Sempre più spesso le aziende vengono colpite da attacchi furtivi e complessi progettati per essere invisibili ai controlli dei team di sicurezza: è quanto si evince dal nuovo Security Report 2019 di Check Point Software Technology, nel quale gli analisti mettono in guardia dalla crescente “democratizzazione” degli attacchi informatici dovuta alla sempre maggiore diffusione del malware-as-a-service.
La nuova tendenza dell’industria del cyber crime è dunque quella di alimentare un fiorente mercato nero nel Dark Web in cui mettere in vendita strumenti utili per commettere reati informatici rendendoli disponibili a chiunque è disposto a pagarne il prezzo: il malware visto come un servizio, per l’appunto. È il risultato dell’industrializzazione del crimine informatico che ha adottato il modello di business basato sul concetto di crime-as-a-service.
Se in passato le attività di cyber criminalità erano di esclusiva competenza di individui altamente tecnici e specializzati, oggi nel mondo underground chiunque sia disposto a pagare può facilmente ottenere gli strumenti e i servizi necessari per lanciare qualsiasi tipo di attacco cibernetico.
I criminal hacker, quindi, esperti o meno che siano, possono concentrarsi sulla personalizzazione del malware più che sullo sviluppo del codice malevolo vero e proprio e portare così a termine attacchi furtivi e complessi in grado di rimanere “invisibili” ai radar dei team di sicurezza aziendali.
Indice degli argomenti
Malware-as-a-service: analisi delle nuove minacce
Il nuovo Security Report 2019 mostra dunque come i criminali informatici stiano esplorando con successo nuovi approcci e modelli di business furtivi, come i programmi di affiliazione legati ai malware, per massimizzare i propri ricavi illegali riducendo al contempo il rischio di essere scoperti. È quanto fa notare Peter Alexander, Chief Marketing Officer di Check Point Software Technologies, secondo cui “fuori dal campo visivo non dovrebbe significare fuori dalla mente: anche se gli attacchi informatici nel 2018 sono stati di profilo inferiore, sono ancora dannosi e pericolosi”.
“Esaminando ed evidenziando questi trend riportati nel Report”, continua l’analista, “le aziende possono ottenere una migliore comprensione delle minacce che affrontano e di come possono fare a prevenirne l’impatto sulla loro attività”.
I numeri evidenziati dallo studio condotto dagli analisti di Check Point possono dunque aiutare i team IT e di sicurezza delle aziende ad anticipare le mosse dei criminal hacker e adottare così le migliori contromisure difensive. È dunque importante sottolineare alcuni punti salienti:
- i cryptominer scavano senza essere scoperti nelle reti: nel 2018 i cryptominer hanno infettato le aziende 10 volte di più rispetto ai ransomware, ma solo un professionista della sicurezza informatica su cinque era consapevole che le reti della propria azienda erano state infettate da un malware cryptominer. Il 37% delle organizzazioni a livello globale è stato colpito dai cryptominer nel 2018 e il 20% delle aziende continua a essere colpito ogni settimana, nonostante un calo dell’80% dei valori delle cryptovalute;
- i rischi legati al cryptomining sono sottovalutati dalle organizzazioni: alla domanda su quali fossero le maggiori minacce per la propria organizzazione, solo il 16% ha dichiarato il cryptomining, rispetto agli attacchi DDoS (34%), alle violazioni dei dati (53%), al ransomware (54%) e al phishing (66%). Questo è preoccupante, in quanto i cryptominer possono facilmente agire come backdoor furtive per scaricare e lanciare altri tipi di malware;
- l’ascesa del malware-as-a-service: il GandCrab Ransomware-as-a-Service affiliate program mostra come anche i dilettanti possono ora trarre profitto dall’attività di estorsione dei ransomware. Gli utenti trattengono fino al 60% dei riscatti raccolti dalle vittime e gli sviluppatori fino al 40%. GandCrab ha oltre 80 affiliati attivi e nel giro di due mesi nel 2018 aveva infettato oltre 50.000 vittime e dichiarato tra i 300.000 e i 600.000 dollari in riscatti.
I consigli per difendersi dalla nuove minacce
I risultati evidenziati nel Security Report 2019 di Check Point sono dunque l’occasione per ribadire ancora una volta come il semplice antivirus o il firewall, per quanto aggiornati e correttamente configurati, da soli non bastano più a garantire la sicurezza del perimetro cyber delle aziende.
Una conferma che arriva anche da parte di Alberto Pelliccione, CEO di ReaQta: “il report di CheckPoint conferma una serie di trend che in ambito di endpoint security avevano preso una forma chiara già nel 2017. L’evoluzione più interessante – e attesa – è stata quella dei ransomware che oggi colpiscono di meno il pubblico generale, ma al tempo stesso diventano più mirati, toccando obiettivi sensibili e più remunerativi (pensiamo, ad esempio, al caso Saipem). Attacchi a tappeto su decine di migliaia di piccoli target sembrano generare meno introiti rispetto ad attacchi che mirano a compromettere risorse critiche, dove la grande azienda ha meno problemi, e più interessi, a pagare un riscatto rispetto ad un utente privato”.
“Rimane sempre in voga il modello del RaaS (Ransomware as a Service)”, continua Pelliccione, “perché consente di dividere efficacemente la catena di sviluppo del ransomware da quella della distribuzione, modello ben rappresentato e raffinato dal sempre attivo GandCrab”.
Secondo l’analista “la parte del leone la fanno in qualche modo i cryptominer, figli del crescente valore delle criptovalute e poi vittime di queste ultime successivamente ai tracolli a cui abbiamo assistito durante tutto il 2018. I cryptominer, come pure i ransomware, sono diventati sempre più mirati e tendono a preferire le aziende dove la potenza di calcolo abbonda, piuttosto che l’utente privato. Il loro destino è però incerto e i ritorni – che già si sospettava essere estremamente contenuti – continuano a diminuire, tuttavia la loro relativa semplicità li rende insidiosi e spesso difficili da identificare prontamente”.
L’analisi di Pelliccione si concentra, quindi, “su come le aziende percepiscano il threat landscape: lo spear-phishing prende il podio. Le aziende oggi comprendono benissimo che da una semplice e-mail può iniziare la compromissione dell’intera infrastruttura. Aumenta la preoccupazione per i data breach, probabilmente influenzata dal GDPR e da una serie di incredibili breach nel 2018. Rimane invece sorprendentemente basso il rischio percepito nel settore degli APT, decisamente in controtendenza con quanto avvenuto nel 2018 dove i maggiori threat actor sono stati attivissimi a tutti livelli (spionaggio governativo ed industriale) e dove l’innovazione non è di certo mancata”.
È importante che tutte le organizzazioni, grandi o piccole che siano, comprendano l’utilità di adottare politiche di sensibilizzazione dei propri dipendenti sull’importanza della sicurezza informatica, aumentando il loro livello di consapevolezza mediante aggiornamenti periodici sulle nuove minacce.
Il consiglio sempre valido in questi casi è dunque quello di tenere sempre alta la guardia: mai aprire un allegato ad un messaggio di posta sospetto o fornire informazioni riservate via e-mail, a meno di non essere più che certi dell’attendibilità del nostro interlocutore. A volte, basta un clic distratto su un link contenuto in un messaggio di posta elettronica o su un’immagine allegata per aprire una pericolosa breccia nelle misure di sicurezza aziendali e mettere a rischio i preziosi asset produttivi.
