Che cosa sono gli attacchi “spray e pray”, e quelli OT? Parola all’esperta

La pandemia ha cambiato le nostre vite ed ha decisamente inciso sia sulle dinamiche delle minacce informatiche sia sui trend di attacco e sui comportamenti delle persone. Alcuni trend sono direttamente correlati alla situazione pandemica mondiale ed hanno cambiato, in peggio, lo scenario degli attacchi da parte delle organizzazioni criminali ma hanno influenzato anche il comportamento di alcune persone che cercano lavoro nel dark web spinte dalla crisi economica.

È infatti, notizia recente una preoccupante tendenza di una minoranza di persone che disoccupate da tanto tempo, si offre come supporto agli hacker nel darkweb e sui forum di hacking con il desiderio di fare soldi su internet a qualsiasi costo (rubare numeri di carte di credito, comprare vaccini, droghe, armi e persino software che aiutano a penetrare nei computer delle persone). Quasi certamente sono spinti dal bisogno causato dalla crisi pandemica. Questo ed altri trend sono emersi nel corso dell’ultima edizione del CPX 360, l’evento annuale di Check Point, durante il quale sono stati discussi i trend degli attaccanti e le sfide alla sicurezza che le organizzazioni di ogni ordine e grado sono chiamate ad affrontare per prevenire e gestire le minacce informatiche e le campagne degli hacker che impattano sul loro business.

Ne abbiamo discusso con Maya Horowitz, Direttore, Threat Intelligence & Research, Products di Check Point.

Evidenze e correlazioni dei comportamenti criminali legati alla pandemia

Gli effetti della crisi pandemica hanno interessato direttamente la vita delle persone. Uno di questi, intercettato dai ricercatori di threat intelligence di Check Point Software Technologies (CPT), riguarda l’offerta e il supporto alle attività criminali nel dark web e sui forum di hacking dove in genere sono “i venditori” che pubblicano opportunità di lavoro. In questo caso invece, sono stati trovati dai 10 a 16 nuovi post “lavoro cercasi” ogni mese, un numero insolitamente alto, di offerte per l’assistenza al crimine informatico, in cambio di denaro. Sembra che la motivazione sia guidata dalla disperazione delle persone dovuto dall’impatto economico negativo del coronavirus sulla società e all’aumento della disoccupazione. Nonostante l’evidente e ovvio carattere di bisogno che li spinge, questo tipo di comportamenti mette in pericolo tutti e alimenta una cultura errata di ricerca lavoro nel dark web, che non dovrebbe costituire una alternativa. Le aziende devono quindi tenere conto anche di questa tendenza, che è in aumento, nelle strategie di minimizzazione delle attività criminali e di tenuta sotto controllo della minaccia.

D’altra parte, a causa degli attacchi di V generazione (quelli in cui la detection non basta più ma si necessita di prevenzione n.d.r.) è necessario ridefinire il ruolo della cybersecurity nelle organizzazioni pubbliche e private grandi e piccole, perché la superficie di attacco, dato lo smartworking,  non è mai stata così estesa. È quindi necessario riorganizzare la sicurezza in base alle esigenze di essere connessi e operativi da dovunque. Gil Shwed fondatore di CP, analizzando l’impatto globale del massivo passaggio al lavoro da casa, avvenuto come risposta all’emergenza COVID-19 e l’enorme aumento di tutti i tipi di cyber-attacchi riscontrato nel corso dell’ultimo anno, ha indicato un incremento del 50% dei cyber-attacchi sofisticati. Per il futuro circa il 74% delle organizzazioni permetterà ai dipendenti di lavorare da casa o di lavorare in “modalità ibrida” in modo permanente nel 2021 e si profila l’urgente necessità di proteggere questi nuovi luoghi di lavoro distribuiti contro gli attacchi avanzati. La priorità per i CISO è rendere sicuro il lavoro da remoto e la tenuta sotto controllo degli endpoint fissi e mobile, potenziare la multicloud security adottando soluzioni di security consolidate in una ottica omnicomprensiva di security che abbracci network, cloud, user, accessi.

L’approccio suggerito è sintetizzato quindi da: prevenire, consolidare e passare alla V generazione di difesa (in relazione agli attacchi di V generazione). “Internet”, fa notare Maya Horowitz, “può essere visto come il fuoco di Prometeo e come il fuoco può essere usato per il bene o per il male. A noi continuare a trovare i modi per usarlo per il bene e fare la differenza”.  Per approfondimenti sulla minaccia si può consultare il Security Report 2021, che traccia i vettori d’attacco chiave e le tecniche osservate dai ricercatori sulle modalità con cui gli hacker hanno sfruttato il caos della pandemia da COVID-19 per colpire le organizzazioni in tutti i settori.

L’intervista a Maya Horowitz

La pandemia mondiale ha cambiato la velocità verso la digital transformation richiedendo una accelerazione di tutto il mondo del lavoro. Gli attaccanti hanno festeggiato per i primi periodi. Ma attualmente cosa sta accadendo?

In molti casi la trasformazione digitale è stata troppo veloce rispetto alle implementazioni di security e questo ha facilitato gli attaccanti sia rispetto ai sistemi tecnologici sia rispetto alle persone e alle loro vulnerabilità. I sistemi di Desktop remoto (RDP) sono stati attaccati dai ransomware mentre verso le persone interessate alla pandemia si sono rivolti la maggior parte delle mail e sms di phishing e smishing sfruttando l’interesse per la pandemia nelle fasi iniziali. Lo stesso è accaduto per gli attacchi verso Netflix e la piattaforma zoom. Ancora oggi l’interesse per la pandemia traina gli attacchi di phishing unitamente al tema dei vaccini per le informazioni correlate alle modalità di fruizione o come in questi giorni, correlate anche ai rischi e alle conseguenze dei vaccini.

La speranza in questa situazione è avere infrastrutture adeguate al lavoro da remoto con i team di sicurezza attivi e operativi anche su questi perimetri operativi.

Studiando la minaccia e le vulnerabilità dal suo osservatorio R&D cosa si nota maggiormente?

Gli attaccanti usano maggiormente la tecnica “spray and pray” che in sostanza consiste in campagne massive che mirano a colpire la massa di utenti cercando di intaccare il maggior numero possibile di vittime.  Ma dopo qualche tempo dai primi attacchi di questo tipo abbiamo osservato attacchi mirati a specifici settori e a specifici territori. La maggior parte sono stati orientati verso le strutture sanitarie ed abbiamo osservato molti ransomware veicolati a mezzo mail. All’inizio avevano evitato di attaccare le strutture sanitarie ma probabilmente erano solo annunci da “marketing criminale”!

Fra tutti gli attacchi ne abbiamo osservati alcuni molto sofisticati che miravano a sottrarre informazioni specifiche. Ad esempio, l’attacco alla Oxford University correlato al nuovo vaccino, ma anche spionaggio industriale in ambito OT (Operation Technology) da attaccanti di tipo statuale. Per accorgersi di questo tipo di attacchi targettizzati utilizziamo la rete dei nostri clienti, per i quali analizziamo i dati e filtriamo le informazioni verificando gli indizi che appaiono anomali, perché fuori dalla norma e “strani”.

I sistemi Spaziali stanno aumentando la digitalizzazione e la connessione per offrire servizi BtoC; avete cosa avete osservato nello scenario della minaccia verso il dominio Spazio?

Non abbiamo osservato molte attività rivolte al comparto Spazio. Tuttavia, l’attacco a Solar Winds ha avuto conseguenze molto estese e stiamo ancora analizzando tutti gli elementi inerenti all’attacco. Dal punto di vista delle infrastrutture critiche comunque abbiamo osservato l’attacco all’impianto di trattamento dell’acqua potabile in Florida che mirava ad aumentare il livello di idrossido di sodio (NaOH), ovvero soda caustica e quindi contaminare l’approvvigionamento idrico. Sicuramente nel futuro vedremo ancora attacchi ransomware verso infrastrutture critiche.

In che modo è possibile proteggere i numerosi sistemi basati su AI (Artificial Intelligence) e ML (Machine Learning) perché “non si rivoltino contro” agendo in modo malevolo o effettuando deduzioni distorte?

AI e ML dovrebbero esser nel back office dei sistemi di frontiera in modo da rimanere protetti. Di solito sono percepiti come “sistemi magici” e migliori di noi esseri umani, ma ancora non sono pronti per essere autonomi e necessitano ancora di essere supervisionati da analisti e personale specializzato. L’ML deve essere sottoposto a apprendimento attraverso sample appropriati e continuamente aggiornati anche per evitare che sia soggetto a “sample malevoli”. In sostanza l’ML è una grande risorsa, ma non può essere lasciata da sola.

Si parla ancora poco di OT ma cosa avete osservato invece nel ramo OT in termini di andamento di attacchi e intenzioni degli attaccanti?

Gli attacchi OT sono quelli che temiamo di più perché possono essere correlate ad una vera catastrofe. In Ucraina cinque anni fa un attacco russo bloccò completamente l’elettricità e le persone avrebbero potuto morire. Questi sono attacchi che davvero fanno paura, perché si riversano sul mondo fisico con conseguenze rovinose. Solitamente gli attaccanti cercano soldi e nell’ambito OT non ci sono “soldi facili”; questo tipo di attacco richiede capacità tecniche elevate da parte degli attaccanti, che sono solitamente finanziati da stati e si muovono motivati da ragioni di Cyberwarfare. È probabile che tutti gli altri attaccanti si astengano da attacchi nell’OT perché temono essi stessi le conseguenze e non vogliono esserne responsabili.

Il tema delle poche donne nella Cybersecurity è ancora molto attuale. Perché consiglierebbe alle ragazze di intraprendere questa professione?

In Israele abbiamo molte donne nella tecnologia e spesso dipende dal fatto che queste stesse ragazze hanno prestato servizio nelle forze armate e da lì hanno intrapreso un percorso tecnico. Io stesso sono entrata dieci anni fa e poi ho riutilizzato le mie esperienze nel ramo civile. Certo non tutte riescono in questa conversione. Confermo che si tratta di una professione interessante che consente sempre di imparare cose nuove. Sicuramente ci sono ancora molti preconcetti, tipo quelli per cui questa professione è noiosa, o per cui si è costretti a lavorare da soli davanti al computer. Ma esiste sicuramente un importante tema legato al guadagno economico ed è un vero peccato rinunciarvi a priori!