Nel mondo interconnesso di oggi, comprendere il panorama delle attività informatiche dannose su Internet è fondamentale affinché le organizzazioni e gli stati nazionali possano proteggere le proprie risorse digitali e mantenere un solido livello di sicurezza. A tal fine, i ricercatori di GreyNoise Labs hanno analizzato il volume e il tipo di traffico dannoso osservato dalla rete di sensori su scala planetaria di GreyNoise Intelligence – con un focus particolare sull’Italia – per aiutare le organizzazioni e le agenzie a prendere decisioni più informate sulle loro strategie di sicurezza informatica.
La flotta di sensori gestita da GreyNoise vede principalmente uno sfruttamento opportunistico e di massa. Questa visualizzazione fornisce una visione aggiornata del ritmo regolare dell’attività delle botnet, ma fa anche luce su quando emergono nuovi modelli o attività, soprattutto quando ci sono minacce nuove ed emergenti.
Il termine “dannoso” è riservato all’attività associata al tentativo di eseguire un exploit contro un sistema di destinazione. I dati di questo rapporto hanno esaminato il traffico dannoso proveniente o diretto verso l’Italia per un periodo di 30 giorni tra la fine di settembre (2023) e la fine di ottobre.
Durante questo periodo, GreyNoise ha osservato 44.700 tentativi di sfruttamento dannoso contro lo spazio degli indirizzi IP italiani e 7.937 attacchi dall’Italia diretti contro reti assegnate ad altri paesi. Le sezioni di questo brief esamineranno il traffico di origine e di destinazione in modo più dettagliato e si concluderanno con raccomandazioni su come utilizzare queste informazioni per rendere più sicure organizzazioni, agenzie e cittadini.
Traffico in entrata dannoso
La sezione “Note e riferimenti alla ricerca” fornisce informazioni sulle sfumature dell’attribuzione del paese di origine.
In generale, le organizzazioni e gli enti possono aspettarsi di vedere il loro traffico di origine dannoso provenire da (a) paesi con uno spazio di indirizzi IP allocato e in uso più elevato o (b) paesi con profili di dispositivi connessi a Internet che si prestano a essere più incline allo sfruttamento.
Per vedere come funziona questo mix, Brasile e Vietnam si trovano all’ottavo e al dodicesimo posto, di seguito, durante il periodo campione, ma al decimo e al ventitreesimo quando si tratta di spazio di indirizzi IP disponibile. Ciò è dovuto a un numero eccessivamente elevato di dispositivi Internet of Things (IoT) compromessi, come telecamere accessibili tramite IP, e apparecchiature di rete sia white-box che popolari ma regolarmente vulnerabili, come MicroTik.
Questa visualizzazione del paese in entrata sarà dinamico se utilizzi GreyNoise Visualizer o API per eseguire valutazioni future. Ciò significa che i membri dell’elenco si scambieranno di posto a seconda dell’infrastruttura controllata dall’avversario in uso in un dato periodo di tempo.
Puoi utilizzare le informazioni sull’origine geografica come mezzo per valutare le connessioni visualizzate nei log o nei flussi di rete per contribuire a prendere decisioni informate in materia di blocco o risposta agli incidenti.
Le reti di origine in cui sono ospitati questi indirizzi IP possono essere classificate in molti modi. Per questo rapporto, focalizzeremo la nostra attenzione sulla categoria assegnata (ISP, Hosting, Mobile, Business o Education) per questi tentativi di connessione dannosi:
La prima nota è che “Mobile” è il quarto nell’elenco. I ricercatori di GreyNoise Labs hanno osservato un costante aumento delle reti mobili, sia che si tratti di sistemi collegati o di dispositivi Android compromessi, che diventano la fonte del traffico di attacco. Ciò aumenta il peso sui difensori, poiché è difficile convincere i proprietari delle applicazioni a bloccare qualsiasi connessione da quello che rappresenta circa il 40-50% di tutto il traffico benigno in entrata verso la maggior parte dei siti e delle applicazioni web. La natura tempestiva degli elenchi di blocchi GreyNoise può rendere tali conversazioni meno problematiche.
Router, dispositivi di archiviazione e IoT esposti e laptop/desktop compromessi sono gran parte del motivo per cui gli ISP residenziali e di piccole imprese sono regolarmente in cima alla lista. Per capirne il motivo, basta guardare i principali “tag” (“rilevamenti” nella nomenclatura di rilevamento e prevenzione delle intrusioni) che GreyNoise vede in questo traffico in entrata italiano:
La botnet Mirai è quasi sempre al primo posto quando si tratta di attività dannose e opportunistiche intraprese dai nostri avversari, ma spesso scambia il posto con “SSH Bruteforcer”, che è al primo posto per questo intervallo di date nello spazio IP italiano. Entrambe queste fonti di traffico sono il “battito cardiaco” di Internet. Non passa un solo minuto senza che i membri della botnet Mirai cerchino host nuovi ed esistenti da assimilare nel suo collettivo. Allo stesso modo, gli aggressori lanciano regolarmente migliaia di credenziali in ogni punto di accesso remoto che riescono a raggiungere. Questa attività, combinata con altri “Worm”, aiuta a garantire un inventario integro che può essere utilizzato in attacchi mirati contro la tua agenzia o organizzazione.
I “Bruteforcer” possono anche essere utilizzati per creare inventari di botnet, ma hanno uno scopo secondario e nefasto: lavorare per ottenere l’accesso iniziale, che può essere venduto agli offerenti sui forum degli aggressori. È sufficiente che un’organizzazione o un individuo lascino un sistema predefinito o mal configurato su Internet per meno di un’ora per farlo diventare parte di questo inventario contraddittorio. È raro che l’infrastruttura di attacco mirato venga utilizzata per questa attività, piuttosto rumorosa. Pertanto, si consiglia vivamente di bloccare questi tentativi a livello di rete e di verificare la presenza di richieste in uscita verso indirizzi IP che presentano questo comportamento.
Prima di esaminare quali sistemi e dispositivi vengono presi di mira in Italia, dobbiamo notare che dei 44.700 tentativi di sfruttamento dannoso in entrata, 487 (1,1%) erano diretti solo all’Italia durante il periodo di osservazione. Ciò potrebbe indicare che organizzazioni come l’Agenzia per la Cybersicurezza Nazionale (ACN) stanno contribuendo a rendere le reti nazionali sufficientemente resistenti agli attacchi per costringere gli aggressori a dirigere gli sforzi incentrati sul Paese altrove.
Traffico in uscita dannoso
Durante il periodo di studio, i ricercatori di GreyNoise hanno osservato solo 7.937 tentativi di sfruttamento dannoso provenienti da fonti di rete attribuite all’Italia.
La distribuzione dei tag in uscita è quasi identica a quella in entrata, quindi eviteremo ripetizioni e ci concentreremo su due punti di interesse.
Innanzitutto, le reti “Business” sono al terzo posto nell’elenco:
Ciò è alquanto sconcertante data la discussione nella sezione precedente. Sia ACN che le organizzazioni che contribuiscono a fornire servizi di sicurezza informatica alle piccole e medie imprese in Italia potrebbero prendere in considerazione l’implementazione di controlli più rigorosi sulle attività dannose per ridurre la probabilità che queste reti vengano sempre più utilizzate nelle campagne avversarie.
Il successivo e ultimo punto è che i nodi sotto il controllo di un avversario in Italia sembrano mirare alle reti alleate, sebbene anche il traffico dannoso sia diffuso:
Ciò non sorprende, poiché lo spazio degli indirizzi IP italiani tende ad avere una reputazione positiva più elevata rispetto a molti altri paesi, quindi le decisioni iniziali di “fiducia” basate sul rischio che fanno parte di molti sistemi di difesa perimetrale hanno maggiori probabilità di consentire il passaggio di connessioni da fonti italiane.
Le organizzazioni possono utilizzare GreyNoise per vedere se sono “parte del problema” e le agenzie in Italia dovrebbero lavorare a stretto contatto con ISP, provider di hosting, operatori di telefonia mobile e aziende per garantire che la reputazione dello spazio IP italiano continui ad avere un trend positivo.
In sintesi
Ogni utente di GreyNoise può utilizzare gli stessi dati forniti in questo rapporto per ottenere approfondimenti orari sulle attività dannose provenienti da o verso le reti di organizzazioni e agenzie in Italia. Le stesse query possono essere personalizzate per fornire avvisi tempestivi sulle minacce emergenti prese di mira o provenienti dalle reti italiane. Lavorando insieme, possiamo contribuire a ridurre il numero di nodi botnet attivi su Internet e a rendere Internet molto più sicuro per gli esseri umani che miriamo a proteggere.
Scopri la pagina del vendor sul nostro sito
