La sicurezza informatica negli ultimi anni sta diventando sempre più un must per qualsiasi azienda operante in ogni settore, anche grazie all’incremento esponenziale delle tecnologie utilizzate per ottimizzare i processi produttivi di beni o servizi.
Di seguito uno spezzone del Rapporto Clusit 2021” riguardante la Severity: “Per quanto riguarda la severity: nel 2020 gli attacchi con impatto “Critico” rappresentavano il 13% del totale, quelli di livello “Alto” il 36%, quelli di livello “Medio” il 32% ed infine quelli di livello “Basso” il 19%. Complessivamente, gli attacchi gravi con effetti molto importanti (High) o devastanti (Critical) nel 2020 erano il 49% del campione. Nel primo semestre 2021 la situazione è molto diversa, e francamente impressionante: gli attacchi gravi con effetti molto importanti (High) sono il 49%, quelli devastanti (Critical) rappresentano il 25%, quelli di impatto significativo (Medium) il 22%, e quelli con impatto basso solo il 4%. In questo caso gli attacchi con impatto Critical e High sono il 74%”.
Attacchi cyber, sarà un anno terribile: i segnali nel rapporto Clusit 2022
Indice degli argomenti
Cos’è la cyber security o sicurezza informatica
La sicurezza informatica è l’insieme dei mezzi, delle tecnologie e delle procedure tesi alla protezione dei sistemi informatici in termini di disponibilità, confidenzialità e integrità dei beni o asset informatici.
Alcuni esempi di tecnologie utilizzate sono:
- Next Gen
- Firewall (NGFW)
- Network Based Intrusion Detection System (NIDS),
- Host Based Intrusion Detection System (HIDS)
- Antivirus (AV)
- Endpoint Detection & Response (EDR)
e molto altro ancora.
Gli attaccanti non sono, però, tutti uguali: ogni individuo o gruppo criminale è mosso da una motivazione fortissima che lo porta a rubare e rivendere dati personali, causare disagi a servizi Web o anche solo divertirsi distruggendo il lavoro altrui.
Di seguito la varie tipologie di attaccanti con una breve descrizione.
White Hat
Conosciuti anche come “ethical hackers”, sono esperti di sicurezza informatica che effettuano test sul sistema per individuarne le vulnerabilità. Solitamente lavorano per il governo o per associazioni, con lo scopo di rafforzare la sicurezza di un sistema e proteggerlo dagli attacchi.
Black Hat
La controparte dei white hat hackers, conosciuti anche come “crackers”. Sono le persone dietro i cosiddetti “cybercrimes”. Ricercano le vulnerabilità nei sistemi (sia di un singolo che di un’organizzazione) per ottenere informazioni sensibili e utilizzarle a proprio vantaggio.
Grey Hat
I grey hat si posizionano tra le prime due categorie. Essi non utilizzano le informazioni ottenute per un ritorno personale, ma le loro intenzioni potrebbero essere sia buone che cattive.
Quel che è certo è che i loro tentativi di infiltrarsi in un sistema non sono autorizzati da un’organizzazione. Un hacker che individua una falla in un sistema governativo, ad esempio, e la rende nota al grande pubblico, non è considerato un black hat finché non utilizza le informazioni per un vantaggio personale.
Al contrario, se fornisse la sua conoscenza ai proprietari del sistema violato, non potrebbe essere considerato un white hat in quanto ha agito senza autorizzazione.
Nation Sponsored Hackers
Questa tipologia comprende tutti quegli esperti di sicurezza che sono stati assunti dal governo con lo scopo di penetrare nei sistemi di altri stati e ottenere informazioni riservate della nazione vittima. Questi hacker hanno a disposizione gli strumenti più avanzati per perpetrare gli attacchi.
Skids
Con questo termine ci si riferisce ad hacker “amatoriali” ai quali non interessa possedere troppe conoscenze informatiche. Generalmente utilizzano script già scritti o tool scaricabili per puro divertimento personale. Non sono interessati ad imparare davvero come si crea e dirige un attacco, e neanche alla qualità di ciò che fanno.
Green Hat
Simili agli script kiddies per il livello di conoscenza, ma con un’importante differenza: i green hat sono vogliosi di imparare. Frequentano forum e siti, fanno domande, si documentano per imparare il più possibile e migliorare i propri attacchi.
Blue hat
Questa categoria comprende tutti gli script kiddies che perpetrano degli attacchi con l’intenzione di vendicarsi di qualcuno. Anch’essi non hanno interesse nell’imparare, e fanno utilizzo di attacchi semplici con il solo scopo di causare un danno a una persona specifica. I tipici attacchi che utilizzano sono i DoS (Denial of service).
Red Hat
I red hat sono per un certo verso simili ai white hat. Il loro scopo è lo stesso: fermare gli attacchi dei black hat. La differenza però è significativa: mentre i cappelli bianchi si occupano di contrastare e fermare l’attacco, i red hat cercano di annientare totalmente il cracker, lanciando degli attacchi a loro volta, più o meno aggressivi, per distruggere il sistema dell’attaccante.
Gli aspetti legali della cyber security
L’Italia ha le sue leggi e regolamentazioni per i crimini informatici come per esempio nell’ “Art.615-ter.” (Accesso abusivo ad un sistema informatico e telematico).
Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.
La pena è della reclusione da uno a cinque anni:
- se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;
- se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;
- se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.
Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici d’interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque d’interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.
Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d’ufficio.
Un precedente storico di riferimento può essere la vicenda dei “Fratelli Occhionero” coinvolti in attività di spionaggio nazionale.
La vicenda si concluse dopo un’ora scarsa di camera di consiglio con la condanna al risarcimento dei danni da liquidarsi in separata sede alle parti civili costituite, salvo una provvisionale di 5.000 euro all’ENAV S.p.a., 2.000 euro al Ministero Dell’interno, 8.000 euro al ministero degli Affari Esteri, 495 euro alla Regione Lazio e 25.000 euro al Ministero dell’Economia e Finanze.
Per passare ad esaminare casi di spicco relativi al mondo ransomware è necessario andare all’estero, più precisamente in Russia dove l’FSB Russo ha arrestato diversi membri del gruppo hacker REvil in un’operazione richiesta dal governo degli Stati Uniti. Il servizio di sicurezza interno ha sequestrato beni pari circa a 6 milioni di dollari tra contanti, criptovaluta e 20 auto di lusso durante un raid ai danni di 14 membri del gruppo.
Ecco come i criminali entrano nei sistemi delle aziende
Nel caso della ransomware gang REvil, il metodo di compromissione era vario, in quanto venivano sfruttate le seguenti vulnerabilità al fine di inoculare il payload all’interno dell’infrastruttura attaccata:
- Authentication Bypass
- Arbitrary File Upload
- Code Injection
- RDP Exposure
e altre.
In generale, comunque, vengono sfruttate vulnerabilità 0-day che se non correttamente gestite dal reparto IT aziendale possono portare ad esser vittima di scenari critici come il furto e la cifratura completa dei dati abbinati alla richiesta di un riscatto con la minaccia di pubblicazione di tutti i dati coinvolti.
Nel caso di molteplici casi di doppia estorsione distribuiti worldwide la questione legale si infittisce unitamente al fatto che l’attaccante resta sempre ben protetto da rintracciamenti anche da parte di attività delle forze dell’ordine.
Nel fortuito caso in cui la gang venisse catturata, c’è la possibilità che le accuse pendenti sulle teste dei due leader del gruppo: Yaroslav Vasinskyi e Yevgeniy Polyanin, vengano ritenute fondate e i due rischierebbero rispettivamente 115 e 145 anni di detenzione.
Non male per reati informatici remoti.
È necessario, quindi, adoperarsi per proteggere i propri dati mantenendo l’infrastruttura informatica quanto più aggiornata possibile eseguendo delle scansioni di vulnerabilità periodiche o simulazioni d’attacco come i penetration test che possono dare risultati utili a prevenire attacchi devastanti.
Le principali organizzazioni criminali
Le organizzazioni criminali sono spesso mosse da una motivazione comune che accomuna tutti i membri del gruppo. Di seguito alcuni esempi:
- La WannaCry Gang agiva per il semplice tornaconto economico, estorcendo denaro tramite Ransoms dopo aver reso inutilizzabili i dati delle organizzazioni vittime dei loro attacchi
- Anonymous è un gruppo di attivisti mossi da ideali che spesso hanno coinvolto Scientology, istituzioni governative e società di vario tipo
- APT35 (Advanced Persistent Threat 35) è un gruppo iraniano sponsorizzato dal governo che conduce strategic intelligence attacks
Per un approfondimento su questa tematica riporto ad un precedente articolo che va ad analizzare dall’interno il funzionamento di un hacking team ancora oggi attivo.
I gruppi possono avere diversi livelli organizzativi interni, infatti nei casi più comuni troviamo gruppi di massimo una decina di individui localizzati nella stessa zona che assieme gestiscono campagne massive di malware a scopo di lucro utilizzando payloads come Ransomwares, bankers o ponies.
In altre circostanze si possono trovare vere e proprie “Aziende” di criminalità “as a service” come i call center di scamming che rispondono quando un malcapitato utente capita in pagine false che paventano malware irremovibili se non tramite il “Supporto Microsoft” messo a disposizione in un numero fasullo.
Per restare nell’anonimato ci sono diversi metodi di obfuscation delle proprie tracce nel web, come per esempio l’utilizzo di molteplici Proxy Servers localizzati fisicamente in zone del mondo molto lontane tra loro, quindi con legislazioni diverse riguardanti il salvataggio dei log o l’accessibilità di tali risorse alle forze dell’ordine di stati terzi.
Altre organizzazioni preferiscono agire tramite prestanomi a cui è stata rubata o comprata l’identità così da eliminare ogni rischio nel caso le forze dell’ordine riuscissero ad arrivare in qualche modo a chi ha comprato dominii malevoli, il proprietario dell’IP sorgente o meglio ancora l’indirizzo di residenza da dove sono partite le connessioni fraudolente.
Malware ed exploit: come riconoscerli
Gli attaccanti hanno a loro disposizione un ampio set di strumenti per portare a termine le loro azioni offensive, tra le tipologie di tecniche e strumenti più utilizzati troviamo il phishing, i malware e gli exploit.
Questi vengono utilizzati spesso in combinata tra loro negli attacchi di tutti i giorni e la loro efficacia varia rispettivamente in base alla qualità del codice per quanto riguarda malware ed exploit e la verosimilarità del contenuto in caso di phishing.
Cos’è il phishing
Il phishing è una tecnica d’attacco che, attraverso l’uso di strumenti digitali e non, induce un utente ad inserire dati personali all’interno di form o a interagire con contenuti fraudolenti come allegati o link a siti esterni.
Nella maggior parte dei casi “on the wild”, il phishing è utilizzato per due principali attività:
- raccogliere credenziali d’accesso a WebMail, account relativi a servizi (Netflix, Amazon ecc.), credenziali di dominio per SSLVPN e molto altro ancora;
- indurre utenti ad aprire mail con allegati fraudolenti (spesso Dridex o file compressi) per introdurre payload malevoli di vario tipo.
Cosa sono gli exploit
Dalla traduzione letterale del termine “exploit” si ottiene “sfruttare” o “strumentalizzare”, due parole che perfettamente definiscono il termine e le metodologie rientranti in questa categoria.
Nella maggior parte dei casi gli exploit sono funzionalità o errori residenti nel codice di applicazioni web o locali che vengono sfruttate per attuare azioni non attese dal sistema, come l’upload o esecuzione di payload malevoli.
Alcuni casi recenti di exploits utilizzati in attacchi di grande portata sono CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 utilizzate dal gruppo HAFNIUM e la Log4J vulnerability CVE-2021-44228.
I malware utilizzati negli attacchi informatici
Chi è del settore sa bene che le tipologie di malware sono diverse e mai lineari, per identificarli però ci sono delle macro categorie che evidenziano delle funzionalità cardine del software, di seguito la lista completa:
- stealer
- banker
- ransomware
- RAT (Remote Access Tool)
- worm
- bootkit
- rootkit
- adware
- virus
- scareware
- spyware
- trojan
- keylogger
- backdoor/bot
- BHO (Browser Helper Objects)
- dialer
L’utilizzo di ognuna di queste categorie varia in base all’obiettivo dell’attaccante anche se, in genere, ci sono dei pattern d’attacco ben precisi come per esempio:
Exploitation/Persistence Establishment/Data Stealing/Ransomware Execution/Extortion
O, nel caso di malware contratti via mail:
Phishing/Data Stealing/Infection Spread
Nel primo caso vediamo la pattern d’attacco più comune quando vengono trovate vulnerabilità 0-Day che garantiscono “Remote Code Execution” all’interno di sistemi pubblicati, questa metodologia garantisce il massimo ROI all’attaccante in quanto può guadagnare da ogni punto dell’attacco nel caso questo venisse bloccato prima di essere portato a termine nella sua interezza.
La fase dell’exploitation permette all’attaccante di rivendere ad altri hackers liste piene di IP pubblici con servizi vulnerabili alla CVE del momento, garantendo un minimo guadagno con il minimo dello sforzo visto che la ricerca è facilmente automatizzabile.
Eseguendo un altro step è possibile exploitare la vulnerabilità e stabilire una persistenza all’interno dell’infrastruttura vulnerabile; pur essendo anche questo passo automatizzabile, garantisce un prezzo di vendita con un moltiplicatore di 10/15 volte il valore iniziale visto che viene già eseguito il lavoro di scrematura dei potenziali servizi ben protetti con sistemi di intrusion prevention o quant’altro relativo alla cyberdefence.
Una volta all’interno tramite solide basi persistenti l’attaccante ha l’imbarazzo della scelta sul cosa fare, visto che dipendentemente dall’effort che viene impiegato si possono ottenere i tipici risultati da “prima pagina nei notiziari” o sparire nell’ombra vendendo ciò che si è ottenuto fino a quel momento.
Nei casi che osserviamo in queste prime settimane del 2022 si nota un notevole incremento dell’attacco “Double Extortion” dove l’attaccante prima esfiltra tutti i dati possibili dall’infrastruttura attaccata e poi rende inutilizzabili tali dati tramite cifratura per mezzo di un ransomware.
Nel secondo caso invece possiamo vedere la tipica “attack pattern” delle comuni “malware campaigns” che ogni giorno colpiscono gran parte delle aziende in tutto il mondo.
La meccanica è abbastanza semplice; un malware viene inoculato nel dispositivo del malcapitato tramite tecniche di phishing (spesso via mail) ed in seguito, basandosi sulla categoria e la famiglia del payload, si attiva la sua principale funzionalità (Remote access, Data stealing, keylogging ecc.) che una volta terminata passa alla parte di “infection spread” dove il malware proverà in quanti più modi possibili di distribuire la sua infezione tramite gli account mail del malcapitato, rispondendo a mail arrivate all’utente infetto con messaggi generici ed inserendo una copia di se stesso come allegato.
