempre più complesso.

Fonte: https://australiancybersecuritymagazine.com.au/bitdefender-releases-march-2025-threat-debrief

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto