REPORT SULLE MINACCE INFORMATICHE
REPORT SULLE MINACCE INFORMATICHE
Novembre 2023
Insights Gleaned from a Global Network of Experts, Sensors, Telemetry, and Intelligence
UNC4841, un gruppo di spionaggio legato alla Cina, compromette la rete globale di un'azienda del tuo settore sfruttando la vulnerabilità CVE-2023-2868.
In qualità di CISO, incarichi i membri del tuo team SecOps di applicare le patch per evitare un impatto grave sui tuoi sistemi.
Ma i membri del consiglio di amministrazione sono preoccupati e richiedono di vederti di persona: hanno bisogno di essere rassicurati. La sicurezza informatica non è una loro competenza: non puoi quindi semplicemente dire loro che hai corretto 500 vulnerabilità.
Le tue spiegazioni iniziano con le minacce informatiche, la Threat Intelligence e le informazioni raccolte da un milione di sensori.
Benvenuto nell'edizione di novembre 2023 del Report sulle minacce informatiche di Trellix.
Report sulle minacce informatiche di Trellix
Authored by Trellix’s Advanced Research Center, this report (1) highlights insights, intelligence, and guidance gleaned from multiple sources of critical data on cybersecurity threats, and (2) develops expert, rational, and reasonable interpretations of this data to inform and enable best practices in cyber defense. Questa edizione si concentra sulle informazioni e sui dati acquisiti fra il 1° aprile e il 30 settembre 2023.
Una collaborazione fondamentale
Quali sono le minacce in agguato? Cosa possiamo aspettarci? Come possiamo anticiparlo?
Sono domande che ogni giorno tutti noi ci poniamo. Che tu sia un CISO, un membro del team SecOps o un esperto del nostro Advanced Research Center. Proprio come te, siamo divisi tra riunioni di crisi con amministratori delegati e consigli di amministrazione e missioni intensive di ricerca e intervento che durano tutto il fine settimana per rintracciare ransomware o payload attivi dannosi.
Una collaborazione di qualità è essenziale per il successo delle nostre missioni.
- Tu supervisioni le informazioni, la tecnologia e la sicurezza informatica della tua azienda. Noi siamo i tuoi occhi e le tue orecchie, in prima linea contro i rischi informatici che devi gestire.
- Condividiamo competenze simili, dall’esperienza di alto livello nell’architettura di rete e nell’amministrazione di sistemi, alle informazioni rilevanti per la sicurezza nazionale, le forze armate, la giustizia, le unità di intervento speciale, l’antiterrorismo e lo spionaggio.
Sia che operino da soli o insieme, i nostri team rappresentano la prima linea di difesa per la maggior parte delle aziende del mondo.
Le conseguenze degli attacchi informatici continuano ad evolvere.
La prevenzione di questi incidenti e delle loro ripercussioni inizia con l’analisi delle informazioni sulle minacce, la Threat Intelligence. Si tratta di comprendere l'ambiente delle minacce e tradurre i dati di telemetria grezzi in informazioni fruibili sui criminali informatici, le vulnerabilità e gli attacchi.
Pubblichiamo il report delle minacce informatiche di Trellix per te. In questa edizione del quarto trimestre 2023
troverai approfondimenti sui quattro aspetti che costituiscono l’ambiente delle minacce: (1) gli attacchi sponsorizzati dagli Stati nazionali e le APT, (2) la continua evoluzione del ransomware, (3) i cambiamenti nel comportamento dei criminali informatici e (4) la minaccia emergente dell’intelligenza artificiale generativa.
La Threat Intelligence modella il campo di battaglia. Nella sicurezza informatica, tutto inizia da qui.
Direttore della Threat Intelligence, Trellix
Introduzione
Recessione geopolitica: guerre, disordini e instabilità
Nella sicurezza informatica, il contesto globale è sempre importante. Guerre e conflitti infiammano le passioni. Le fragili relazioni tra gli Stati alimentano sfiducia e misfatti di ogni tipo. L’instabilità economica offre ad alcuni l'opportunità di sfruttare le vulnerabilità di altri. Ecco alcuni dei fattori che hanno influenzato i dati e le analisi delle minacce nel quarto trimestre 2023:
- La guerra tra Russia e Ucraina e l’incertezza sulla Russia postbellica: gli hacker filorussi hanno continuato a intensificare gli attacchi contro l’Ucraina concentrandosi principalmente su infrastrutture critiche, strutture governative e centri di comando e controllo militare. Gli attivisti informatici hanno ampliato la portata dei loro attacchi per colpire le Nazioni Unite, la NATO e l’Occidente, compresi gli attacchi informatici alle infrastrutture critiche e ai sistemi finanziari negli Stati Uniti e in Europa. Riteniamo che questi attacchi continueranno ad essere sempre più sofisticati dopo la guerra, alimentati dall'isolamento di una nazione indebolita.
- La Cina e le sue capacità di spionaggio informatico e furto di proprietà intellettuale: l’approccio altamente organizzato della Cina al furto della proprietà intellettuale si è ora evoluto, “nel furto di proprietà intellettuale più prolungato, ampio e sofisticato... senza precedenti nella storia dell’umanità”, secondo Christopher Ray, direttore dell’FBI. Alcuni leader globali temono inoltre che la piattaforma di proprietà cinese TikTok venga utilizzata per raccogliere informazioni di massa e condurre operazioni di influenza. Nel frattempo, la nazione continua a intensificare gli attacchi informatici contro Taiwan.
- Iran e Corea del Nord, due Stati canaglia con sofisticati attacchi informatici: questi due Paesi autocratici sono impegnati a minare la democrazia in tutto il mondo. Il mese scorso Anne Neuberger, consigliera aggiunta alla sicurezza nazionale per le tecnologie informatiche ed emergenti presso il Consiglio nazionale di sicurezza degli Stati Uniti, ha sottolineato che la Corea del Nord sta già sperimentando attacchi informatici potenziati dall’intelligenza artificiale. Allo stesso tempo, i gruppi sostenuti dallo Stato iraniano stanno prendendo di mira in modo aggressivo imprese farmaceutiche, della difesa e del settore dei satelliti.
- La guerra tra Israele e Hamas e le crescenti tensioni in tutto il Medio Oriente: sebbene questa guerra armata sia scoppiata all’inizio di ottobre, ossia subito dopo la scadenza del 30 settembre per i dati e le analisi da includere nell’attuale edizione di questo report, è necessario evidenziarne l’importanza per la sicurezza informatica. La guerra ancora in corso ha drammaticamente aumentato, in Medio Oriente come in Europa, le tensioni fra i sostenitori di entrambe le parti del lungo conflitto israelo-palestinese e minaccia di diffondersi in altre nazioni della regione.
- L’intelligenza artificiale come arma informatica: negli ultimi mesi i criminali informatici hanno cominciato a incorporare l’intelligenza artificiale (IA) nel meccanismo di preparazione degli attacchi: dall’identificazione dei sistemi già infettati da payload dannosi alla composizione di email di miglior qualità, dalla risposta a domande complesse in chatbot compromessi, fino alla risoluzione dei problemi e alla generazione di nuovo codice. Man mano che gli strumenti avanzati di intelligenza artificiale generativa diventano più facilmente accessibili, i criminali informatici possono lanciare attacchi in modo molto più facile ed economico, senza disporre di conoscenze tecniche.
- Tensione politica, attivismo informatico e disinformazione: come avevamo previsto alla fine del 2022, l’attivismo informatico (hacking con movente politico o sociale condotto da attivisti) è in aumento, alimentato in larga misura dalla maggiore polarizzazione politica negli Stati Uniti, in vista delle elezioni presidenziali del 2024, oltre che in altri Paesi come Canada, Svizzera, Brasile e Nuova Zelanda. Alcuni gruppi adottano tattiche e strumenti informatici per amplificare i propri messaggi, diffondere disinformazione e causare disagi.
Metodologia: come raccogliamo e analizziamo i dati
Trellix e gli esperti dell’avanzato team Trellix Advanced Research Center raccolgono le statistiche, le tendenze e i risultati delle analisi che compongono questo report da un'ampia gamma di fonti globali, sia bloccate sia aperte. I dati aggregati alimentano le nostre piattaforme Insights e ATLAS. Sfruttando l'apprendimento automatico, l'automazione e l'acutezza umana, il team svolge una serie di processi intensivi, integrati e iterativi per normalizzare i dati, analizzare le informazioni e sviluppare approfondimenti significativi per i responsabili della sicurezza informatica e i team SecOps, in prima linea contro le minacce in tutto il mondo. Per una descrizione più dettagliata della nostra metodologia, vedere in fondo a questo report.
Applicazione: come utilizzare queste informazioni
È fondamentale che qualsiasi team di valutazione, leader del settore, comprenda, riconosca e, ove possibile, mitighi l'effetto del pregiudizio, ossia l'inclinazione naturale, insita o invisibile, ad accettare, rifiutare o manipolare i fatti e il loro significato. Lo stesso principio vale per i consumatori dei contenuti.
A differenza di un test o esperimento matematico altamente strutturato e basato su controlli, questo report è per sua natura un esempio di comodità: un tipo di studio non probabilistico spesso utilizzato nei test medici, psicologici e sociologici che si basa su dati disponibili e accessibili.
- In breve, i risultati qui esposti si basano su ciò che possiamo osservare e, chiaramente, non includono prove relative alle minacce, agli attacchi o alle tattiche che hanno eluso il rilevamento, la segnalazione e l'acquisizione dei dati.
- In assenza di informazioni "complete" o di una visibilità "perfetta", questo è il tipo di studio più adatto all'obiettivo del presente report: identificare fonti note di dati critici sulle minacce alla sicurezza informatica e sviluppare interpretazioni razionali, esperte ed etiche di questi dati per informare e mettere in atto le migliori pratiche di difesa informatica.
Come comprendere l'analisi presentata in questo report
Per comprendere gli approfondimenti e i dati contenuti in questo report è necessario rivedere brevemente le seguenti linee guida:
- Un’istantanea temporale: nessuno ha accesso a tutti i registri di tutti i sistemi connessi a Internet, non tutti gli incidenti di sicurezza vengono segnalati e non tutte le vittime vengono ricattate e pubblicate sui siti di divulgazione. Tuttavia, monitorando e tracciando ciò che sappiamo, possiamo ottenere una migliore comprensione delle varie minacce, riducendo al contempo i punti ciechi nell’analisi e nelle indagini.
- Falsi positivi e falsi negativi: tra le caratteristiche tecniche ad alte prestazioni degli speciali sistemi di tracciamento e telemetria di Trellix per la raccolta dei dati ci sono meccanismi, filtri e tattiche che aiutano a ridurre o rimuovere i falsi positivi e falsi negativi. Ciò permette di elevare il livello di analisi e la qualità dei nostri risultati.
- Rilevamenti, non infezioni: per telemetria intendiamo i dati relativi ai rilevamenti, non alle infezioni. Un rilevamento viene registrato quando un file, URL, indirizzo IP o altri indicatori viene rilevato da uno dei nostri prodotti e ci viene poi segnalato.
- Acquisizione non uniforme dei dati: alcune serie di dati richiedono un’attenta interpretazione. I dati del settore delle telecomunicazioni, ad esempio, includono la telemetria dei clienti ISP che operano in molti altri settori.
- Attribuzione degli attacchi sponsorizzati dagli Stati: analogamente, attribuire la responsabilità di vari attacchi e minacce informatiche a un gruppo sponsorizzato dallo stato può essere molto difficile, data la pratica comune fra questi gruppi di usurpare l’identità di un altro collettivo o di far sembrare le attività dannose come provenienti da una fonte affidabile.
Fatti salienti delle minacce in breve: 4° trimestre 2023
- Socioeconomia, Stati-nazioni e APT
- La geopolitica guida l’attività delle minacce informatiche: con l’inasprirsi del conflitto geopolitico in nazioni come Russia, Ucraina, Cina, Taiwan e Israele, l’attività dei gruppi APT e degli attivisti informatici si sta intensificando in tutto il mondo. In sei mesi l’attività dei gruppi associati a degli Stati è aumentata di oltre il 50%.
- Paesi e regioni colpiti: i gruppi sponsorizzati dagli Stati sono sempre più coinvolti nello spionaggio digitale, nelle campagne di disinformazione e nella guerra informatica. Oltre a Cina e Stati Uniti, recenti ondate di attacchi hanno preso di mira paesi come India, Turchia e Vietnam.
- Il ritorno degli attacchi contro i dispositivi perimetrali: i pirati informatici, compresi i gruppi delle APT, stanno ritornando alle tradizionali minacce verso i dispositivi posti sul perimetro delle reti. Tra i casi più gravi, i recenti attacchi che hanno interessato Ivanti, MOVEit e Barracuda Networks.
- Piccoli cambiamenti nel panorama dei ransomware
- Famiglie piccole con grandi ambizioni: anche se i gruppi del ransomware restano predominanti, stanno emergendo in modo sempre più evidente criminali digitali più piccoli, come Agrius, Bl00dy e FusionCore.
- Convergenza tra l’attività dei ransomware e le tendenze delle APT: India, Turchia, Israele e Ucraina stanno subendo elevati volumi di attacchi, suggerendo che le pratiche di ransomware e le APT stanno convergendo.
- Evoluzione del mercato clandestino della criminalità informatica
- Collaborazione a delinquere: i principali criminali informatici stanno iniziando a collaborare verso obiettivi pratici, come la condivisione o la vendita di vulnerabilità ed exploit zero-day, oltre che per ideali politici comuni.
- Coordinamento e condivisione delle vulnerabilità zero-day: i criminali informatici stanno cambiando tattiche. Invece di nascondere le più promettenti vulnerabilità scoperte, le vendono sul mercato. Pertanto, la proliferazione degli exploit zero-day è più che mai elevata.
- Nuovi linguaggi per il malware: i nuovi linguaggi di programmazione come Nim, Rust e Golang offrono ai criminali informatici funzionalità interessanti. In particolare si sta diffondendo il malware basato su Golang, principalmente per ransomware (32%), backdoor (26%) e trojan horse (20%).
- L’emergere dell’intelligenza artificiale dannosa
- Sono tornati gli “script kiddie”: aiutati dagli strumenti di intelligenza artificiale generativa, come ChatGPT, criminali piccoli e grandi possono vincere sfide considerevoli. Ora possono espandersi più velocemente e con maggiore efficienza, individuando meglio le loro vittime.
- Sviluppo di LLM dannosi: esistono già imitazioni di ChatGPT progettate per i criminali informatici. L’accelerazione e la sofisticatezza degli attacchi di phishing osservate negli ultimi anni suggeriscono che i criminali informatici stanno già iniziando a sfruttare alcuni di questi strumenti.
Segnalazioni, dati e analisi
Attacchi sponsorizzati dagli Stati e minacce persistenti avanzate (APT)
I gruppi sponsorizzati dagli Stati sono sempre più coinvolti nello spionaggio digitale, nelle campagne di disinformazione e nella guerra informatica. Infatti, con l’inasprirsi delle ostilità fra varie entità, come Russia e Ucraina, Cina e Taiwan, Israele e Hamas e altri ancora, gli attacchi informatici perpetrati dai gruppi APT e dagli attivisti informatici si sono intensificati in tutto il mondo a un ritmo molto più elevato rispetto al 2022 e agli anni precedenti. Solo negli ultimi sei mesi, l’attività dei gruppi associati agli Stati-nazioni è aumentata di oltre il 50%.
Gruppi sponsorizzati dagli Stati e APT attivi
Dall'analisi dei soli dati di telemetria, gli Stati più rappresentati risultano essere Cina, Russia e Corea del Nord. Negli eventi di pubblico dominio, il Paese più rappresentato è la Corea del Nord, con 36 segnalazioni di gruppi affiliati tra cui Lazarus, Kimsuky, APT37 e BlueNoroff. Il secondo è la Cina con 33 eventi segnalati, molti dei quali hanno coinvolto Mustang Panda. I gruppi criminali affiliati alla Russia rendono questo Paese il terzo più presente, con 29 eventi segnalati che hanno coinvolto Gamaredon, APT28, APT29 e altri.
Principali paesi d’origine dei criminali informatici - 2° T a 3° T*
* Percentuale totale dei rilevamenti APT dai dati di telemetria Trellix e dalle segnalazioni del settore della sicurezza informatica.Principali paesi d’origine dei criminali in base alle segnalazioni del settore della sicurezza informatica - 2° T a 3° T*
Principali paesi d’origine dei criminali in base ai rilevamenti basati sui dati di telemetria - 2° T a 3° T*
1.
Cina
75,46%
2.
Russia
9,38%
3.
Corea del Nord
7,37%
4.
Iran
4,28%
5.
Vietnam
1,17%
I gruppi APT identificati più di frequente negli eventi segnalati nel 2°e 3° trimestre sono Mustang Panda, sponsorizzato dalla Cina, Lazarus, sostenuto dalla Corea del Nord e i gruppi Gamaredon affiliati alla Russia. Ciò non significa necessariamente che questi gruppi siano stati i più attivi, come suggerito dai dati di telemetria globale, ma che sono stati coinvolti in attacchi e violazioni di grande impatto.
Come molti autori di APT sostenuti dalla Cina, Mustang Panda è motivato dalla raccolta di informazioni strategiche in altre regioni. Pertanto il gruppo adotta un approccio più metodico, dà priorità all’uso di strumenti e malware personalizzati e si concentra in modo disciplinato su settori e obiettivi specifici. Di conseguenza, è relativamente più probabile che Mustang Panda venga identificato e denunciato rispetto ad altri gruppi.
Invece, come molti gruppi APT associati alla Corea del Nord, Lazarus è fortemente rappresentato su entrambi i fronti. In effetti, il gruppo (probabilmente autore della campagna di spionaggio informatico Operation Dream Job) è più spinto da motivazioni economiche, sfrutta una gamma più ampia di strumenti e prende di mira un insieme di aziende più vasto. Ciò si aggiunge alle sue priorità strategiche: attacchi contro le infrastrutture militari, le aziende legate alla difesa nazionale o i massimi ingegneri nucleari di Stati Uniti, Israele, Australia e Russia.
Principali gruppi di criminali in base alle segnalazioni basate sui dati di telemetria - 2° T a 3° T*
1.
APT40
42,28%
2.
Mustang Panda
15,93%
3.
Lazarus
5,12%
4.
APT1O
2,82%
5.
Gamaredon Group
2,66%
Principali gruppi di criminali in base alle segnalazioni del settore della sicurezza informatica - 2° T a 3° T*
Paesi e regioni colpiti
Il confronto fra i dati di telemetria globale e report del settore evidenzia che le tendenze riflettono alcuni dei conflitti militari e delle tensioni socioeconomiche mondiali del 2023. I gruppi APT sostenuti dalla Russia continuano a sferrare attacchi informatici coordinati contro aziende private e organizzazioni pubbliche ucraine. Allo stesso tempo, mentre la Cina mostra i muscoli sullo stretto di Taiwan, criminali informatici affiliati alla Cina aggrediscono l'isola con attacchi informatici. Analogamente, i gruppi APT nordcoreani prendono di mira la Corea del Sud.
Anche i dati sulle minacce che coinvolgono altri paesi riflettono gli eventi mondiali. Sebbene non siano ancora palesemente legati a conflitti o sviluppi geopolitici più ampi, sembra che i principali attori affermati stiano rifocalizzando o espandendo le loro attività per colpire regioni specifiche.
- La guerra tra Israele e Hamas: anche se le ostilità sono iniziate a ottobre, e quindi non si riflettono nei dati alla base di questo report, nei mesi precedenti sono aumentati notevolmente i report pubblicati dal settore e i rilevamenti in quella regione. Non è chiaro se questa attività sia stata un segnale precursore di ciò che è seguito, ma possiamo affermare che le attività dei gruppi APT pakistani, iraniani e sauditi hanno certamente contribuito a destabilizzare ulteriormente la regione.
- L’asse India-Pakistan: ad esempio, APT36, un gruppo affiliato al Pakistan, ha una lunga storia di attacchi contro entità governative e il settore della difesa dell’India. Negli ultimi due trimestri, tuttavia, l'attività del gruppo ha riflettuto una crescente attenzione al settore dell'istruzione, in quello che potrebbe essere un tentativo strategico di monitorare e forse compromettere i progressi dell'India nel campo della ricerca e della tecnologia. Diversi altri gruppi APT stanno prendendo di mira l’India, forse spinti dal fatto che l’India presiede il G20 dal dicembre 2022.
- Turchia e Medio Oriente: anche gli attacchi dei gruppi APT contro la Turchia, un altro membro del G20, sono aumentati. Il gruppo GoldenJackal sembra essere sempre più interessato ad attaccare i Paesi del Medio Oriente. Anche SideWinder, che in passato si concentrava principalmente su Pakistan e Sri Lanka, ha spostato la sua attenzione sulla Turchia, anche se non ne è chiaro il motivo.
Seguiremo da vicino queste nuove tendenze nei prossimi mesi.
Principali paesi presi di mira - 2° T a 3° T*
* Percentuale totale dei rilevamenti di ransomware dai dati di telemetria Trellix e dalle segnalazioni del settore della sicurezza informatica.Evoluzione del panorama del ransomware
Il ransomware si conferma il tipo di attacco informatico più comune in tutto il mondo. I rilevamenti globali e gli incidenti segnalati nel settore, in particolare nel 2° trimestre, riflettono variazioni insolite nelle famiglie di ransomware, nonché nei paesi e settori presi di mira. Per contestualizzare, forniamo anche i dati del 1° trimestre.
Rilevamenti di ransomware nel 2023*
* Numero totale dei rilevamenti di ransomware dai dati della telemetria Trellix.Eventi di ransomware del 2023*
* Numero totale degli incidenti legati al ransomware in base alle segnalazioni del settore della sicurezza informatica.Gruppi sponsorizzati dagli Stati e APT attivi
L’analisi delle attività del 2° e 3° trimestre pone in cima alla lista i “soliti sospetti”. LockBit è stato rilevato molto più spesso (54%) di altre varianti, seguito da BlackCat (22%) e Cuba (20%). Le segnalazioni del settore più comuni, tuttavia, sono state relative a BlackCat e Trigona (entrambi al 6%).
Principali varianti del ransomware - 2° T a 3° T*
* Percentuale totale degli incidenti di ransomware dai dati di telemetria Trellix e dalle segnalazioni del settore della sicurezza informatica.In prima pagina: Cl0p e MOVEit
Il più grave caso di ransomware nel corso di questo periodo è stato l'attacco a MOVEit di Cl0P, un exploit di esfiltrazione di dati che ha colpito oltre 2.500 aziende. Cl0P ha sfruttato una CVE specifica contro MOVEit, un software di trasferimento file gestito, che ha consentito di estrarre dati su larga scala.
Nonostante la sofisticatezza dell'attacco, Cl0P sembrava avere difficoltà a gestire il volume di dati e a comunicare con le vittime. Questo fattore, così come le risorse e il tempo investiti da Cl0p per ottenere uno scarso rendimento, getta dubbi sull'obiettivo degli aggressori.
All’inizio dell’anno i criminali informatici più attivi nel 2022, come LockBit e Royal, dominavano ancora il panorama delle minacce.
Nel 2° trimestre però sono saliti alla ribalta attori meno conosciuti. BlackCat è stata la variante più comunemente rilevata (51%), seguita dalle famiglie Black Basta, Trigona, Rorschach e Cyclance. Rorschach (6%) e Black Basta (4%) sono state anche quelle segnalate più di frequente. Per un breve periodo lo è stata anche Trigona (9%), finché il gruppo noto come Ukrainian Cyber Alliance non ha apparentemente spazzato via i server di Trigon.
Nel 3° trimestre abbiamo osservato un ritorno in forze dei principali gruppi che hanno riacquistato importanza sia nei dati di telemetria globale sia nelle segnalazioni del settore. In testa, LockBit (60% dei rilevamenti, 9% delle segnalazioni), BlackCat (22% dei rilevamenti, 9% delle segnalazioni) e Cuba (19% dei rilevamenti, 6% delle segnalazioni).
I gruppi di criminali informatici più piccoli stanno salendo alla ribalta?
Gli autori e i gruppi di ransomware stanno rapidamente traendo vantaggio dalle relazioni di affiliazione, dalla collaborazione rafforzata e da comunicazioni più intense nel sottobosco criminale informatico. Oggi possono sferrare attacchi sofisticati e su larga scala molto più facilmente che in passato.
Convergenza?
Una nuova tendenza da monitorare
I Paesi con la più elevata attività di ransomware sono correlati in modo inquietante con le tendenze dei gruppi APT affiliati agli Stati.
Potrebbe trattarsi di una semplice coincidenza,
ma potrebbe anche essere un primo segnale che gli obiettivi, i bersagli e i metodi di attacco dei gruppi di ransomware e dei gruppi APT stanno iniziando a convergere.
Paesi e regioni colpiti
A livello geografico, nel 2° e 3° trimestre, abbiamo osservato alcune novità sorprendenti in termini di attività. L’India è stato il Paese con la stragrande maggioranza (77%) dei rilevamenti di ransomware e si è classificata ai primi posti tra le segnalazioni del settore (7%). Le
due nazioni successive con il maggior numero di rilevamenti ed eventi sono state gli Stati Uniti e la Turchia. Durante questo periodo anche Israele, Ucraina e Russia si sono classificate ai primi posti per l’attività dei ransomware.
Distribuzione geografica del ransomware - 2° T a 3° T*
* Percentuale totale degli incidenti di ransomware dai dati di telemetria Trellix e dalle segnalazioni del settore della sicurezza informatica.Settori colpiti dal ransomware - 2° T a 3° T*
* Numero totale degli incidenti di ransomware dai dati di telemetria Trellix e dalle segnalazioni del settore della sicurezza informatica.Cambiamenti comportamentali dei criminali informatici
Le "Cinque famiglie” del crimine informatico
Una nuova collaborazione di alto profilo, una rete estesa denominata “Cinque famiglie”, è un ottimo esempio di come i criminali informatici uniscano le forze per aumentare la velocità, l’efficienza operativa e l’impatto dei loro attacchi informatici.
Questa coalizione più o meno organizzata che conta oltre 2.000 membri è composta dal gruppo di ransomware Stormous e dal gruppo di forum clandestini Blackforums.
Collaborazione a delinquere
Nella seconda metà del 2023 è emersa una tendenza preoccupante, che avevamo previsto da tempo. I criminali informatici stanno iniziando a collaborare. Questo nuovo comportamento è spinto sia da obiettivi pratici, come la condivisione o vendita di vulnerabilità ed exploit zero-day, sia da obiettivi politici. Queste collaborazioni assumono molte forme a seconda degli interessi, delle motivazioni e delle convinzioni politiche condivise dai gruppi.
Sfruttando le reciproche competenze complementari, questi gruppi massimizzano i propri vantaggi. Invece di concentrarsi esclusivamente su attacchi motivati politicamente come gli attacchi DDoS (Distributed Denials of Service), il danneggiamento dei siti web e le fughe di dati, hanno spostato la loro attenzione sulle attività di ransomware, utilizzando uno schema di doppia estorsione.
Altre collaborazioni sono guidate da obiettivi politici. Abbiamo osservato un netto aumento del numero di collettivi di attivisti informatici operanti all'ombra digitale del conflitto tra Russia e Ucraina. Gli attori seguenti, soprattutto quelli filorussi, stanno unendo risorse e sforzi.
- Darknet Parliament: questo gruppo prende di mira il sistema bancario del mondo occidentale lanciando attacchi contro l’infrastruttura di pagamento SWIFT.
- Net Worker Alliance: questo collettivo riunisce diversi gruppi filorussi alleatisi con altri attori contro comuni nemici, ovvero i paesi della NATO e l’Occidente in generale.
Analogamente, sta emergendo una maggiore collaborazione tra i criminali informatici ai margini del conflitto tra Israele e Hamas. Subito dopo lo scoppio della guerra in ottobre, il nostro team ha osservato un considerevole aumento dell’attività informatica. Dall’inizio del conflitto abbiamo identificato quasi 80 gruppi filopalestinesi, che hanno preso di mira aziende israeliane con attacchi informatici, e oltre due dozzine di attori filoisraeliani impegnati in attività di contrasto. Tra le centinaia di attacchi reciproci, gli incidenti degni di nota finora includono la violazione dei dati personali dei soldati delle forze di difesa israeliane e la loro vendita sul dark web; il furto di credenziali associate a diversi importanti uffici governativi palestinesi; attacchi informatici e violazioni che hanno aiutato ciascuna parte a prendere di mira le infrastrutture essenziali dell’altra.
Proliferazione degli attacchi zero-day
Nella seconda parte del 2023 abbiamo continuato a osservare la promozione attiva degli exploit zero-day mirati alle vulnerabilità dei sistemi Windows e Linux da parte di criminali informatici clandestini. Alcune delle vulnerabilità degne di nota, più discusse nel dark web, includono:
- Aumento dei privilegi locali (LPE): i forum clandestini presentano molti annunci pubblicitari sulle vulnerabilità LPE zero-day relative ai sistemi operativi Windows.
- Funzione e impatto: questi exploit consentono ai criminali informatici di trasferire i privilegi dell’utente a livello di amministratori di dominio o account SYSTEM. Spesso integrano funzionalità come l'elusione del controllo dell'account utente (UAC, User Account Control) e la possibilità di disattivare l’antivirus.
- Esempi di exploit in vendita: exploit zero-day per CVE-2023-36874, CVE-2023-29336 e CVE-2023-36874.
- Esecuzione di codice da remoto (RCE): sul dark web abbiamo osservato la vendita di exploit zero-day RCE che colpiscono varie applicazioni e sistemi software.
- Funzione e impatto: è stato riscontrato che queste vulnerabilità riguardano i prodotti Citrix, l’applicazione Discord, il software Veeam e i dispositivi di rete di fornitori come Draytek, TP-Link e SonicWall.
- Esempi di exploit in vendita: una vulnerabilità RCE zero-day particolarmente rilevante è stata associata al client qTox, uno strumento di messaggistica istantanea crittografata ampiamente adottato dai criminali informatici. La scoperta di questa vulnerabilità ha suscitato preoccupazione nella comunità del crimine informatico, poiché rischiava di svelare le reali identità degli autori delle minacce. Di conseguenza molti hanno interrotto completamente l’uso della piattaforma di messaggistica TOX o sono passati a client TOX alternativi.
Le vulnerabilità che permettono l'esecuzione di codice da remoto e l’aumento dei privilegi locali sono tra le più interessanti da sfruttare per i criminali informatici. Sebbene la vendita non sia una pratica nuova e diversi criminali informatici specializzati abbiano modellato la propria attività lucrativa sullo sviluppo e la vendita di tali exploit, la loro prevalenza nel mercato nero è notevolmente aumentata.
In effetti, le vulnerabilità zero-day scoperte oggi vengono rapidamente distribuite nella rete clandestina dei criminali informatici, finendo nelle mani dei gruppi più sofisticati e pericolosi. Le vulnerabilità zero-day rappresentano una minaccia più grave che mai. I maggiori gruppi di criminali informatici sono pronti e non aspettano altro che la prossima vulnerabilità da sfruttare (ad esempio, il prossimo Log4J, MOVEit o BlueKeep) per causare danni considerevoli e ottenere ingenti guadagni.
Malware poliglotti
Negli ultimi anni abbiamo registrato un notevole aumento nell’uso dei linguaggi di programmazione più recenti come Golang (o Go, come è formalmente noto), Nim e Rust, per sviluppare software dannosi. Sebbene il volume sia ancora basso rispetto ai linguaggi più vecchi come Python o C++, la loro adozione da parte dei criminali informatici è sempre più intensa.
Questi linguaggi attraggono i criminali informatici per molte ragioni. L'attenzione di Nim alle prestazioni e all'espressività lo rende utile per creare malware complessi. Le funzionalità di gestione della memoria di Rust sono interessanti per i gruppi di ransomware che vogliono crittografare in modo efficiente i loro campioni. La semplicità e le capacità di simultaneità di Go lo hanno reso uno dei linguaggi preferiti per la creazione di malware leggeri e rapidi. Nel 2023 abbiamo osservato che il malware basato su Golang è sempre più diffuso tra i criminali informatici. Abbiamo identificato l'emergere di diverse tendenze che seguiremo da vicino nei prossimi mesi.
Percentuali dei malware basati su Golang
All’inizio i criminali informatici utilizzavano Golang principalmente per creare campioni di infostealer al fine di ottenere i dati riservati dalle loro vittime, una pratica che ora rappresenta solo il 3,66% dei rilevamenti. Quest’anno, i criminali informatici che utilizzano Golang come ransomware rappresentano quasi un terzo dei rilevamenti (32%). Il fatto che gli autori di malware utilizzino Golang per creare ransomware su questa scala rappresenta un’evoluzione preoccupante in termini di complessità e maturità. Backdoor e trojan sono prevalenti tra i campioni di Golang, rappresentando rispettivamente circa il 25% e il 20%. Questi tipi di malware sono generalmente distribuiti tramite software fasulli che infettano qualsiasi utente li scarichi.
Particolarmente degni di nota, tuttavia, sono gli episodi in cui gruppi APT hanno sviluppato malware utilizzando Golang tra i loro metodi e tattiche. Ad esempio, all’inizio di quest’anno, i ricercatori hanno scoperto un nuovo attacco in Ucraina da parte di Sandworm. l wiper SwiftSlicer di questo gruppo APT è stato sviluppato utilizzando Golang. Sono stati osservati numerosi altri incidenti, per esempio la distribuzione da parte del gruppo APT28, sponsorizzato dallo Stato russo, di una versione basata su Go del malware Zebrocy o ancora l’implementazione da parte del gruppo APT Mustang Panda, affiliato alla Cina, di un nuovo loader basato su Go in diversi attacchi recenti. Queste osservazioni evidenziano come i criminali informatici si stiano adattando al panorama delle minacce utilizzando le nuove tecnologie.
Dispositivi perimetrali
Nel panorama delle minacce è in corso un cambiamento significativo, anche se un po’ inosservato, sul mondo spesso trascurato dei dispositivi perimetrali. A fronte dell'indubbia espansione della superficie di attacco dato il numero e la diversità dei dispositivi connessi nelle aziende, i dispositivi perimetrali come router e punti di accesso, indipendentemente dal settore in cui vengono utilizzati, stanno diventando la nuova frontiera per i criminali informatici, compresi i gruppi APT.
I rilevamenti di malware che attaccano questi tipi di dispositivi perimetrali continuano ad aumentare fra tutti i fornitori di dispositivi access point. I criminali informatici sfruttano le vulnerabilità di questi dispositivi per molti scopi, ad esempio: creare un punto d'appoggio per sondare la rete; creare webshell o backdoor sulla rete; aumentare i privilegi; utilizzare i dispositivi per i botnet DDoS; persino per azioni di spionaggio informatico strategico per conto di Stati-nazioni.
Ciò che distingue le minacce ai dispositivi perimetrali è la loro sottigliezza. Non si tratta delle vulnerabilità IoT facilmente prevedibili, ma di sfide meno evidenti poste dai dispositivi stessi. I dispositivi perimetrali presentano una complessità unica, tuttavia non sono in grado di rilevare le intrusioni. A differenza dei componenti di rete tradizionali, non possono essere semplicemente collegati a un altro IDS o IPS. I gateway del mondo digitale sono, per definizione, la prima e l’ultima linea di difesa, il che li rende sia un bersaglio sia un punto cieco. Le tattiche in costante evoluzione dei criminali informatici e la varietà delle architetture dei dispositivi perimetrali presentano sfide notevoli.
Nel corso del 2023 abbiamo riscontrato diversi casi in cui gruppi APT e sofisticate famiglie di ransomware hanno sfruttato le vulnerabilità dei dispositivi perimetrali per lanciare attacchi significativi:
- Ivanti Endpoint Manager Mobile
CVE-2023-35081 e CVE-2023-35078 erano entrambe vulnerabilità di Ivanti Endpoint Manager Mobile. La prima consentiva l’attraversamento della directory, mentre la seconda autorizzava l’elusione dell'autenticazione. Sebbene da allora siano state corrette, sono state sfruttate nel luglio 2023 per una serie di attacchi contro la Norvegia e la sua amministrazione pubblica. L’identità specifica del criminale informatico è ancora sconosciuta ma, in base agli obiettivi, molti esperti, compresi i nostri team, sospettano che si tratti di un gruppo APT. - Barracuda Email Security Gateway
CVE-2023-2868 era una vulnerabilità zero-day di Barracuda Email Security Gateway basata sull’immissione di comandi remoti. Questa falla è stata sfruttata da molti malware, dall'ottobre 2022, prima di essere risolta tramite la patch BNSF-36456 nel maggio 2023. UNC4841, un gruppo di spionaggio informatico legato alla Repubblica Popolare Cinese, ha sfruttato ampiamente questo exploit per attaccare aziende del settore dell’istruzione, della pubblica amministrazione e di ricerca in Cina, Hong Kong e Taiwan. - Progress MOVEit Transfer
CVE-2023-34362 era una vulnerabilità da iniezione SQL rilevata applicazione web MOVEit Transfer. Questa vulnerabilità è stata sfruttata dalla famiglia di ransomware Cl0p a maggio e giugno 2023. Il gruppo ha preso di mira i settori dei servizi finanziari, dell’istruzione, dell’energia, della sanità, della tecnologia e della pubblica amministrazione in vari Paesi fra cui Belgio, Canada, Francia, Germania, Lussemburgo, Svizzera, Regno Unito e Stati Uniti. Le azioni del gruppo successive all'esfiltrazione dei dati, tuttavia, indicano che il loro obiettivo principale era probabilmente più allineato all'esecuzione di attività APT che al pagamento di un riscatto.
La minaccia dell’intelligenza artificiale generativa
Vantaggi per i criminali informatici
Con il progresso e l'evoluzione della tecnologia dell'intelligenza artificiale e dei nuovi modelli linguistici di grandi dimensioni (LLM, Large Language Model) nuove soluzioni e applicazioni sfruttano tali innovazioni per la sicurezza informatica. Però, sebbene gli LLM mostrino un notevole potenziale tecnologico, la loro natura duplice li rende anche suscettibili allo sfruttamento dannoso da parte dei criminali informatici. Le principali applicazioni di intelligenza artificiale generativa come GPT-3.5, GPT-4, Claude e PaLM2 offrono capacità senza precedenti in termini di generazione di testi coerenti, risposta a domande complesse, risoluzione dei problemi e di codifica, tra le altre attività in linguaggio naturale.
Il nostro team nutre, tuttavia, preoccupazioni significative e ragionevoli in termini di sicurezza per il modo in cui i criminali informatici potrebbero abusarne per lanciare attacchi su larga scala. A differenza dei precedenti sistemi meno sofisticati, le applicazioni di intelligenza artificiale odierne rappresentano uno strumento potente e conveniente per gli hacker, poiché eliminano la necessità di competenze, tempo e risorse approfonditi. Queste applicazioni di intelligenza artificiale sono in grado di rispondere alle sfide con cui si confrontano i criminali informatici: sia di quelli più piccoli che cercano di ampliare la portata delle proprie attività, sia dei gruppi più grandi che mirano a migliorare l'individuazione dei bersagli o la loro efficienza. Alcuni esempi comuni di attacchi di phishing includono:
- Competenze preliminari: i criminali informatici con competenze limitate e conoscenze tecniche modeste possono utilizzare efficacemente gli strumenti di intelligenza artificiale per creare il malware per i loro attacchi. Queste applicazioni consentono agli aggressori di concentrarsi sullo sviluppo di strategie avanzate e sulla loro esecuzione, offrendo un approccio più snello che migliora l'impatto complessivo delle loro attività criminose.
- Qualità e quantità: creare email di phishing personalizzate è un compito molto laborioso, soprattutto nel caso dello spear-phishing. Tuttavia l’intelligenza artificiale generativa può produrre email che imitano lo stile di scrittura umano, con un coinvolgimento minimo da parte dell’autore dell'attacco. Può così generare volumi sostanziali di email di phishing convincenti, con un elevato livello di precisione ortografica, in brevi periodi di tempo.
- Carico di lavoro operativo: questi strumenti gestiscono abilmente volumi sostanziali di dati non strutturati durante la fase iniziale di raccolta, oltre a funzionare in modo continuo. Possono ridurre significativamente il costo per utente di un attacco, permettendo così ai criminali informatici di colpire un pubblico più ampio in modo economico. E poiché il costo delle risorse cognitive continua a diminuire, la spesa si riduce ulteriormente.
- Automatizzazione del social engineering: i criminali informatici si rivolgono sempre più alla tecnologia per automatizzare il social engineering. Utilizzano i bot per raccogliere i dati e indurre le vittime a condividere informazioni sensibili come le password monouso (OTP). Questo approccio riduce la necessità di un ampio coinvolgimento umano e limita le tracce post-attacco. Ciò ha portato all’emergere di mercati clandestini che offrono strumenti automatizzati di social engineering, fra cui i bot per la generazione di SMS/OTP e i web crawler basati sugli LLM.
Le truffe di social engineering ora hanno maggiori probabilità di includere voci generate dall’IA
Dato che ora i timbri e le sfumature del linguaggio umano possono essere imitati in modo molto realistico, sta diventando sempre più difficile distinguere tra voci reali e false.
Le voci generate dall’intelligenza artificiale possono anche essere programmate per parlare più lingue, consentendo ai truffatori di rivolgersi a vittime di regioni geografiche e origini linguistiche diverse, automatizzando e amplificando la portata e l’efficacia delle loro attività fraudolente.
Sfruttamento di LLM dannosi in ambiente reale
La disponibilità di software gratuiti e open source è all’origine dell’aumento degli "script kiddie", persone con competenze tecniche scarse o nulle che utilizzano strumenti automatizzati o script preesistenti per lanciare gli attacchi a sistemi informatici o reti. Anche se a volte vengono liquidati come dilettanti inesperti o aspiranti hacker, la crescente disponibilità di strumenti avanzati di intelligenza artificiale generativa e il loro potenziale utilizzo per la creazione di malware dannoso significano che un qualsiasi pirata informatico può costituire una minaccia significativa e crescente per il mercato.
I criminali informatici possono sfruttare gli strumenti LLM per migliorare le fasi chiave di una campagna di phishing raccogliendo informazioni contestuali, estraendo dati per creare contenuti su misura e generando email di phishing su larga scala a costi marginali bassi. Sebbene al momento esistano poche prove conclusive che suggeriscono che questo tipo di sfruttamento di LLM sia già in atto, alcune tendenze lasciano intendere che si tratta di una possibilità concreta. La velocità e la portata con cui crescono gli attacchi di phishing, con centinaia di milioni di nuovi attacchi ogni trimestre, indicano che i criminali informatici utilizzano strumenti LLM per sostenere le proprie attività.
L’intelligenza artificiale generativa usata a fini dannosi è solo l’inizio. Stanno emergendo strumenti più avanzati che utilizzano l’intelligenza artificiale generativa per superare in astuzia la sicurezza degli endpoint, creando dei malware che eludono le firme e ponendo una minaccia strategica persistente alla sicurezza informatica. Le future applicazioni di intelligenza artificiale generativa dannosa permetteranno di eludere in modo efficace le difese e offriranno un anonimato pressoché totale oltre a complicare l’attribuzione degli attacchi, rendendo difficile per i team di sicurezza rintracciarli. Ciò prolungherà i tempi di permanenza, facilitando gli attacchi di tipo APT di basso profilo e a lenta esecuzione. Inevitabilmente, l’intelligenza artificiale generativa metterà queste capacità a disposizione di tutti gli aggressori. Ciò renderà essenziale l’interpretazione del comportamento, il rilevamento delle anomalie e il monitoraggio completo degli endpoint.
Conclusione
Informazioni sulle minacce e Threat Intelligence di Trellix: la storia inizia qui
Condividiamo la nostra Threat Intelligence per fornirti le informazioni oggettive di cui hai bisogno per le decisioni più importanti che dovrai prendere nell'anno a venire. Il nostro scopo è aiutarti a rafforzare in modo sostanziale le tue capacità di difesa informatica e risposta nel 2024 e oltre, indipendentemente dal modo in cui sceglierai di sfruttare le informazioni contenute in questo report.
Applicazione: come utilizzare queste informazioni
- Pianificazione strategica: utilizza questo report per informare il tuo amministratore delegato e il consiglio di amministrazione dell’aumento della complessità, letalità e anonimato delle minacce informatiche osservato quest’anno. Trellix aiuta numerosi CISO e altri responsabili della sicurezza a elaborare casi d'uso su misura delle loro aziende.
- Convalida finanziaria: condividi questo report per spiegare in modo indipendente e obiettivo i progetti di difesa informatica che hai implementato e le spese che hai sostenuto nel 2023.
- Razionalizzazione del budget: utilizza questo report per giustificare l’aggiornamento delle tue capacità esistenti di rilevamento delle minacce e risposta agli incidenti tramite tecnologie migliori.
- Supporto operativo: invita il tuo team SecOps a leggere questo report, una risorsa fondamentale che fornirà una visione sul contesto strategico generale del loro lavoro.
Tutti questi esempi di applicazione hanno origine nella Threat Intelligence. Ti aiuta a comprendere meglio il campo di battaglia della sicurezza informatica. Inoltre, ti aiuterà a spiegare la situazione in modo chiaro all'amministratore delegato e al consiglio di amministrazione. Cosa stai facendo e perché. Cosa hai bisogno di fare e quanto costerà. Perché il loro sostegno è fondamentale.
Come detto, tutto inizia da informazioni pertinenti e dalla loro analisi.
Metodologia
Acquisizione: Trellix e gli esperti dell’avanzato team Trellix Advanced Research Center raccolgono le statistiche, le tendenze e i risultati delle analisi che compongono questo report da un’ampia gamma di fonti globali.
- Fonti bloccate: in alcuni casi i dati di telemetria sono generati dalle soluzioni di sicurezza Trellix presenti nelle reti di sicurezza informatica dei clienti, nonché nei framework di difesa impiegati in tutto il mondo nelle reti del settore pubblico e privato, comprese quelle che distribuiscono servizi tecnologici, di infrastruttura o di dati. Questi sistemi, nell'ordine di milioni, generano dati a partire da un miliardo di sensori.
- Fonti aperte: in altri casi, Trellix si avvale di una combinazione di strumenti brevettati, proprietari e open source per esaminare siti, registri e archivi di dati presenti in Internet oltre che nel dark web, come i “siti di divulgazione”, o i gruppi di ransomware che pubblicano informazioni riguardanti le vittime del ransomware o di proprietà di queste ultime.
Normalizzazione: i dati aggregati alimentano le nostre piattaforme Insights e ATLAS. Sfruttando il machine learning, l'automazione e l'acutezza umana, il team passa attraverso una serie di processi intensivi, integrati e iterativi per normalizzare i dati, arricchire i risultati, rimuovere i dati personali e identificare le correlazioni fra i vari metodi di attacco, agent, settori, regioni, strategie e risultati.
Analisi: in seguito, Trellix analizza questo ampio archivio di informazioni, confrontandole con: (1) la sua ampia knowledgebase di intelligence sulle minacce, (2) i report di settore sulla sicurezza informatica prodotti da fonti molto autorevoli e accreditate, (3) l’esperienza e gli approfondimenti dei propri analisti, investigatori, specialisti in reverse engineering, analisi forense e vulnerabilità.
Interpretazione: infine, il team di Trellix estrae, rivede e convalida i dati significativi che aiuteranno i responsabili e i team SecOps a: (1) comprendere le ultime tendenze nell’ambiente delle minacce informatiche e (2) a utilizzare queste informazioni per migliorare la capacità di prevedere, prevenire e bloccare i futuri attacchi.
Trellix Advanced Research Center
TwitterInformazioni sul Trellix Advanced Research Center
Il Trellix Advanced Research Center dispone dello statuto più esaustivo nel settore della sicurezza informatica ed è all’avanguardia nello studio di metodi, tendenze e gruppi di criminali informatici emergenti nel panorama delle minacce. Partner fondamentale dei CISO, dei responsabili della sicurezza e dei loro team responsabili delle operazioni di sicurezza in tutto il mondo, il Trellix Advanced Research Center fornisce intelligence sulle minacce agli analisti di sicurezza e contenuti di prim’ordine, alimentando al contempo vita la nostra avanzata piattaforma XDR. Inoltre, il Gruppo Threat Intelligence di Trellix Advanced Research Center offre prodotti e servizi di intelligence sulle minacce ai clienti di tutto il mondo.
A proposito di Trellix
Trellix è un’azienda internazionale che ridefinisce il futuro della cyber security. La piattaforma XDR (eXtended Detection and Response) aperta e nativa di Trellix aiuta le aziende a proteggersi dalle minacce sempre più sofisticate che ogni giorno si trovano ad affrontare, e a gestire le proprie attività di business in modo sicuro e con resilienza. Trellix, insieme all’ampio ecosistema di partner, hanno accelerato l’innovazione tecnologica attraverso la data science e l’automazione per supportare oltre 40.000 clienti in ambito privato e pubblico LIVE sicurezza.
Iscriviti per ricevere le nostre informazioni sulle minacce
Questo documento e le informazioni in esso contenute descrivono le ricerche sulla sicurezza informatica e sono fornite esclusivamente a titolo informativo a beneficio dei clienti di Trellix. Trellix conduce ricerche in conformità con la sua Policy di divulgazione responsabile delle vulnerabilità | Trellix. Qualsiasi tentativo di ricreare in tutto o in parte le attività descritte è esclusivamente a rischio dell'utente. Trellix e le sue società affiliate declinano ogni responsabilità al riguardo.
Trellix è un marchio registrato di Musarubra US LLC o sue affiliate negli Stati Uniti e/o in altri paesi. Altri marchi e denominazioni potrebbero essere rivendicati come proprietà di terzi.