Molti i fenomeni malevoli-as-a-service ad indicare un cybercrime organizzato con diversi livelli di specializzazione e un modello di servizio che favorisce il riuso e la parallelizzazione degli attacchi.
Inizia un anno tutto nuovo ma sembra che nel panorama della cyberminaccia si assista ad un costante paradosso: la continua specializzazione delle tecnologie per la sicurezza informatica e nello stesso tempo, l’incremento progressivo e onnipresente di minacce di ogni genere, foggia, varietà e volume, dal Ransomware-as-a-Service (RaaS) ai nuovi attacchi ai dispositivi “in Edge”, dall’uso emergente dei Wiper (Malware che cancellano dati n.d.r.) alla Reconnaissance-as-a-service, dal Laundering-as-a-service, alle minacce nel Metaverso. Il paradosso fra minacce e mezzi di protezione costituisce un’eterna rincorsa fra “guardie e ladri” in un ecosistema digitale sempre più complesso, per lo più destrutturato e non sempre presidiato appropriatamente. La differenza dovrebbe risiedere nelle risorse umane, i Cyberdefender che, con il loro know how, esperienza e formazione continua sono chiamati a contrastare una folta schiera di attaccanti, motivati, finanziati e spesso sponsorizzati dagli Stati. Questo comporta che la cybersecurity sia diventato un tema sempre più strategico per le aziende, non più trascurabile e da considerare seriamente. Secondo Gartner, infatti, entro il 2025 il 40% dei board avrà un comitato dedicato ai rischi legati alla cybersecurity. Il cybercrime, intanto, si rafforza con minacce in aumento, evoluzioni in aggressività, ingannevolezza e pericolosità come anche per le tattiche e le strategie di attacco. Ne abbiamo parlato con Antonio Madoglio, Senior Director Systems Engineering, Italy & Malta di Fortinet anche sulla base del il recente report anuale delle previsioni sulla minaccia 2023 edito dai FortiGuard Labs
Evidenze sul 2022 dal report Fortinet
I ricercatori Fortiguard hanno confermato le minacce previste per il 2022 con una analisi delle evidenze sugli attacchi osservati in corso d’anno:
- L’ascesa del crimine informatico persistente avanzato: caratterizzato da un aumento di nuove vulnerabilità e più attività di “left-hand” ovvero di ricognizione pre-attacco e armamento, tra aggressori, che apre la strada a un’ulteriore escalation della crescita di Crime-as-a-Service (CaaS).
- Aumento delle varianti di ransomware principalmente dovute a fenomeni di Ransomware-as-a-service. In un sondaggio globale sui ransomware del 2021 il 67% delle organizzazioni intervistate riferiva di aver subito un attacco ransomware. Quasi la metà ha dichiarato di essere stata presa di mira più di una volta e quasi una su sei ha dichiarato di essere stata attaccata tre o più volte. Da allora i ransomware sono cresciuti e dall’inizio della guerra ucraina si presentano con capacità più distruttive combinandosi con i malware wiper (caratterizzati da cancellazioni dei dati sui dischi n.d.r.).
- Aumento della raffinatezza e del volume dei tentativi attacchi informatici contro dispositivi Edge: dispositivi perimetrali, sistemi OT, reti Internet satellitari.
- I criminali informatici hanno iniziato a sfruttare sempre più l’intelligenza artificiale per supportare attività dannose quali il contrasto a mezzo algoritmico che rileva attività di rete anomale, e l’imitazione del comportamento umano. Un esempio di quest’ultimo caso è la weaponizzazione dell’AI ovvero l’utilizzo malevolo di algoritmi di machine learing per realizzare immagini e video Deepfake (artificiosamente fasulli n.d.r.)
- Crimini in ambito criptomonete e portafogli digitali per sottrarre fondi agli investitori.
Evoluzione del Cybercrime e del Ransomware-as-a-service
Sulla base di quanto osservato per il 2022, il 2023 vedrà un aumento significativo del mercato del Cybercrime-as-a-service (CaaS) con nuovi exploit, servizi, strumenti, programmi offerti agli attori malevoli attraverso modelli di abbonamento. Questo modello emergente consentirebbe ai criminali informatici di fare uso di attacchi più sofisticati senza investire tempo e risorse in anticipo. Chi offre questi servizi di contro, si garantisce un lavoro semplice, rapido e ripetibile. Antonio Madoglio spiega che il Cybercrime “chiavi in mano” definisce sostanzialmente la professionalizzazione degli attacchi verso qualsiasi tipo di azienda, organizzazione e individuo. Nel momento in cui le organizzazioni hanno accelerato l’adozione della trasformazione digitale oppure quando le persone sono state costrette a rimanere a casa durante la pandemia, i cybercriminali, intravedendo l’opportunità, hanno sfruttato la maggiore superficie di attacco nata da questi cambiamenti. Lo dimostra la crescita dei programmi Ransomware-as-a-Service (RaaS). Si tratta di programmi unici nel loro genere, in quanto eliminano la necessità per gli attaccanti di scrivere il proprio codice malevolo. Questo permette anche ai criminali informatici inesperti di colpire con successo persone, aziende e altre organizzazioni, e di ottenere un guadagno rapido. Il funzionamento è simile a quello degli abbonamenti ai media in streaming o ai servizi di food delivery: i malintenzionati possono accedere al ransomware e ad altri software malevoli pagando un canone mensile. Questo significa che tutte le aziende e i settori in cui operano sono un potenziale bersaglio di questi attacchi; basti pensare al fatto che si verificano così tanti incidenti che vedono protagonista il ransomware che quasi, non fanno più notizia. Oggi più che mai non è una questione di “se”, ma di “quando” si verrà colpiti. Per questo motivo è importante valutare ciò che viene fatto o si può fare per mitigare il rischio, più che ragionare su come evitare un possibile attacco.
Dall’anno scorso abbiamo assistito a un aumento degli attacchi mirati abilitati dal modello RaaS e all’incremento degli affiliati che lanciano questa tipologia di attacchi. Nella sola prima metà del 2022, il numero di nuove varianti di ransomware che abbiamo identificato è aumentato di quasi il 100% rispetto al semestre precedente: basti pensare che il nostro team ha documentato 10.666 nuove varianti di ransomware nella prima metà del 2022, rispetto alle sole 5.400 della seconda metà del 2021. Questo aumento di nuove varianti è in gran parte attribuibile proprio alla crescita del Ransomware-as-a-Service. Prevediamo che i criminali informatici siano solo all’inizio dei loro sforzi di pianificazione pre-attacco. Infatti, dato il successo nell’utilizzo del modello “as-a-service” da parte della criminalità informatica, riteniamo che il numero di vettori di attacco disponibili come servizio attraverso il dark web non potrà che aumentare. Oltre alla vendita di ransomware e di altre offerte di Malware-as-a-Service (MaaS), inizieremo a vedere anche nuove soluzioni per un utilizzo criminale disponibili per l’acquisto, come deepfake video e audio, così come un aumento della vendita degli accessi a obiettivi che siano stati pre-compromessi.
Reconnaissance-as-a-Service evoluta
Fra tutti i servizi malevoli di tipo “as-a-service” spicca la “reconnaissance-as-a-service” ovvero “la ricognizione” offerta come servizio. Solitamente questa fase, che rappresenta uno dei primi stadi della “kill chain di attacco” (l’insieme di fasi con cui un attaccante opera per danneggiare una vittima n.d.r), è una fra le più critiche per i criminali, perché porta via tempo e non è alla portata di tutti. Inoltre è critica perché è in questa fase che molti sistemi di detection tentano di individuare e/o “imbrogliare l’attaccante” (come nei sistemi di difesa basati sulla Deception n.d.r.).
Pochè è nella fase di reconnaissance che si cerca di capire meglio la vittima per creare l’arma più adatta a colpirla, più efficace è la prima fase, migliore sarà l’arma che verrà creata e maggiori saranno le opportunità dell’attaccante di arrivare all’ultima fase dell’attacco costituita dalla vera e propria azione sugli obiettivi designati. Le strategie di pre-attacco includono la ricognizione, la pianificazione e lo sviluppo. Le fasi di esecuzione comprendono invece la diffusione di malware e la sottrazione di dati. I framework MITRE ATT&CK e la Lockheed Martin Kill Chain sono due esempi che descrivono nel dettaglio i diversi step di una catena di attacco.
Dedicando più tempo alla ricognizione, i criminali informatici possono aumentare le probabilità di successo dei loro attacchi. Per questo motivo i kit di attacco favoriscono il riuso. Il riuso delle stesse tecniche su organizzazioni diverse invece massimizza il ROI malevolo di queste iniziative. Il connubio fra kit e Malware-as-a-Service, accresce il numero di attacchi contemporanei per effetto dell’incremento nel numero dei criminali informatici e dei loro affiliati che possono agire in parallelo.
Anche se il panorama sembra scoraggiante le strategie per la difesa esistono: la cybersecurity deception è una valida opzione. Si tratta, sostanzialmente di ingannare i cybercriminali per contrastare la RaaS e il CaaS durante la fase di ricognizione. Questa, unita ai servizi di protezione dal rischio digitale (DRP), può essere d’aiuto nell’identificare in modo più efficace gli attaccanti e proteggere così le organizzazioni. Per allargare invece lo sguardo all’esterno dell’azienda è importante trovare indizi sui futuri metodi di attacco. In questo sono fondamentali i servizi Digital Risk Protection (DRP), che consentono di valutare la superficie delle minacce esterne, individuare e risolvere i problemi di sicurezza e ottenere informazioni contestuali sulle minacce attuali e imminenti prima che si verifichi un attacco. Indipendentemente dai nuovi fenomeni come il work-from-anywhere, il learning-from-anywhere, o le immersive experiences-from-anywhere, la visibilità, la protezione e la mitigazione in tempo reale, sono essenziali e devono essere combinate con il rilevamento e la risposta avanzati degli endpoint (EDR) per consentire l’analisi, la protezione e la bonifica in tempo reale. Infine, si consiglia di adottare strumenti di sicurezza informatica migliorati da Machine Learning (ML) e l’Intelligenza Artificiale (AI), per rilevare efficacemente i modelli di attacco e bloccare le minacce in tempo reale. L’utilizzo di una Inline Sandbox con AI previene infezioni da ransomware e malware wiper anche sofisticate.
Il metaverso come nuova frontiera del cybercrime
“L’internet delle esperienze” spesso noto come Metaverso promette interazioni completamente immersive nel mondo online. Il report Fortiguard evidenzia come le città siano sono tra le prime a fare incursioni in questa nuova versione di Internet guidata dalle tecnologie di realtà aumentata (AR), realtà virtuale (VR) e realtà mista (MR) oltre naturalmente alle piattaforme di gaming. Tuttavia insieme al nuovo mondo di possibilità, si verifica un inedito aumento della criminalità informatica. L’avatar di un qualsiasi utente rappresenta per gli attaccanti un gateway per le sue informazioni di identificazione personale (PII), che diventano quindi bersagli privilegiati per gli aggressori. In questo contesto Antonio Madoglio spiega cosa aspettarsi nel Metaverso e in tema di hacking biiometrico: “ogni nuovo ecosistema digitale rappresenta un’opportunità per il cybercrime, per questo motivo gli utenti dovrebbero prestare particolare attenzione quando entrano a far parte di questo nuovo “universo”. Il Metaverso sta dando vita a nuove esperienze completamente immersive nel mondo online e le città virtuali stanno nascendo in questa nuova versione di Internet guidata dalle tecnologie di realtà aumentata. I retailer stanno addirittura lanciando prodotti digitali disponibili per l’acquisto in questi mondi virtuali. Se da un lato queste nuove mete online offrono un mondo di possibilità, dall’altro aprono la porta a un aumento senza precedenti della criminalità informatica in un territorio inesplorato. Ad esempio, l’avatar di un individuo è essenzialmente una porta d’accesso a informazioni di identificazione personale (PII – personally identifiable information), che lo rendono un obiettivo primario per gli aggressori. Poiché gli individui possono acquistare beni e servizi nelle città virtuali, i portafogli digitali, gli scambi di criptovalute, gli NFT e tutte le valute utilizzate per le transazioni offrono agli attori delle minacce una nuova superficie di attacco. Anche l’hacking biometrico potrebbe diventare una possibilità concreta a causa delle componenti di Realtà Aumentata (AR) e Realtà Virtuale (VR) presenti nelle città virtuali, rendendo più facile per un criminale informatico rubare la mappatura delle impronte digitali, i dati di riconoscimento facciale o le scansioni della retina per poi utilizzarli a scopi malevoli. Inoltre, le applicazioni, i protocolli e le transazioni all’interno di questi ambienti sono tutti possibili e ghiotti obiettivi per i criminali”.