Mentre il 2020 sta giungendo al termine, Bitdefender sta già studiando ciò che accadrà l’anno prossimo e predisponendo le difese necessarie. Ecco una lista di ciò che i ricercatori di Bitdefender si aspettano nel panorama della sicurezza informatica in merito alle possibili minacce del 2021.
Significative violazioni dei dati aziendali inizieranno dalle nostre abitazioni
Le violazioni dei dati sono ormai entrate a far parte della nuova normalità, e l’impegno delle aziende per cercare di mettere in atto adeguate misure di sicurezza è considerevole. La crescente diffusione del telelavoro imposta dalla pandemia da Coronavirus, porterà i dipendenti a aggirare, per pura comodità, alcune misure della sicurezza informatica. Dispositivi personali e router domestici non sufficientemente protetti, il trasferimento di informazioni sensibili su canali non protetti o non autorizzati (come applicazioni di messaggistica istantanea, indirizzi e-mail personali e processori di documenti basati su cloud) saranno tra i principali responsabili di violazioni e fughe di dati.
Allo stesso tempo, la pressione sui team IT e DevOps delle aziende avrà delle conseguenze: server non configurati correttamente all’interno di infrastrutture cloud, database esposti inavvertitamente e credenziali hardcoded aiuteranno i criminali informatici a far trapelare dati privati.
Le PMI saranno probabilmente le più colpite dalle violazioni dei dati, poiché gli errori di configurazione derivanti dalla rapida transizione dei dipendenti al telelavoro hanno lasciato dietro di sé falle di sicurezza che i criminali informatici probabilmente sfrutteranno nei prossimi 12-18 mesi.
Gli attacchi contro i firmware saranno sempre più diffusi
Con l’inasprirsi della concorrenza nel mondo della criminalità informatica, gli hacker che diffondono malware si concentreranno sempre più sull’esigenza di nascondere le minacce da loro create all’interno di sistemi compromessi. Gli attacchi contro i firmware, precedentemente ritenuti estremamente complessi e difficili da realizzare, diventeranno probabilmente molto comuni nel 2021. L’abuso di strumenti come RwEverything potrebbe portare ad un aumento significativo degli attacchi al firmware, in particolare sui sistemi in cui il produttore non ha configurato correttamente il firmware per bloccare le riscritture non autorizzate. I criminali informatici che sfruttano il ransomware probabilmente prenderanno di mira il firmware dei dispositivi per bloccare i dispositivi stessi e rendere il sistema inutilizzabile fino al pagamento del riscatto da parte delle vittime.
I gruppi criminali che diffondono il ransomware si sfideranno per assicurarsi la supremazia
Dal 2014, il ransomware è una tipologia di crimine informatico altamente lucrativa che ha portato i criminali informatici a unirsi per creare un ambiente opprimente in cui gli operatori lottano per la sopravvivenza. Questa competizione non porta nulla di buono agli utenti di computer domestici o aziendali, poiché la diversificazione e la maggiore sofisticazione del malware non faranno altro che renderne più difficile la decodifica. Tra le diverse minacce per il 2021 annoveriamo: ransomware-planting, il malware Trickbot responsabile di violazioni con il ransomware Ryuk, e i ransomware as-a-service (MaaS).
Le seguenti tre aree subiranno cambiamenti significativi in quanto i cybercriminali probabilmente intensificheranno le loro attività:
I router e i computer di casa continueranno a essere violati. Gli hacker specializzati nell’hijacking dei dispositivi affitteranno l’accesso ad altri gruppi in cerca di funzionalità di comando e controllo distribuite o li venderanno in massa ad operatori clandestini per riutilizzarli come nodi proxy per nascondere attività pericolose.
Nel 2021 aumenteranno le operazioni illegali di cryptomining. Mentre il mondo si prepara alle conseguenze finanziarie dell’epidemia da Coronavirus, le principali valute crittografiche come Bitcoin, Monero ed Ethereum hanno guadagnato notevolmente in valore. I gruppi criminali informatici specializzati nel mining illegale intensificheranno probabilmente i loro sforzi nel 2021 per infettare ed estrarre segretamente le cryptovalute da dispositivi personali degli utenti e dalle infrastrutture dei centri dati.
I malware per i sistemi operativi MacOS e Android sono in aumento. Nel 2020 abbiamo documentato diverse campagne malware di alto profilo distribuite attraverso Google Play Store. Famiglie di malware come Joker, HiddenAds e diversi trojan bancari sono solo la punta dell’iceberg. Nel corso del prossimo anno prevediamo emergeranno altre campagne APT non ancora scoperte.
Supply chain, spionaggio industriale e minacce persistenti avanzate
Gli hacker si concentreranno maggiormente sugli attacchi contro la supply chain piuttosto che su bersagli di dimensioni più grandi. Analogamente ai recenti attacchi “Cold chain” contro le aziende che si occupano del servizio di trasporto del vaccino contro il Coronavirus o agli attacchi alle autorità di regolamentazione che gestiscono la documentazione del vaccino contro il Coronavirus, gli attacchi alla supply chain diventeranno più popolari nel 2021. Sia per ragioni politiche che economiche, gli attacchi contro la supply chain influenzeranno probabilmente anche settori verticali che raramente sono stati colpiti in passato, come ad esempio il settore immobiliare o la sanità.
Aumenteranno di pari passo gli attacchi mirati contro settori verticali critici come quello della ricerca, il settore farmaceutico e della sanità. Se i criminali che utilizzano il ransomware in modalità as-a-service si confermeranno gli avversari più temibili, seguiti a ruota dai gruppi focalizzati sullo spionaggio industriale.
In termini di minacce sofisticate, ci aspettiamo di vedere un maggior numero di APT che prenderanno di mira vittime con un alto profilo utilizzando esche geopolitiche. Molti di questi attacchi si evolveranno sempre più intorno a modelli di penetration testing per l’escalation dei privilegi, la raccolta di credenziali per il movimento laterale e la discovery. Prevediamo inoltre che questi attacchi mirati sfrutteranno il social engineering principalmente per l’esfiltrazione dei dati piuttosto che per le fasi di ricognizione e di delivery della catena dell’attacco.
Nuova normalità, nuovi attacchi di phishing
L’epidemia causata dal Coronavirus e il telelavoro sono serviti da catalizzatore per l’evoluzione delle email di phishing. Tradizionalmente, le email phishing erano facili da individuare a causa degli errori di battitura, della formulazione scadente e della mancanza di autenticità. Solo le email di spear phishing, che si rivolgevano direttamente a specifici individui e aziende, erano abbastanza sofisticate da creare un senso di legittimità. Tutto ciò è cambiato quando è scoppiata la pandemia, quando gli hacker hanno iniziato a concentrarsi nella creazione di email di phishing di massa prive di errori di battitura, a utilizzare un linguaggio tecnico specifico per i destinatari presi di mira e persino ad abusare dei loghi legittimi delle aziende prese di mira. Inoltre, questi nuovi fenomeni di phishing fanno leva su argomenti popolari sui media e sfruttano il modo in cui gli utenti hanno iniziato a interagire con le società finanziarie e compagnie di spedizione nel contesto del telelavoro.
La componente di social engineering di queste nuove campagne di phishing ha raggiunto nuovi livelli di sofisticazione, con gli hacker che si concentrano maggiormente sull’aumento del tasso di successo delle loro campagne, piuttosto che sull’aumento del volume dello spam inviato. L’aumento dell’efficacia e del senso di legittimità delle campagne di phishing ha reso più difficile distinguere il falso dal reale.
Dal momento che la maggior parte delle campagne di phishing del 2020 sembrano aver sfruttato temi e argomenti popolari, questa tendenza continuerà probabilmente per tutto il 2021.
L’epidemia dovuta al Coronavirus metterà inoltre a dura prova le caselle di posta elettronica e le tecnologie di filtraggio dello spam. Con la crescente pressione legata alla somministrazione del vaccino COVID-19, gli utenti oggi sono spaventati e ansiosi. Nel 2021, molti saranno vittime di malware focalizzato sul vaccino per il COVID e offerte fraudolente, che arriveranno soprattutto tramite spam e phishing. I truffatori non si lasceranno sfuggire la possibilità di richiedere i dati della carta di credito promettendo la consegna del vaccino direttamente a casa delle vittime designate. Ora più che mai, gli internauti dovranno stare attenti ogni volta che riceveranno un messaggio a tema COVID, che sia via email, SMS o telefono.
Minacce e criminalità informatica in modalità as-a-service
Con l’adozione sempre più frequente di un modello commerciale as-a-service, il crimine informatico raggiungerà nuovi apici nel 2021. Gli sviluppatori di malware e gli hacker si concentreranno maggiormente sull’offerta di servizi altamente specializzati e granulari. Tecniche come l’obfuscation o le minacce APT in modalità as-a-service rimodelleranno il panorama delle minacce in modo da eludere le soluzioni di sicurezza tradizionali e migliorare la competenza nell’esecuzione di attacchi altamente avanzati, il tutto offerto al miglior offerente. Le aziende si troveranno a dover aggiornare i loro modelli per contrastare le minacce per concentrarsi sull’identificazione delle tattiche e delle tecniche solitamente associate ad hacker sofisticati; l’attuale sicurezza per le PMI non è attualmente a un livello adeguato per gestire i mercenari APT.
Cloud container vulnerabili, software vulnerabili
Ultimo, ma non meno importante, nella nostra lista delle previsioni per il 2021 ci sono due attacchi distinti che stanno silenziosamente e rapidamente guadagnando terreno. Le indagini su cui abbiamo lavorato quest’anno hanno rivelato un aumento significativo del malware che colpisce i microcontainer mal configurati o esposti inavvertitamente. Ci aspettiamo di vedere un aumento dei container compromessi utilizzati per qualsiasi cosa, dai ladri di cryptovalute alle tecniche di pivoting della rete.
Un’altra osservazione importante riguarda l’aumento degli attacchi che sfruttano il sideloading delle DLL (hijacking delle DLL) nelle applicazioni più diffuse. L’hijacking del flusso di esecuzione consente agli hacker di eseguire codice dannoso nel contesto di un processo affidabile e di aggirare firewall e whitelist, nonché altri software di sicurezza di livello aziendale. Presente soprattutto negli attacchi mirati, ci aspettiamo che questa tecnica diventi uno standard anche per il malware nel 2021.