A cura di Max Heinemeyer, Director of Threat Hunting di Darktrace
Non è un segreto che gli attacchi informatici stiano diventando sempre più difficili da rilevare, incorporando tattiche più sottili e persino elementi automatizzati per violare il perimetro della rete. Eppure, nonostante la crescente sofisticazione di queste minacce, il maggior rischio con cui aziende e governi oggi si confrontano è ancora il comportamento dei dipendenti.
Gli utenti autorizzati a entrare in una determinata rete rappresentano per i cyber-criminali una via di accesso alla proprietà digitale relativamente facile. Dai trojan bancari, che si diffondono con il social engineering, fino al mining delle criptovalute, realizzato da lavoratori scontenti, lo scorso anno abbiamo assistito a una significativa ripresa delle minacce che hanno sfruttato la fallibilità dei dipendenti o che sono state create dai dipendenti stessi.
Monitorando e analizzando il traffico di tutti gli utenti dei nostri clienti, dei dispositivi connessi a Internet e dei deployment in cloud, abbiamo visto emergere alcuni trend significativi nel corso del 2018. Questo articolo esaminerà specificamente gli attacchi che implicano la frode, l’astuzia e l’arte dell’inganno, perché, mentre le organizzazioni implementano tecnologie e strumenti all’avanguardia per migliorare le proprie difese informatiche, l’anello più debole della sicurezza della rete non è una macchina: ma l’essere umano stesso.
Trojan bancari in crescita del 239%
Il trojan si riferisce a un programma informatico malevolo che inganna l’utente nascondendo il suo vero scopo, sfruttando la debolezza sostanziale dell’errore umano all’interno di qualsiasi infrastruttura di sicurezza. Negli ultimi 12 mesi, l’incidenza dei trojan, in particolare di quelli bancari, che raccolgono le credenziali dei clienti delle banche online dalle macchine infette è aumentata del 239% presso i nostri clienti.
Un incremento drammatico, che potrebbe essere una conseguenza diretta della popolarità discendente del ransomware; sembra, infatti, che i trojan bancari rappresentino oggi uno strumento più redditizio per il cyber-crimine. A differenza dei ransomware, i trojan bancari non fanno affidamento sulla consapevole volontà di pagare un riscatto ma usano l’inganno per eseguire transazioni a insaputa delle proprie vittime. Dato che il numero di incidenti ransomware è diminuito nel 2018, sembra che le armi preferite per il crimine informatico siano oggi forme di Attacco più sofisticato.
La proliferazione dei trojan bancari, infatti, è stata accompagnata da una crescente sofisticazione nel malware stesso, con molti trojan bancari che si sono diffusi al di là del loro obiettivo originario, legato all’accesso alle banche online. Trojan avanzati come Emotet oggi sono in grado di distribuire altre forme di malware come payload, dopo aver usato e-mail fraudolente, pubblicità online e altre forme di social engineering per violare il perimetro.
Incidenti legati alle criptovalute – aumento del 78%
Oltre ai trojan bancari, Darktrace ha rilevato una crescita del 78% nella frequenza di un’altra tipologia di minaccia: il cripto-jacking. Definito come l’utilizzo nascosto della potenza di calcolo per minare la criptovaluta, il cripto-jacking opera secondo la logica opposta al ransomware, cioè agendo come un parassita sui sistemi informatici di un’organizzazione o iniettando codice nascosto nelle pagine Web di un’organizzazione. Mentre chi si cela dietro a un ransomware esige il pagamento immediato, i miner di criptovaluta cercano di passare inosservati il più a lungo possibile.
Le minacce ingannevoli come i trojan bancari e il cripto-jacking sono particolarmente sfuggenti quando provengono da addetti ai lavori. In una delle aziende di e-commerce, inclusa nella Fortune 500 quest’anno, Darktrace ha scoperto che un utente con privilegi di accesso – un amministratore di sistema insoddisfatto – dirottava delle fonti di energia dall’infrastruttura aziendale per ottenere un guadagno monetario personale. Il dipendente ha cooptato le credenziali di altri utenti e gli account di servizio per rilevare furtivamente più macchine per il crypto-mining.
Il tasso di crescita delle minacce legate alla criptovaluta è però inferiore a quello registrato l’anno precedente, probabilmente a causa del drastico calo di valore subito della maggior parte di queste valute (vedi Figura 1). Molti esperti ritengono però che questi valori torneranno presto a crescere e ci aspettiamo che il crypto-jacking diventi ancora più diffuso negli anni a venire. L’ecosistema cyber-criminale, infatti, risponde ai fattori macroeconomici, e dato che i sistemi di pagamento continueranno a evolversi, anche i flussi di entrata dei criminali faranno lo stesso.
L’anello debole: ancora una volta si tratta delle persone
La rapida escalation di minacce ingannevoli e subdole, dai trojan bancari che ottengono l’accesso con il social engineering al crypto-jacking organizzato da persone interne all’azienda, fino alle email di spear phishing mirate, è il prodotto di un difetto fondamentale dell’approccio tradizionale alla cyberdifesa, che implica la messa in sicurezza del perimetro contro le minacce note. Quando un dipendente, in modo volontario o inavvertitamente, compromette la rete dall’interno, la protezione del perimetro perde significato.
Se guardiamo ai mesi a venire, in un anno che sarà probabilmente sempre più dominato da attacchi ingannevoli e minacce interne, le organizzazioni dovranno cercare di comprendere meglio le proprie reti in modo da saper riconoscere ogni volta se qualcosa, anche in modo quasi impercettibile, sta andando storto.