Nel 2021, gli autori di minacce informatiche di tutto il mondo hanno aumentato la pressione sulle questioni della sicurezza e non è esagerato affermare che il 2022 potrebbe essere l’anno più impegnativo di sempre. Per aiutare i team di sicurezza ad affrontare meglio le sfide, il fornitore di sicurezza minacce informatiche ha recentemente rilasciato il rapporto 2022 Threat Intelligence Forecast, che fornisce un’analisi predittiva delle minacce che continuano a crescere nel cyberspazio.
Il ransomware – tipo di malware (software malevolo) che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom) da pagare per rimuovere la limitazione – continuerà ad accelerare nel 2022. Le organizzazioni nei settori finanziario, manifatturiero, al dettaglio e sanitario continueranno a dover affrontare rischi maggiori. Gli sviluppatori di ransomware possono concentrarsi su campagne persistenti e sostenibili, incluso l’indirizzamento delle minacce a individui noti.
Il 2022 vedrà un’ondata di attacchi di “rapimento dati” (estorsione dovuta alla mancanza di crittografia dei dati della vittima). Il “rapimento di dati” significa che nel contesto dell’era dei big data, mentre le persone godono attivamente o passivamente dei vantaggi e della convenienza portati dai predetti, devono sopportare la digitalizzazione di ogni loro aspetto e l’impatto sulla vita sociale delle persone apporterà con gravi effetti negativi.
Gli attacchi alla catena di informazioni di terze parti continueranno ad aumentare in termini di frequenza, scala e sofisticatezza: nel 2022 è probabile che gli autori delle minacce prendano di mira piccoli fornitori di terze parti ed eventi critici nelle grandi catene di approvvigionamento.
La concorrenza tra gli sviluppatori di software infostealer –malware che cerca di rubare le informazioni – dovrebbe intensificarsi nel 2022, il che è destinato a stimolare l’innovazione tra gli sviluppatori per creare prodotti “migliori”, più complessi e servizi più facili da usare.
La domanda di servizi Initial Access Broker (IAB) – individui o gruppi che si riuniscono per ottenere l’accesso ad una rete o un sistema aziendale tramite mezzi che possono includere: furto di credenziali, attacchi aggressivi e sfruttamento di vulnerabilità 0-day (qualunque vulnerabilità di un software non nota ai suoi sviluppatori o da essi conosciuta ma non gestita), o vulnerabilità note ma non corrette – continuerà a crescere nel 2022. Dato il basso rischio di essere scoperti e l’elevata domanda di accesso iniziale, un numero crescente di IAB o singoli autori stanno cercando di vendere l’accesso di dati sensibili a terzi.
Si prevede che i criminali informatici continueranno a utilizzare l’automazione per promuovere la crescita delle loro vendite e delle licenze di sofisticate suite di phishing-as-a-service – forma inclusiva di criminalità informatica, che potenzialmente apre la porta a tutti, ed un numero maggiore di criminali informatici passerà da Bitcoin a Monero come criptovaluta preferita nel prossimo anno.
È molto probabile che il ransomware continuerà ad accelerare nel 2022. Senza modifiche significative alle misure di sicurezza per prevenire intrusioni ed eventuali disposizioni di legge, anche internazionali, per impedire agli autori delle minacce di operare in “zone immunitarie” giudiziarie, è facile che l’industria del ransomware continui a prosperare, dirigendosi verso organizzazioni di ogni dimensione ed in tutti i settori. Tra questi, la minaccia ransomware sfiderà i settori finanziario, manifatturiero, vendite al dettaglio e gravemente il versante sanitario.
Sebbene gli autori delle minacce continueranno probabilmente a concentrarsi sugli obiettivi delle PMI nei primi mesi del 2022, ci aspettiamo che la “caccia grossa” riemergerà nei mesi successivi. Ciò può manifestarsi in campagne rivolte a Managed Security Service Provider e altri servizi di terze parti, poiché forniscono accesso privilegiato a più sistemi di clienti, consentendo agli autori delle minacce di infettare numerose organizzazioni a valle con una singola intrusione.
D’altra parte, è improbabile che la repressione delle forze dell’ordine abbia un impatto duraturo sulle campagne di ransomware. Poiché i gruppi presi di mira da tali repressioni possono sospendere le operazioni o rinominarsi e riaprire, ed il ciclo va avanti all’infinito, in quanti ci saranno nuovi bersagli (software “protetti”) da colpire. Gli autori delle minacce dietro le famiglie di ransomware più popolari del 2021 – DarkSide, Conti, REvil, LockBit e BlackMatter – potrebbero tornare nel 2022 con nuove identità e software di rapina migliorati.
Date le tendenze emergenti nella seconda metà del 2021, gli autori delle minacce presteranno sempre maggiore attenzione alle attività di ricerca, crittografia ed esfiltrazione di informazioni. Ciò comporterà l’esecuzione di stringhe di ricerca per identificare e divulgare informazioni sensibili riguardanti il mondo degli affari, compreso lo spionaggio industriale; e le organizzazioni “colpende” non possono mitigare l’impatto di tali minacce con semplici misure di sicurezza, come la creazione di backup offline oppure all’affidarsi a “esperti” a stipendio fisso.
Le informazioni sull’obiettivo possono includere documenti legali o assicurativi, informazioni finanziarie commerciali, proprietà intellettuale o informazioni sensibili al mercato (come dettagli di acquisizioni o fusioni), per non parlare dell’intelligence di alcuni Stati recentemente posti alla berlina.
Gli autori delle minacce possono utilizzare queste informazioni per richiedere pagamenti di riscatti più elevati e fare più pressione sulle vittime affinché cedano. Gli sviluppatori di ransomware possono anche concentrarsi maggiormente sulle campagne di attacco persistenti, in cui gli autori delle minacce sono in grado di attaccare nuovamente le vittime anche dopo che il team di sicurezza ritiene che la minaccia iniziale sia stata eliminata, o per meglio dire: il parto delle illusioni.
Le azioni di contrasto aggressive contro i gruppi ransomware nel 2021 hanno spinto alcuni ad abbandonare gli attacchi a favore di schemi di rapimento di dati che i gruppi considerano meno rischiosi. In un’operazione di sequestro di dati, gli aggressori/gruppi ottengono dati, tramite phishing, scaricando un server configurato in modo errato o altri mezzi, quindi minacciano l’azienda vittima di divulgare i dati se non pagano. Questo è diverso da un attacco ransomware perché i file delle vittime non sono crittografati e le vittime hanno il pieno controllo sui loro server e operazioni, ma potrebbero voler evitare danni alla reputazione o multe associate a violazioni dei dati.
Poiché gli autori delle minacce cercano mezzi più efficaci per costringere le vittime a pagare il riscatto, anche le loro tattiche di estorsione potrebbero evolversi. Oltre a divulgare e sfruttare informazioni aziendali sensibili, gli autori delle minacce possono rivolgersi a individui noti nella criminalità organizzata, per indurre le vittime a pagare. Le minacce ai dirigenti di alto livello e alle loro famiglie, o il coinvolgimento di dirigenti in attività illecite, sono possibili opzioni. Quali possono essere i consigli per almeno mitigare le minacce?
1. Da una strategia di difesa in profondità a una strategia di sicurezza zero-trust: il modello zero-trust si basa sul principio “non fidarsi mai, verificare sempre” e fa affidamento su altre metodologie di sicurezza della rete, quali la segmentazione della rete e controlli di accesso rigorosi; un approccio alla sicurezza che presuppone l’assenza di un perimetro di rete affidabile e in base al quale ogni transazione di rete deve essere autenticata prima che possa concretizzarsi.
2. Segregazione dei beni importanti e della contabilità amministrativa, anche attraverso al ritorno dell’antica carta tenuta in cassaforte: metodo “primitivo” ma immune da malintenzionati che non abbiano né combinazione e né esplosivi.
3. Implementare l’autenticazione a più fautori per l’accesso remoto e gli account amministrativi.
4. Monitorare i canali di comunicazione degli autori delle minacce per le credenziali compromesse.
5. Utilizzare l’intelligence sulle minacce per concentrare la gestione delle vulnerabilità che l’autore dell’attacco sfrutterà; sempre che l’intelligence non sia a sua volta monitorata da chi deve scovare.
6. Disabilitare gli strumenti di amministrazione per gli utenti che non ne hanno bisogno per impedire agli autori delle minacce di abusare delle classiche ingenuità.
7. Disabilitare i componenti Windows e Linux non necessari o obsoleti.
8. Ritirate le soluzioni di accesso remoto che non sono più necessarie.
9. Prepararsi alle violazioni, costruendo e mantenendo costantemente rapporti con le forze dell’ordine.
È probabile che l’uso del TPC – ossia il protocollo di rete a pacchetto di livello di trasporto, appartenente alla suite di protocolli Internet, che si occupa di controllo della trasmissione ovvero rendere affidabile la comunicazione dati in rete tra mittente e destinatario – come veicolo di distribuzione di ransomware sia in aumento, perché abbassano le barriere all’ingresso degli autori delle minacce, e pongono malware nelle mani di più operatori. Gli attacchi legati al ransomware, tuttavia, possono generare molta copertura mediatica, il che potrebbe essere un fattore attenuante, poiché gli autori delle minacce non vogliono l’attenzione delle autorità.
La continua espansione della catena di fornitura del software potrebbe anche portare a un aumento degli attacchi TCP. I piccoli fornitori di terze parti nelle grandi catene di approvvigionamento saranno visti come anelli deboli attraverso i quali gli autori delle minacce possono prendere di mira organizzazioni di alto valore e attente alla sicurezza. Pertanto, le organizzazioni non possono concentrarsi solo sul rafforzamento delle proprie difese, ma devono anche proteggere le proprie catene di approvvigionamento. È probabile che gli autori delle minacce aumenteranno anche gli attacchi alle vulnerabilità nel telelavoro e nell’infrastruttura cloud.
Inoltre, potrebbero aumentare anche gli hacker “non statali” – ossia che agiscono al di là dei confini nazionali. Questi aggressori potrebbero prendere di mira eventi chiave e mediatici del 2022, come il Campionato del Mondo in Qatar, ecc., causando interruzioni e danni alla reputazione di organizzatori e sponsor degli eventi. Inoltre, come per le elezioni presidenziali statunitensi del 2020, le elezioni di medio termine del 2022 potrebbero evidenziare ulteriormente i rischi associati ai fornitori di terze parti.
Fino al 2022 il mercato criminale clandestino continuerà a fornire un canale redditizio per i malviventi informatici di ogni tipo per spacciare credenziali rubate dalla rete di un’organizzazione. L’impennata dell’uso di ladri di informazioni – come RedLine, Vidar, Azorult, Raccoon, Grand Stealer, Vikro Stealer, o ancora prodotti open source quali Sorano e AdamantiumThief – continuerà a guidare e ben pagare i suoi sviluppatori e la comunità.
Inoltre, data l’efficacia e la prevalenza dei loro attacchi, è probabile che le capacità multidimensionali che questi software per il furto di informazioni già possiedono, si espandano e crescano ulteriormente mentre tu stai leggendo queste parole. La concorrenza tra gli sviluppatori di software per il furto di informazioni si intensificherà, il che è destinato a stimolare l’innovazione tra gli sviluppatori per creare prodotti “migliori”, più complessi e servizi più facili da usare, con profitti personali e dei “datori di lavori” grandi oltre ogni immaginazione.
Il software di infostealing riduce significativamente le barriere all’ingresso degli autori delle minacce di basso livello, fornendo registri botnet che aiutano gli aggressori a ottenere un accesso aggiuntivo ad altri servizi attraverso la raccolta di credenziali, l’ottenimento di informazioni riservate o l’assistenza nella distribuzione di altri payload.
Il botnet è una rete di computer, solitamente PC, controllata da un botmaster e composta da dispositivi infettati da malware specializzato, detti bot o zombie. Lo zombie è un computer o dispositivo mobile connesso ad internet che, all’insaputa dell’utente, è stato compromesso da un cracker o infettato da un virus in maniera tale da permettere a persone non autorizzate di assumerne in parte o per intero il controllo.
La versatilità del software per il furto di informazioni e la sua capacità di rubare grandi quantità di dati sensibili lo rendono una minaccia per tutte le organizzazioni in tutti i settori. La crescente “relazione simbiotica” tra broker di accesso e operatori di ransomware vedranno la domanda di servizi IAB continuare a crescere. Ciò esacerberà gli attacchi fisici in più settori per semplificare il processo di intrusione informatica, consentendo agli autori delle minacce di agire in modo più rapido ed efficace. Dato il basso rischio e l’elevata domanda di accesso iniziale, più gruppi o autori delle minacce si impegneranno e tenteranno di vendere l’accesso a varie organizzazioni.
Sulla base delle tendenze osservate nel 2021, si ritiene che le vulnerabilità nei pacchetti raggruppati e importati in varie applicazioni continuino ad attirare gli autori delle minacce che cercano di massimizzare l’efficacia dei loro attacchi. Possono investire tempo a trovare input coerenti da varie applicazioni che alla fine portano alla stessa funzionalità vulnerabile nelle librerie informatiche di uso comune. Ciò potrebbe consentire agli aggressori di sviluppare strumenti di exploit efficaci per varie applicazioni, aumentando il numero di potenziali bersagli e riducendo il carico di lavoro. Inoltre che gli autori delle minacce che ottengono l’accesso dalla violazione comprometteranno ulteriormente i sistemi, estrarranno informazioni di identificazione personale e condurranno schemi di estorsione dei dati. Già dall’inizio del gennaio 2022, gli autori delle minacce hanno iniziato a pubblicizzare l’accesso a centinaia di migliaia di server.
I criminali informatici continueranno a utilizzare kit di phishing sofisticati e automatizzati nel 2022 per portare la criminalità informatica a un livello superiore. Questi tipi di kit possono variare in sofisticatezza e possono essere acquistati tramite reti criminali clandestine, canali segreti e talvolta anche piattaforme online trasparenti, che agiscono del dark e deep web.
Gli operatori che acquistano kit da queste piattaforme di solito dispongono della maggior parte, se non di tutte, le risorse necessarie fornite dal creatore del kit. Ciò include strumenti per distribuire rapidamente pagine di destinazione, strumenti di evasione del rilevamento e persino interfacce per generare modelli HTML offuscati che aggirano i controlli e-mail anti-spam o di phishing e raggiungono con successo le cassette postali dei destinatari.
Si è scoperto che gli autori delle minacce coinvolti nella distribuzione di kit di phishing possono pubblicizzare i propri prodotti attraverso reti criminali sotterranee e canali segreti e persino automatizzare le transazioni utilizzando i bot per vendere i dati trapelati. Poiché le tecnologie di sicurezza progettate per rilevare i kit di phishing e i siti web continuano a migliorare ed evolversi, gli autori delle minacce cambiano costantemente le loro tattiche, tecniche e procedure per eludere il rilevamento e mantenere le loro operazioni.
Le economie “ad alta intensità di rimesse” passeranno alle valute digitali a un ritmo più rapido nel 2022, soprattutto in Medio Oriente e nell’Europa centrale. La minaccia delle criptovalute alle valute “di lunga durata” come il dollaro e l’euro potrebbe aumentare la regolamentazione del settore.
Dato che le criptovalute sono note per eludere le sanzioni, riciclare denaro e interrompere i sistemi economici basati sul dollaro, un’ulteriore regolamentazione del settore potrebbe provenire dai poteri economici tradizionali, come gli Stati Uniti d’America lo scorso anno che hanno introdotto nuovi requisiti di dichiarazione dei redditi. L’UE sta anche esplorando un euro digitale per competere con le criptovalute nei prossimi anni.
Oltre a causare perdite finanziarie alle vittime, gli autori delle minacce possono anche cercare opportunità per esporre i dati degli utenti, poiché queste società raccolgono grandi quantità di dati dai clienti per motivi di sicurezza.
Poiché i criminali informatici trovano nuovi modi per rubare le risorse finanziarie degli investitori e poiché gli attacchi alle criptovalute diventano più mirati, l’opportunità di sfruttare le valute digitali non solo attirerà i criminali informatici, ma è probabile che gli hacker di autori statali continueranno nel 2022 con più attacchi ad alta velocità nel settore delle criptovalute come un modo per raccogliere fondi affinché i governi eludano vari controlli internazionali.
Inoltre, i criminali informatici – come abbiamo accennato su – possono accelerare la transizione da Bitcoin a Monero come criptovaluta preferita per facilitare le transazioni e rispondere alle azioni più aggressive delle forze dell’ordine, al controllo del governo e delle varie intelligence ad esso collegate. Si stima che l’uso di Monero nella comunità degli autori delle minacce aumenterà notevolmente entro il 2022, come osservato sui mercati darknet: Silk Road, AlphaBay e White House Market.
Giancarlo Elia Valori