È il cryptojacking la nuova fonte di profitto dei criminal hacker, mentre i ransomware sono in declino: lo rivela il Rapporto IBM X-Force dal quale si evince che ormai oltre la metà degli attacchi informatici non è più basata sui tradizionali malware, mentre aumentano le campagne mirate a compromettere i sistemi di posta elettronica aziendali.
In particolare, i tentativi di installare ransomware sui dispositivi monitorati dai ricercatori di X-Force nel 4° trimestre (ottobre-dicembre) sono diminuiti a meno della metà (45%) dei tentativi effettuati nel 1° trimestre. Invece, gli attacchi di tipo cryptojacking sono più che quadruplicati, raggiungendo il 450% nello stesso intervallo di tempo.
La maggiore consapevolezza delle aziende rispetto alla cyber security, oltre a controlli di sicurezza più rigorosi, sta dunque rendendo più difficile la vita ai criminali informatici che sono come sempre dalla ricerca costante del migliore ritorno sull’investimento criminoso.
Indice degli argomenti
Minacce informatiche: crescono i profitti del cyber crime
Analizzando il Rapporto IBM X-Force è possibile notare un importante cambiamento nel panorama del cyber crime: una sempre minore dipendenza dal malware “tradizionale”. Più della metà degli attacchi (57%) analizzati da IBM X-Force nel 2018 ha rivelato che gli autori delle minacce non utilizzavano malware residente nei file system. Coloro che hanno fatto un uso più frequente del malware sono stati esclusivamente i gruppi di criminali responsabili di minacce del tipo APT (Advanced Persistent Threat).
Al contempo, è quasi raddoppiato il numero di cryptojacking che consentono ai criminal hacker di sfruttare la capacità elaborativa dei computer compromessi per estrarre criptovalute. Una tendenza abbastanza prevedibile: il prezzo delle monete virtuali come i Bitcoin, infatti, nel 2018 ha toccato i 20.000 dollari e dunque questo tipo di attacco a basso rischio e basso sforzo è stato considerato sicuramente tra i più redditizi.
“Se guardiamo al calo nell’uso del malware, al progressivo abbandono del ransomware e all’aumento delle campagne mirate, tutte queste tendenze ci dicono che il ritorno sull’investimento è il vero fattore motivante per i criminali informatici”, è il commento di Wendi Whitmore, Global Lead, Ibm X-Force Incident Response and Intelligence Services. “Tuttavia, le iniziative per distruggere gli avversari e rendere i sistemi più impenetrabili stanno funzionando. Con 11,7 miliardi di dati violati o rubati negli ultimi tre anni, lo sfruttamento delle Informazioni Personali Identificabili per realizzare profitti illeciti richiede maggiori conoscenze e risorse, spingendo i criminali a esplorare nuovi modelli illeciti per fare profitto e aumentare il ritorno dell’investimento. Uno dei prodotti più allettanti è il potere di elaborazione legato all’emergere delle criptovalute. Ciò ha portato ad azioni segrete di highjacking delle reti aziendali e dei dispositivi dei consumatori alla ricerca di queste valute digitali”.
Attacchi informatici sempre più mirati
L’analisi delle nuove minacce ha inoltre rilevato un altro importante cambiamento nelle tecniche dei criminali informatici che, per raggiungere i loro obiettivi, hanno preferito violare gli strumenti dei sistemi operativi esistenti, anziché utilizzare malware “esterno”.
Il fulcro di queste tecniche è l’uso avanzato di PowerShell, uno strumento integrato nel sistema operativo, in grado di eseguire codice dalla memoria e fornire accesso amministrativo direttamente al core di un dispositivo. In particolare, gli hacker hanno utilizzato query WMIC (Windows Management Interface Command) per automatizzare l’esecuzione remota di comandi e script PowerShell, effettuare ricerche in database, accedere alle directory degli utenti e connettersi a sistemi di interesse.
I nuovi bersagli del cyber crimine
È importante rilevare, inoltre, che i criminali informatici non stanno solo cambiando la modalità degli attacchi, ma anche i bersagli. Il settore finanziario è rimasto il settore più attaccato del 2018 e rappresenta il 19% di tutti gli attacchi osservati da IBM X-Force. Tuttavia, il settore dei trasporti, che l’anno scorso non è arrivato nemmeno nei primi 5 posti, è diventato il secondo settore più attaccato nel 2018, anno in cui i tentativi di attacco si sono triplicati rispetto all’anno precedente. Ciò è dovuto, probabilmente, al fatto che queste società sono più vulnerabili agli attacchi informatici e sicuramente più “interessanti” da un punto di vista criminoso perché gestiscono informazioni preziose come i dati personali dei clienti, numeri di carte di credito e di pagamento e account di fidelizzazione.
Le “trappole” virtuali per lo spam che gli analisti di IBM X-Force hanno sparso in tutto il mondo, monitorando quotidianamente decine di milioni di attacchi di spam e phishing e analizzando miliardi di pagine web e immagini al fine di rilevare attività fraudolente e tentativi di violazione dei marchi, hanno infine fatto emergere altre interessanti tendenze:
- le segnalazioni di vulnerabilità sono in aumento: quasi un terzo (42.000) di tutte le 140.000 vulnerabilità rilevate da IBM X-Force negli ultimi trent’anni sono state segnalate solo negli ultimi tre anni. Infatti, IBM X-Force Red rileva in media 1.440 vulnerabilità esclusive per ciascuna organizzazione monitorata;
- gli errori di configurazione continuano ad affliggere le organizzazioni: gli incidenti di errata configurazione divulgati pubblicamente aumentano del 20% all’anno. È interessante notare che c’è stata una diminuzione del 52% nel numero di record di dati compromessi a causa di questo vettore di minacce;
- gli attacchi BEC sono quelli che rendono maggiormente: le campagne di phishing hanno sfruttato massicciamente le truffe di tipo Business Email Compromise (BEC), che hanno rappresentato il 45% degli attacchi di phishing tracciati da X-Force.
Cryptojacking e attacchi mirati: i consigli per difendersi
Il Rapporto IBM X-Force conferma una volta di più che il semplice antivirus non basta più per proteggere i sistemi aziendali e a maggior ragione i perimetri di sicurezza.
“Gli attaccanti, infatti, per eludere i sistemi di difesa cercano di nascondersi dietro l’utilizzo di vettori di infezione che possono essere scambiati per legittimi”, è il commento di Federico Griscioli, Information & Cyber Security Advisor presso P4I – Partners4Innovation.
“Fattore interessante del report”, continua Griscioli, “è la conferma di come alla base degli attacchi sembrano esserci vere e proprie organizzazioni criminali che scelgono con cura la potenziale vittima con il fine ultimo di avere un ritorno degli investimenti (necessari per l’attacco) e massimizzare il rapporto beneficio (guadagno)-rishio. Questo è confermato dalla crescita degli attacchi BCE (Business Email Compromise)”.
Secondo l’analista, “per diminuire la probabilità di riuscita di questi attacchi potrebbe dunque essere utile:
- simulare attacchi di tipo phishing per meglio comprendere come funziona questo tipo di attacco;
- creare consapevolezza nei dipendenti, con particolare attenzione a coloro che ricoprono ruoli strategici e poteri esecutivi;
- in caso di operazioni finanziare rilevanti, utilizzare canali alternativi all’email in modo da avere conferma dell’autenticità delle informazioni (come ad esempio, l’iban, l’importo) e delle richieste (esempio trasferimenti di fondi). Buona norma è utilizzare canali conosciuti e/o ufficiali evitando di utilizzare i contatti presenti nell’email stessa.
Avendo a che fare con sistemi altamente complessi e interconnessi, la probabilità dell’errore umano è molto alta. Questo può creare mis-configurazioni che si traducono in falle di sicurezza facilmente sfruttabili da un attaccante. Per fronteggiare questi tipi di problematiche, buona norma è quella di avere processi strutturati di vulnerability scanning e security audits schedulati con frequenza opportuna”.
Per far fronte alle sempre più pericolose minacce informatiche è dunque importante che le aziende abbiano consapevolezza del rischio correlato alle diverse minacce informatiche e imparino a non sottovalutarlo.
Fondamentale, poi mantenere alto il livello di guardia all’interno delle aziende, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Un altro consiglio è poi quello di mantenere elevato il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.
Infine, anche se in diminuzione, non bisogna mai abbassare la guardia contro i ransomware. In questo caso, valgono i consigli di sempre: non aprire mai allegati di posta elettronica provenienti da mittenti sconosciuti e comunque senza aver prima aggiornato l’antivirus. È opportuno, quindi, installare anche un buon antiransomware che offre una migliore capacità di individuazione delle minacce rispetto ai normali software antivirali.
