L’evoluzione della cyber criminalità è un modello a suo modo unico. Da una parte il bacino di potenziali vittime si è ampliato esponenzialmente, dall’altro la maggior considerazione delle possibili minacce ha costretto i criminali informatici a potenziare il proprio arsenale. Il risultato? Tipologie di attacco ridotte, maggior investimenti in ricerca e sviluppo di nuovi tool e, quindi, la necessità di capitalizzarli puntando a grossi obiettivi.
Questo processo ha portato dapprima alla scomparsa di minacce informatiche ritenute ormai inefficaci, come i primordiali virus e i worm, e quindi all’affermarsi di sofisticate tecniche di social engineering e di malware di nuova generazione. In questo momento storico si tratta delle due forme di attacco più utilizzate dai cyber criminali, che spesso le combinano negli attacchi ransomware.
Indice degli argomenti
Cambio di guardia nel settore delle cyber minacce
Questo cambio di paradigma è ben sottolineato dal SonicWall Cyber Threat Report 2021, dove i vecchi malware rappresentano pur sempre la principale minaccia, con 5,6 miliardi di attacchi che li han visti protagonisti, ma con un calo rispetto all’anno precedente del 43%. Laddove i malware hanno ancora un utilizzo sensato, dal punto di vista dell’attaccante, sono le campagne di massa e i nuovi settori.
Le prime sono quelle campagne dedicate a un pubblico molto vasto ed eterogeneo: i criminali, secondo il calcolo delle probabilità, sperano che su milioni di potenziali vittime raggiunte qualcuna abbocchi a trappole ormai vecchie e facilmente riconoscibili.
I nuovi settori, invece, richiedono lo sviluppo di malware mirati, ma avendo come obiettivo tecnologie nuove e non ancora ben collaudate, la sicurezza non è solida e i margini di riuscita elevati. È così che si spiega il successo dei malware dedicati all’Internet of Things (IoT), che il Cyber Threat Report 2021 di SonicWall rileva in ben 56,9 milioni di attacchi, con una crescita del 66%. Una crescita simile, pari al 62%, è quella dei ransomware.
Il problema dei criptojacker
Il social engineering, oggi, viene utilizzato nel 96% degli attacchi. A volte come uno strumento malevolo, altre per veicolare altri tipi di minacce. Anche i tentativi di intrusione alle reti, che dal report ammontavano a 4,8 trilioni nel 2020, con un aumento del 20%, spesso si appoggiano a tecniche di social engineering.
Così come l’installazione dei famigerati cripto-jacker, malware che accentrano ed esauriscono le risorse delle infrastrutture per effettuare il mining di cripto-monete, che rappresentano un’altra solida minaccia: 81,9 milioni di attacchi, con un incremento del 28%.
Gli attacchi come operazione finanziaria
Si tratta di uno scenario in continua mutazione, ma con una tendenza molto ben delineata: eseguire un attacco, oggi, richiede molte risorse, ha costi elevati, e per questo i cyber criminali mirano a vittime specifiche, che garantiscano il ritorno economico.
Si prenda, come esempio, il recente attacco a Kaseya, una vicenda che riassume perfettamente ciò che sta accadendo nel mondo della cyber criminalità.
L’attacco a Kaseya come esempio
Come noto, il gruppo hacker REvil (ora misteriosamente scomparso da Internet) ha ottenuto una vulnerabilità zero-day che gli ha permesso, di fatto, di accedere ad alcuni server del vendor Kaseya, specializzato in soluzioni per MSP.
Una volta fatto questo, REvil è stato in grado di sfruttare proprio l’agent dedicato agli MSP e installato nei sistemi di alcune migliaia di clienti, anche se il numero preciso non è noto.
Da quel momento, di fatto, REvil ha ottenuto libero accesso ad alcuni dei sistemi che sfruttavano le soluzioni MSP di Kaseya e, tramite alcune accortezze, come l’utilizzo di un certificato autentico, è stato in grado di installare il ransomware vero e proprio e dare avvio alla classica procedura con annessa richiesta di riscatto.
Ricatto che, in questo così specifico, si sviluppa su due livelli: richieste a clienti finali, di 44.999 dollari, e a MSP, per un totale di 5 milioni di dollari. Inoltre, REvil ha messo a disposizione il decodificatore universale, capace quindi di neutralizzare gli effetti del ransomware in qualsiasi sistema, per 70 milioni di dollari. Non si tratta di richieste esorbitanti: è chiaro che REvil conosceva perfettamente il terreno di coltura dove ha diffuso il ransomware e sapeva di poter ottenere parte di quelle richieste.
Il problema, semmai, è che in seguito alla scomparsa del gruppo hacker REvil da Internet molte delle trattative per sbloccare i file criptati dal ransomware si sono improvvisamente arenate e le vittime non sono riuscite ad ottenere la chiave di decodifica dei file. Una situazione, questa, che apre scenari al momento sconosciuti.
Attacco alla supply chain
La dinamica dell’attacco a Kaseya prescinde dall’utilizzo di social per il semplice motivo che REvil ha sfruttato inizialmente una vulnerabilità zero-day, e anche questa ha probabilmente influito sul costo finale dei riscatti.
Si tratta di una condizione molto specifica, ma di solito la parte iniziale, in questo caso un supply-chain attack, si appoggia a tecniche di ingegneria sociale.
Come difendersi dalle minacce di nuova generazione
È per questo che, in una buona strategia di difesa, occorre individuare gli elementi comuni alle principali forme di attacco. E i principali, a oggi, sono la generazione di traffico di rete e i tentativi di accesso a infrastrutture, sistemi cloud e reti wireless.
Sulla base di questa considerazione, che riduce a un minimo comun denominatore gli attacchi di questa nuova era della cyber-criminalità, è possibile stabilire le forme di difesa essenziali per qualsiasi azienda.
Quelle primarie, a oggi, sono le perimetrali, in particolare per quanto concerne i firewall. Quelli di nuova generazione, come NSa 4700, NSa 6700 e NSsp 13700 di SonicWall (distribuite in Italia da Attiva Evolution), vanno ben oltre il classico approccio “da firewall”. Integrano, invece, un vero e proprio centro di controllo, del tutto automatizzato, del traffico di rete.
Mitigare anche le vulnerabilità zero-day
In questo rientrano soluzioni avanzate come Capture ATP, con tecnologia brevettata Real-time Deep Memory Inspection, capace di mitigare minacce che si basano su vulnerabilità zero-day, o comunque non ancora classificate. Il tutto in pochi millisecondi, senza impattare sulle prestazioni della rete, e bloccando sul nascere l’attacco, scongiurando nella maggior parte dei casi dolorose attività di incident response e ripristino dei sistemi.
È su prodotti come questi che occorre pianificare sistemi di protezione delle aziende capaci di gestire le minacce di nuova generazione: prodotti stabili, aggiornabili e con tecnologie proiettate su minacce sconosciute. Perché è proprio sulle incognite che puntano i cyber-criminali.
Contributo editoriale sviluppato in collaborazione con Attiva Evolution.
