MILANO – Nel 2020 i team di cybersecurity hanno dovuto fare i conti con cambiamenti imprevedibili nelle strutture di rete e nelle strategie di attacco. Mentre la pandemia di COVID-19 continua a mettere in difficoltà aziende e singoli individui in tutto il mondo, il panorama delle minacce informatiche è diventato più complesso e fitto di quanto non fosse prima. Molte aziende hanno avuto difficoltà ad adattarsi per gestire e contenere tali minacce, crescenti e in continua evoluzione, avendo già dovuto far fronte a criticità operative in seguito al rapido trasferimento della forza lavoro in remoto.
Oggi le minacce informatiche sono in costante trasformazione: le aziende devono continuamente aggiornarsi sull’attuale scenario e investire le risorse necessarie per proteggere quella che oggi è – e sarà a tempo indefinito – una superficie d’attacco più ampia e vulnerabile. Il panorama delle minacce informatiche è cambiato drammaticamente e i relativi rischi per le reti rimangono elevati. Un’intelligence delle minacce accurata e attiva è oggi quanto mai necessaria e il report sulle minacce presentato da Fortinet qui di seguito evidenzia la capacità della community di cybercriminali di adattarsi e sfruttare le nuove opportunità:
La tecnologia ‘at-home’ come gateway all’impresa
Prima l’attenzione dei team di security era focalizzata sulla protezione degli utenti dalle minacce, delle applicazioni e della rete e sull’implementazione di una connessione sicura per le risorse all’interno del perimetro della rete. Ora, a causa di un esponenziale aumento dell’Internet of Things (IoT) e una maggiore dipendenza dalle reti domestiche e dai dispositivi consumer, come i router e i modem (cosa di cui i cybercriminali si sono accorti rapidamente), le priorità sono cambiate. L’incremento del lavoro da remoto ha evidenziato la necessità di mettere in sicurezza i dispositivi personali utilizzati per connettersi alla rete aziendale, compresi smartphone, tablet, computer portatili e PC. Per gli hacker, questo cambiamento rappresenta un’opportunità unica da sfruttare e introdursi nelle reti aziendali (o, almeno, sui dispositivi utilizzati per accedere a tali reti). Questi device sono vulnerabili e i ricercatori Fortinet hanno individuato la formazione di grandi BotNet che possono essere utilizzate per lanciare attacchi DDoS o distribuire malware destinati all’impresa.
Oggi, i cybercriminali dimostrano di comprendere meglio la tecnologia e di avere accesso a risorse più sofisticate, rendendo più impegnativo che mai per i team IT proteggere le risorse distribuite. Attraverso l’uso di AI e strumenti di machine learning, ad esempio, i cybercriminali sfruttano appieno la superficie di attacco in espansione e bypassano con successo le protezioni tradizionali. A causa di questi progressi nei metodi e nelle tecnologie di attacco, i team IT lottano per stare al passo con gli sviluppi, come il ransomware di ultima generazione e le minacce di phishing utilizzate per compromettere i dispositivi IoT at-home.
Gli attacchi ransomware diventano sempre più sofisticati
Gli attacchi ransomware costituiscono da sempre una fonte di grande preoccupazione per le imprese. Ma negli ultimi mesi sono diventati sempre più frequenti e dispendiosi – sia in termini di tempi di inattività che di danni. Queste minacce persistono a lungo e sono diventate ancora più complesse: ciò è dovuto al fatto che il ransomware sia ancora più facilmente accessibile agli hacker tramite i marketplace di DarkNet. Le nuove tecnologie ransomware, compreso il ransomware-as-a-service, sono poco costose e relativamente semplici da implementare.
Il team Fortinet ha rilevato ransomware in email, allegati e documenti riguardanti comunicazioni relative alla pandemia di COVID-19. Queste minacce si fanno sempre più sofisticate. Per citare alcuni esempi specifici di ransomware, il NetWalker, Ransomware-GVZ e CoViper: dei tre, CoViper si è rivelato particolarmente allarmante, dal momento che riscrive il master boot record (MBR) del computer prima di criptare i dati. Il team Fortinet ha osservato in passato diversi attacchi in cui gli hacker hanno sfruttato i wiper MBR combinati con il ransomware per danneggiare i PC, ma si tratta di una strategia insolitamente aggressiva.
Verso la fine del primo semestre dell’anno, ci sono state anche diverse segnalazioni di gruppi di minaccia potenzialmente sostenuti da Stati membri che hanno attaccato organizzazioni coinvolte nella ricerca relativa al COVID-19 negli Stati Uniti e in altri Paesi. Inoltre, gli hacker hanno trasferito i dati critici su server aperti e hanno minacciato di renderli pubblici a meno che non venissero assecondate le loro richieste.
Con l’evolversi di queste minacce, i team di security devono condividere le informazioni in tempo reale per adeguarsi alle ultime tendenze e metodi di attacco. Questo comprende l’aggiornamento sugli strumenti utilizzati dai cybercriminali per massimizzare l’impatto degli attacchi, compresi i social media e i motori di ricerca Darknet, e modificare le strategie attuali. Alle aziende si consiglia di mantenere i dati criptati, per contrastare le più recenti e innovative strategie di attacco.
Il Phishing evolve verso il Machine Learning
Inizialmente, la maggior parte degli attacchi di phishing era facilmente prevenibile, rappresentando un rischio solo per gli utenti più ingenui. Queste truffe utilizzano generalmente tattiche di social engineering per sottrarre le credenziali a utenti ignari, per lo più via email. In altri casi, un messaggio particolarmente convincente viene utilizzato per convincere una vittima a cliccare un link che installa malware o espone dati sensibili.
Sempre più spesso questi attacchi sono utilizzati per anticiparne altri sia on-premise che cloud service. Oggi le strategie di phishing sono più sofisticate e si sono evolute per colpire i punti deboli che si trovano ai confini delle reti aziendali. Nella maggior parte delle aziende i dipendenti oggi sono più consapevoli sui pericoli del phishing via e-mail e adottano maggiori precauzioni quando incappano in link sospetti, ma gli hacker hanno iniziato ad adattare anche il loro approccio. Ad esempio, i cybercriminali prendono di mira le reti domestiche non protette e i telelavoratori alle prime armi che non hanno una formazione adeguata in materia di cybersecurity per sottrarre informazioni personali e lanciare attacchi alle reti aziendali a cui sono collegati.
In molti sfruttano il machine learning per creare, testare e distribuire rapidamente messaggi con contenuti visivi sempre più realistici che inducono uno stress e un disagio emotivo nei destinatari. I cybercriminali possono effettivamente analizzare gli attacchi e perfezionare le proprie strategie per garantire la massima efficacia. Gli attacchi di phishing più recenti includono truffe che millantano di supportare gli utenti mediante l’accesso a forniture sanitarie o dispositivi di protezione personale difficili da reperire o offrire supporto dall’helpdesk ai lavoratori a distanza.
La maggior parte di questi attacchi di phishing contiene payload dannosi – tra cui ransomware, virus e remote access trojans (RAT) concepiti per fornire ai criminali l’accesso remoto ai sistemi endpoint, consentendo loro di eseguire exploit di Remote Desktop Protocol (RDP).
Il team Fortinet ha registrato un significativo picco nel phishing via web, a partire dalla serie di minacce informatiche HTML/Phishing tra gennaio e febbraio 2020 e che si è protratto fino alla fine di maggio. Analoghi HTML – /ScrInject (attacchi con l’iniezione di script del browser) e /REDIR (schemi di reindirizzamento del browser) – hanno anch’essi contribuito all’aumento dei tentativi di phishing nel corso dell’anno. Il malware web-based tende a bypassare la maggior parte dei comuni sistemi antivirus, con maggiori possibilità di successo.
I professionisti della sicurezza dovrebbero tenere presente che nel 2020 il browser è stato finora un vettore chiave per il malware e questa tendenza continuerà probabilmente a verificarsi anche il prossimo anno. Ciò riflette il calo registrato del traffico web aziendale, generalmente ispezionato, e l’aumento del traffico web da remoto dovuto al passaggio al lavoro a distanza. Questo avvantaggia i cybercriminali che hanno adeguato i loro attacchi prendendo di mira il traffico che ora inonda reti meno sicure. Per questo motivo, le aziende devono fornire ai lavoratori da remoto le conoscenze e la formazione necessarie per proteggere le proprie reti personali e la rete aziendale connessa, ma anche fornire risorse aggiuntive, come ad esempio nuove soluzioni di rilevamento e Endpoint Detection and Response (EDR) in grado di rilevare e bloccare le minacce avanzate.
Uno sguardo al futuro
La pandemia di COVID-19 ha evidenziato la necessità di una struttura di cybersecurity efficace, una costante vigilanza e la capacità di adattarsi al mutevole panorama delle minacce. La sicurezza dovrebbe essere una priorità assoluta, e ora è il momento di investire in soluzioni più ampie, più avanzate e più adattabili – soprattutto perché i cybercriminali adottano nuove strategie di attacco per sfruttare i device personali e accedere alle reti aziendali. In quest’ottica, rafforzare i sistemi delle reti remote deve diventare di primaria importanza.