Barracuda full logo

Radar delle minacce SOC — Maggio 2025

Argomenti:
8 mag 2025
|
Eric Russo

Nell'ultimo mese, le soluzioni di sicurezza di Barracuda Managed XDR, l'intelligence sulle minacce e gli analisti SOC hanno identificato sviluppi di cui le organizzazioni dovrebbero essere consapevoli, tra cui:

  • Un aumento del 38% degli attacchi che prendono di mira i servizi VPN del firewall FortiGate
  • Un aumento del 26% nei tentativi di esfiltrazione dei dati
  • Un aumento del 47% nel rilevamento di malware "confezionato"
  • Avvisi di sicurezza per le vulnerabilità di CrushFTP e Next.js

Un aumento del 38% degli attacchi che prendono di mira i servizi VPN del firewall FortiGate

Cosa c'è dietro questo?

Gli analisti delle minacce SOC hanno visto centinaia di attacchi che cercano di sfruttare le vulnerabilità del firewall FortiGate ampiamente segnalate negli ultimi due mesi, con attori delle minacce che prendono di mira tunnel VPN scarsamente protetti per l'accesso iniziale alle organizzazioni.

Qual è il rischio?

Le vulnerabilità di FortiGate consentono agli attaccanti di bypassare l'autentic per ottenere privilegi amministrativi completi sui dispositivi vulnerabili. Questo può consentire agli attaccanti di modificare le impostazioni del firewall, creare account amministrativi dannosi, accedere alle reti interne e altro ancora. Per la vittima, l'attacco può portare violazioni dei dati, danni reputazionali, multe regolamentari e attacchi ransomware, come il caso SOC recentemente pubblicato RansomHub.

Sono esposto?

  • Le organizzazioni possono essere a rischio se hanno in uso firewall FortiGate ma non hanno ancora aggiornato completamente il software come raccomandato da Fortinet.
  • Un altro fattore di rischio è la mancanza di misure di autenticazione multifattoriale (MFA) robuste e applicate costantemente, specialmente sugli account VPN accessibili esternamente.
  • Una forza lavoro remota o distribuita può significare una maggiore dipendenza dai servizi VPN, che sono un obiettivo popolare per gli aggressori. Più dipendenti, appaltatori e altri possono connettersi alla rete dall’esterno del perimetro di sicurezza principale, maggiore è la superficie di attacco per gli attori delle minacce.

Azioni da intraprendere

  • Mantenere i sistemi e il software aggiorn con le ultime patch di sicurezza.
  • Imporre l'uso dell'MFA per l'accesso VPN — rende più difficile per gli attaccanti ottenere l'accesso anche se hanno compromesso con successo le credenziali dell'utente, ad esempio tramite un attacco di phishing o brute-force.
  • Implementare geo-fencing o politiche di accesso condizionale per consentire solo connessioni VPN da località autorizzate dove la vostra organizzazione opera.
  • Installare difese complete e stratificate con visibilità integrata ed estesa.
  • Barracuda Managed XDR offre funzionalità come l'intelligence sulle minacce, la risposta automatizzata alle minacce e l'integrazione di soluzioni più ampie come XDR Server Security, XDR Network Security e XDR Cloud Security, fornendo una protezione completa e riducendo drasticamente il tempo di permanenza.

Un aumento del 26% nei tentativi di esfiltrazione dei dati

Cosa c'è dietro questo?

Nell'ultimo mese, gli analisti delle minacce SOC hanno osservato un aumento del 26% nelle attività di esfiltrazione dei dati, poiché gli attori delle minacce spostano sempre più il loro focus dalla crittografia dei dati al semplice furto di dati sensibili o riservati ed estorcono denaro alle vittime per evitare di divulgare o vendere le informazioni.

Qual è il rischio?

  • La rimozione di dati sensibili può significare la perdita di proprietà intellettuale preziosa e vantaggio competitivo, impatto finanziario, danni reputazionali, violazioni dei dati, multe regolamentari e altro ancora.
  • L'esfiltrazione dei dati viene spesso implementata utilizzando misure avanzate e furtive come la compressione, la steganografia (nascondere contenuti in un file di testo, audio, video o immagine), il tunnelling (utilizzando un canale privato su una rete pubblica) o spostando i dati in modo silenzioso e lento per utilizzare una larghezza di banda minima e sembrare traffico ordinario. Queste misure possono rendere difficile per gli strumenti di sicurezza tradizionali individuare trasferimenti di dati non autorizzati.
  • L'esfiltrazione dei dati può anche essere effettuata da persone interne come dipendenti o appaltatori che potrebbero avere accesso legittimo a informazioni sensibili.
  • Gli attacchi di phishing e l'ingegneria sociale possono ingannare i dipendenti inconsapevoli inducendoli a supportare involontariamente l'esfiltrazione dei dati condividendo o spostando file riservati, ad esempio.
  • Gli attaccanti possono anche utilizzare backdoor che hanno installato o sfruttare vulnerabilità per aggirare le difese ed esfiltrare dati senza essere rilevati.

Sono esposto?

  • Una protezione di rete debole e impostazioni di sicurezza mal configurate — specialmente per risorse basate su cloud — possono facilitare agli attaccanti lo spostamento di informazioni fuori dalla rete.
  • La mancanza di un inventario aggiornato di strumenti e applicazioni può essere un rischio. Gli attaccanti spesso installano o sfruttano strumenti legittimi per spostare dati attraverso e fuori dalla rete. È importante sapere quali applicazioni e strumenti vengono utilizzati dai dipendenti, per cosa li stanno usando e se ci sono anomalie.
  • I bug software non corretti sono un obiettivo principale per gli attaccanti che cercano di installare strumenti dannosi come backdoor.
  • La mancanza di formazione sulla consapevolezza della sicurezza per i dipendenti potrebbe significare che sono più propensi a cadere in truffe di phishing e a condividere informazioni sensibili o riservate quando richiesto.

Azioni da intraprendere

  • Implementare controlli rigorosi per limitare l'accesso ai dati sensibili.
  • Impostare controlli aggiuntivi per monitorare e controllare i trasferimenti di dati dentro e fuori l'azienda.
  • Educare i dipendenti su come individuare il phishing e proteggere i dati sensibili.
  • Segmenta le reti e implementa misure di sicurezza zero-trust per limitare la capacità degli intrusi indesiderati di accedere ai tuoi dati più sensibili.
  • XDR Endpoint Security e XDR Network Security possono proteggere i sistemi rilevando e mitigando attività anomale associate ad attacchi che tentano di spostare dati fuori dalla rete.

Un aumento del 47% nel rilevamento di malware "confezionato"

Cosa c'è dietro questo?

Gli analisti delle minacce SOC hanno identificato un uso crescente di malware "impacchettato" — codice malevolo che è stato compresso o criptato per eludere il rilevamento. Gli esempi visti dagli analisti SOC erano file eseguibili o binari impacchettati con UPX (Ultimate Packer for eXecutables).

Qual è il rischio?

Sebbene il numero complessivo di rilevamenti sia relativamente basso, gli analisti delle minacce SOC si aspettano un aumento dell'uso di malware impacchettato.

  • Ciò è dovuto alla disponibilità diffusa di strumenti di impacchettamento automatici che facilitano anche agli attaccanti meno esperti la creazione di codice malevolo nascosto.
  • Gli attacchi ransomware spesso coinvolgono malware impacchettato per mantenere nascosto il payload finale di crittografia fino a quando non è pronto per l'esecuzione.
  • Gli strumenti di sicurezza tradizionali possono avere difficoltà a rilevare malware impacchettato poiché il codice malevolo è mantenuto nascosto.

Sono esposto?

  • Una forza lavoro remota o distribuita dipendente da VPN e risorse significative basate su cloud può aumentare il numero di punti di accesso potenzialmente non protetti e vulnerabili che gli attaccanti possono prendere di mira.

Azioni da intraprendere

  • Implementa una protezione avanzata degli endpoint come Barracuda Managed XDR Cloud Security.
  • Mantenere i sistemi e il software aggiorn con le ultime patch di sicurezza.
  • Implementa l'MFA per l'accesso VPN — rende più difficile per gli attaccanti ottenere l'accesso anche se hanno compromesso con successo le credenziali utente, ad esempio attraverso un attacco di phishing o forza bruta.
  • Controlla e correggi continuamente le configurazioni errate nelle impostazioni dei servizi cloud.
  • Utilizza la segmentazione della rete per limitare l'accesso alle aree sensibili della rete.
  • Implementa difese complete e stratificate con visibilità integrata ed estesa.

Altre attività di minaccia attuali da tenere d'occhio

Vulnerabilità critica di CrushFTP

CrushFTP è un sistema di trasferimento file multipiattaforma progettato per utenti domestici e organizzazioni. Una vulnerabilità critica è stata segnalata ad aprile che consente agli attaccanti di bypassare l'autenticazione e ottenere l'accesso senza credenziali al server di trasferimento file dove possono potenzialmente manipolare file, esfiltrare dati e interrompere i servizi. Un exploit proof-of-concept è stato pubblicato prima che la vulnerabilità fosse ampiamente corretta. Gli attori delle minacce hanno rapidamente colto l'opportunità — e gli analisti delle minacce SOC e altri hanno visto la vulnerabilità sfruttata in natura dagli attaccanti.

Azioni da intraprendere

Aggiorna immediatamente CrushFTP a una versione corretta, e controlla la tua configurazione CrushFTP, incluse password, permessi utente e diritti di accesso al server.

Per ulteriori informazioni

Avviso di minaccia alla sicurezza informatica Barracuda: Vulnerabilità critica di CrushFTP

Vulnerabilità critica di Next.js

Next.js è un framework per costruire applicazioni web e siti web veloci e user-friendly. La nuova vulnerabilità critica segnalata consente agli attaccanti di bypassare i controlli di autorizzazione nel "middleware" di Next.js — codice che controlla l'accesso a determinate parti di un'applicazione. Lo sfruttamento riuscito del bug consente agli attaccanti di accedere ad aree riservate di un'applicazione web senza le dovute autorizzazioni, permettendo loro di manipolare dati, modificare configurazioni o compromettere l'integrità dell'applicazione.

Azioni da intraprendere

Aggiorna Next.js e tutte le sue dipendenze alla ultima versione, e implementa controlli di accesso e autenticazione robusti.

Per ulteriori informazioni

Avviso di minaccia alla sicurezza informatica Barracuda: Vulnerabilità critica di Next.js

Come Barracuda Managed XDR può aiutare la tua organizzazione

Barracuda Managed XDR offre una protezione avanzata contro le minacce identificate in questo rapporto combinando tecnologia all'avanguardia con la supervisione esperta del SOC. Con l'intelligence sulle minacce in tempo reale, risposte automatizzate e un team SOC attivo 24/7/365, Barracuda Managed XDR garantisce una protezione completa e proattiva su rete, cloud, email, server ed endpoint, dandoti la sicurezza di rimanere avanti rispetto alle minacce in evoluzione.

Per ulteriori informazioni su come possiamo aiutarti, ti preghiamo di contattare Barracuda Managed XDR

Prenota una demo di Managed XDR
Eric Russo

Eric Russo is Director of SOC Defensive Security at Barracuda.

Post correlati:
Cl0p ransomware: The skeezy invader that bites while you sleep
Cl0p ransomware: The skeezy invader that bites while you sleep
 I file del caso SOC: la gang di ransomware armata di Python riemerge per affrontare un muro di difese XDR
I file del caso SOC: la gang di ransomware armata di Python riemerge per affrontare un muro di difese XDR
 Barracuda Celebrates Six Wins in 2025 SC Awards and Global InfoSec Awards
Barracuda Celebrates Six Wins in 2025 SC Awards and Global InfoSec Awards
 From days to hours: How Barracuda Managed XDR supercharges email protection for busy IT teams
From days to hours: How Barracuda Managed XDR supercharges email protection for busy IT teams
Search the blog

Subscribe to the Barracuda Blog.

Sign up to receive threat spotlights, industry commentary, and more.

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.