La sicurezza nel 2023 tra metaverso, malware e attacchi distruttivi
Fortinet ha presentato le previsioni sulle cinque tendenze che potrebbero dominare i prossimi 12 mesi per quanto riguarda le minacce informatiche. Dalla rapida evoluzione degli attacchi resi possibili dal Cybercrime-as-a-Service (CaaS) agli exploit su obiettivi non tradizionali come i dispositivi edge o ai mondi virtuali, il volume, la varietà e la portata delle minacce informatiche terranno i team che si occupano di sicurezza informatica in massima allerta per tutto il 2023 e oltre. Ecco le tendenze individuate dagli eserti di FortiGuard Labs.
Il successo del Ransomware-as-a-Service (RaaS) è un’anteprima di ciò che accadrà con il CaaS
Dato il successo che i criminali informatici hanno avuto nell’utilizzo del Ransomware-as-a-Service (RaaS), si può prevedere che sul dark web sarà reso disponibile un numero crescente di vettori di attacco as-a-service, in modo da consentire una significativa espansione del Cybercrime-as-a-Service (CaaS). Oltre alla vendita di ransomware e ad altre offerte di Malware-as-a-Service, emergeranno nuovi servizi “à la carte”. Il CaaS rappresenta infatti un modello di business interessante per i malintenzionati che, con diversi livelli di competenza, possono facilmente approfittare di offerte “chiavi in mano” senza investire tempo e risorse per creare un proprio piano di attacco.
Per i criminali informatici esperti la creazione e la vendita di portafogli di attacchi as-a-service offre inoltre un guadagno semplice, rapido e ripetibile. In futuro, le offerte CaaS su abbonamento potrebbero potenzialmente fornire ulteriori entrate. I criminali informatici, inoltre, inizieranno a sfruttare nuovi vettori di attacco come i deepfake, proponendo l’acquisto di video e registrazioni audio e dei relativi algoritmi in modo sempre più ampio. Una delle metodologie più importanti da adottare per difendersi dal crimine informatico e dalle sue tecniche di attacco è rappresentata dalla formazione e dal training sulla consapevolezza dell’importanza della sicurezza informatica. Molte organizzazioni offrono programmi di formazione sulla sicurezza di base per i dipendenti, ma dovrebbero considerare l’aggiunta di nuovi moduli che forniscano informazioni sull’individuazione di metodologie di attacco più evolute come le minacce perpetrate dall’intelligenza artificiale.
Attacchi più efficaci con la Reconnaissance-as-a-Service
Man mano che gli attacchi diventano più mirati, gli attori delle minacce assumeranno probabilmente dei “detective” sul dark web per raccogliere informazioni su un particolare obiettivo prima di lanciare un attacco. Al pari delle informazioni che si possono ottenere assumendo un investigatore privato, le offerte di Reconnaissance-as-a-Service possono fornire progetti di attacco che includono lo schema di sicurezza di un’organizzazione, il personale chiave che si occupa della sicurezza informatica, il numero di server di cui dispone, le vulnerabilità esterne note e persino le credenziali compromesse disponibili per la vendita, o altro ancora.
La presenza di attacchi alimentati dai modelli CaaS implica l’importanza di bloccare gli avversari nella fase iniziale dei loro attacchi, ovvero durante la fase di ricognizione. Secondo Fortinet la cybersecurity deception, unita a un servizio di Digital Risk Protection (DRP), può aiutare le organizzazioni a conoscere il nemico e a ottenere un vantaggio, “ingannando” i criminali informatici per contrastare non solo i RaaS, ma anche i CaaS nella fase di ricognizione.
Money Laundering-as-a-Service (LaaS)
Per crescere, le organizzazioni criminali informatiche impiegano i cosiddetti “money mule” che, consapevolmente o inconsapevolmente, vengono utilizzati per contribuire al riciclaggio di denaro. Per evitare di essere scoperti, il trasferimento di denaro avviene in genere attraverso servizi di bonifico bancario anonimo o attraverso scambi di criptovalute. La creazione di campagne di reclutamento di money mule ha sempre richiesto molto tempo, in quanto i criminali informatici mettono molto impegno nel creare siti web dedicati a false organizzazioni e i successivi annunci di lavoro per far sembrare le loro attività legittime.
I criminali informatici inizieranno presto a utilizzare il machine learning (ML) per il reclutamento, il che li aiuterà a identificare meglio i potenziali muli riducendo al contempo il tempo necessario per il reclutamento. Le campagne manuali saranno sostituite da servizi automatizzati, che sposteranno il denaro attraverso diversi livelli di scambio di criptovalute, rendendo così il processo più veloce e più difficile da rintracciare. Il riciclaggio di denaro as-a-service (LaaS) potrebbe diventare rapidamente mainstream come parte del crescente portafoglio CaaS. Per le organizzazioni o gli individui che dovessero cadere vittime di questo tipo di crimine informatico, il passaggio all’automazione significa che il riciclaggio di denaro sarà più difficile da rintracciare, riducendo le possibilità di recuperare quanto sottratto.
Guardare all’esterno di un’organizzazione per trovare indizi sui futuri metodi di attacco sarà più importante che mai, in modo da prepararsi prima che gli attacchi abbiano luogo. I servizi DRP sono fondamentali per valutare la superficie di attacco vista dagli attori delle minacce esterne, per individuare e risolvere i problemi di sicurezza e per ottenere informazioni contestuali sulle minacce attuali e imminenti prima che avvenga un attacco.
Metaverso: una nuova superfice di attacco per la criminalità informatica
Il metaverso sta dando vita a nuove esperienze completamente immersive nel mondo online e le città virtuali sono tra le prime a fare la comparsa in questa nuova versione di Internet guidata dalle tecnologie di realtà aumentata. I retailer stanno addirittura lanciando prodotti digitali disponibili per l’acquisto in questi mondi virtuali. Se da un lato queste nuove mete online offrono un mondo di possibilità, dall’altro aprono la porta a un aumento senza precedenti della criminalità informatica in un territorio inesplorato. Ad esempio, l’avatar di un individuo è essenzialmente una porta d’accesso a informazioni di identificazione personale (PII – personally identifiable information), che lo rendono un obiettivo primario per gli aggressori.
Poiché gli individui possono acquistare beni e servizi nelle città virtuali, i portafogli digitali, gli scambi di criptovalute, gli NFT e tutte le valute utilizzate per le transazioni offrono agli attori delle minacce una nuova superficie di attacco. Anche l’hacking biometrico potrebbe diventare una possibilità concreta a causa delle componenti AR e VR presenti nelle città virtuali, rendendo più facile per un criminale informatico rubare la mappatura delle impronte digitali, i dati di riconoscimento facciale o le scansioni della retina per poi utilizzarli a scopi malevoli. Inoltre, le applicazioni, i protocolli e le transazioni all’interno di questi ambienti sono tutti possibili obiettivi per gli avversari. La visibilità, la protezione e la mitigazione in tempo reale, insieme all’endpoint detection and response (EDR) avanzato, sono fondamentali per consentire l’analisi, la protezione e la bonifica in tempo reale.
Attacchi malware più distruttivi
Il malware Wiper è tornato in auge nel 2022, con l’introduzione di nuove varianti di questo metodo di attacco vecchio di dieci anni. Secondo il Global Threat Landscape report del primo semestre 2022, il malware di tipo “disk-wiping” è cresciuto in concomitanza con la guerra in Ucraina, ma è stato rilevato anche in altri 24 Paesi, non solo in Europa. La sua crescita è allarmante perché potrebbe essere solo l’inizio di qualcosa di più distruttivo. Al di là dell’attuale realtà degli attori delle minacce che combinano un worm informatico con un malware wiper e persino un ransomware per ottenere il massimo impatto, la preoccupazione per il futuro è la commoditizzazione del malware wiper per i criminali informatici.
Il malware, che potrebbe essere stato sviluppato e distribuito da attori governativi, potrebbe essere rilevato e riutilizzato da gruppi criminali e utilizzato nell’ambito del modello CaaS. Data la sua ampia disponibilità, combinata con l’exploit giusto, il malware wiper potrebbe causare una distruzione massiccia in un breve periodo di tempo, data la natura organizzata della criminalità informatica odierna. Per questo motivo, il tempo di rilevamento e la velocità con cui i team di sicurezza possono rimediare sono fondamentali.
L’utilizzo di inline sandboxing con AI è un buon punto di partenza per proteggersi dalle minacce ransomware e dai malware wiper più sofisticati. Consente infatti una protezione in tempo reale contro gli attacchi in evoluzione, perché, se integrato con una piattaforma di sicurezza informatica, può garantire che solo i file benigni vengano recapitati agli endpoint.