Il nuovo Sophos 2021 Threat Report evidenzia come il ransomware e i rapidi cambiamenti nel comportamento d’attacco dei cybercriminali saranno i principali protagonisti dello scenario della sicurezza IT anche per il 2021. Dall’analisi svolta emergono 3 principali trend.

Gli attacchi ransomware tenderanno ad aumentare

Per quanto concerne la fascia alta, gli autori delle grandi famiglie di ransomware, come ad esempio Ryuk e RagnarLocker, continueranno a modificare e a rendere sempre più sofisticate le loro TTP (tattiche, tecniche e procedure), diventando sempre più difficili da intercettare e puntando a colpire le aziende di grandi dimensioni. Prendendo invece in esame gli attacchi entry-level, Sophos prevede che il loro numero aumenterà sensibilmente e attacchi come Dharma saranno sempre più sfruttati dai cybercriminali, che puntano a mettere a segno volumi elevati di attacchi puntando a prede di dimensioni ridotte.

Un’altra importante tendenza del ransomware che gli esperti di Sophos si aspettano di vedere affermarsi anche nel 2021 riguarda la cosiddetta “estorsione secondaria”. Tale attacco prevede che oltre a cifrare i dati, i cybercriminali rubino e minaccino di rendere disponibili informazioni sensibili o confidenziali qualora le proprie richieste di riscatto non vengano soddisfatte. Esempi di questo genere si sono manifestati nel 2020 attraverso Maze, RagnerLocker, Netwalker, REvil, e molti altri ransomware simili.

sicurezza

Le minacce quotidiane richiederanno una sempre maggiore attenzione

Minacce come malware, loader e botnet o Initial Access Brokers possono sembrare meno pericolose, ma in realtà sono state pensate per ottenere un primo accesso al bersaglio, raccogliere le informazioni necessarie e condividerle con una rete di command and control che, basandosi su quanto raccolto, definirà gli step successivi dell’attacco. Se dietro a questo tipo di minacce ci sono delle persone, queste sapranno analizzare ogni macchina compromessa, identificarne il valore e rivenderla al migliore offerente. Ad esempio nel 2020 Ryuk ha sfruttato Buer Loader per diffondere il proprio ransomware.

Si registrerà un sensibile incremento dell’utilizzo di tool legittimi

Attraverso queste tecniche, i cybercriminali eviteranno di essere identificati e potranno muoversi indisturbati nella rete, fino a quando saranno pronti a lanciare la fase principale del loro attacco, come ad esempio il ransomware. Questo modo di agire offre particolari vantaggi anche in caso di attacchi che vengono orchestrati da una nazione in particolare, poiché rendono estremamente difficile identificarne l’origine.

L’abuso di strumenti e tecniche di attacco ormai considerate comuni per camuffare attacchi attivi è un tipo di comportamento ampiamente rilevato da Sophos già nel corso dell’anno che sta per concludersi. Si tratta di una tattica che mette in difficoltà i tradizionali approcci alla sicurezza poiché non fa scattare immediatamente l’allarme. Ed è qui che devono scendere in campo sistemi che prevedano una componente umana nella ricerca e identificazione delle minacce e che integrino un approccio basato sul managed threat response.

Solo mettendo in campo degli esperti sarà possibile rilevare le anomalie e le tracce che riveleranno l’eventuale utilizzo fraudolento di strumenti legittimi e solo attraverso un’adeguata formazione di ricercatori di minacce ed esperti IT in grado di usare strumenti di EDR, le aziende potranno realmente proteggersi da questo tipo di attacco.