Fortinet ha reso note le previsioni dei FortiGuard Labs, il team di ricerca e intelligence che opera a livello globale, dedicate a quello che ci aspetta nei prossimi 12 mesi per quanto riguarda le minacce informatiche. Dalla rapida evoluzione degli attacchi resi possibili dal Cybercrime-as-a-Service (CaaS), agli exploit su obiettivi non tradizionali come i dispositivi edge o ai mondi virtuali: il volume, la varietà e la portata delle minacce informatiche terranno i team che si occupano di sicurezza informatica in massima allerta per tutto il 2023 e oltre.
Come spiegato fin dalle prime battute in una nota ufficiale da Derek Manky, Chief Security Strategist e VP Global Threat Intelligence, FortiGuard Labs: «Con la convergenza della criminalità informatica con i metodi delle Advanced Persistent Threat, i criminali informatici stanno trovando il modo di armare in modo massiccio nuove tecnologie per causare maggiori danni e interruzioni. Non si limitano a prendere di mira la superficie di attacco tradizionale, ma operano anche all’esterno che all’interno degli ambienti di rete. Allo stesso tempo, il crimine informatico dedica più tempo alla ricognizione con l’obiettivo di eludere il rilevamento, l’intelligence e i controlli delle organizzazioni. Tutto ciò significa che il rischio informatico continua a crescere e che i CISO devono essere agili e metodici quanto i loro avversari. Le organizzazioni saranno in grado di proteggersi al meglio da questi attacchi se adotteranno una piattaforma di sicurezza informatica che integri reti, endpoint e cloud per consentire un’intelligence automatizzata e operativa sulle minacce, unita a funzionalità avanzate di rilevamento e risposta di tipo behaviour-based».
1) Il successo del Ransomware-as-a-Service (RaaS) è un’anteprima di ciò che accadrà con il CaaS
Dato il successo che i criminali informatici hanno avuto nell’utilizzo del Ransomware-as-a-Service (RaaS), si può prevedere che sul dark web sarà reso disponibile un numero crescente di vettori di attacco as-a-service, in modo da consentire una significativa espansione del Cybercrime-as-a-Service. Oltre alla vendita di ransomware e ad altre offerte di Malware-as-a-Service, emergeranno nuovi servizi “à la carte”. Il CaaS rappresenta infatti un modello di business interessante per i malintenzionati che, con diversi livelli di competenza, possono facilmente approfittare di offerte “chiavi in mano” senza investire tempo e risorse per creare un proprio piano di attacco. Per i criminali informatici esperti la creazione e la vendita di portafogli di attacchi as-a-service offre inoltre un guadagno semplice, rapido e ripetibile. In futuro, le offerte CaaS su abbonamento potrebbero potenzialmente fornire ulteriori entrate. I criminali informatici, inoltre, inizieranno a sfruttare nuovi vettori di attacco, quali i deepfake, proponendo l’acquisto di video e registrazioni audio e dei relativi algoritmi in modo sempre più ampio.
Una delle metodologie più importanti da adottare per difendersi dal crimine informatico e dalle sue tecniche di attacco è rappresentato dalla formazione e dal training alla consapevolezza dell’importanza della sicurezza informatica. Molte organizzazioni offrono programmi di formazione sulla sicurezza di base per i dipendenti, ma dovrebbero considerare l’aggiunta di nuovi moduli che forniscano informazioni sull’individuazione di metodologie di attacco più evolute come le minacce perpetrate dall’intelligenza artificiale.
2) Attacchi più efficaci con la “Reconnaissance-as-a-Service”
Un altro aspetto di come la natura organizzata della criminalità informatica consentirà strategie di attacco più efficaci riguarda il futuro della ricognizione. Man mano che gli attacchi diventano più mirati, gli attori delle minacce assumeranno probabilmente dei “detective” sul dark web per raccogliere informazioni su un particolare obiettivo prima di lanciare un attacco.
Al pari delle informazioni che si possono ottenere assumendo un investigatore privato, le offerte di Reconnaissance-as-a-Service possono fornire progetti di attacco che includono lo schema di sicurezza di un’organizzazione, il personale chiave che si occupa della sicurezza informatica, il numero di server di cui dispone, le vulnerabilità esterne note e persino le credenziali compromesse disponibili per la vendita, o altro ancora. Tutto questo può essere d’aiuto a un criminale informatico nel condurre un attacco altamente mirato ed efficace. La presenza di attacchi alimentati dai modelli CaaS implica l’importanza di bloccare gli avversari nella fase iniziale dei loro attacchi, ovvero durante la fase di ricognizione.
La cybersecurity deception unita a un servizio di Digital Risk Protection (DRP), può aiutare le organizzazioni a conoscere il nemico e a ottenere un vantaggio, “ingannando” i criminali informatici per contrastare non solo i RaaS, ma anche i CaaS nella fase di ricognizione.
3) Il riciclaggio di denaro si trasforma in Money Laundering-as-a-Service (LaaS)
Per crescere, le organizzazioni criminali informatiche impiegano i cosiddetti “money mule” che, consapevolmente o inconsapevolmente, vengono utilizzati per contribuire al riciclaggio di denaro. Per evitare di essere scoperti, il trasferimento di denaro avviene in genere attraverso servizi di bonifico bancario anonimo o attraverso scambi di criptovalute. La creazione di campagne di reclutamento di money mule ha sempre richiesto molto tempo, in quanto i criminali informatici mettono molto impegno nel creare siti web dedicati a false organizzazioni e i successivi annunci di lavoro per far sembrare le loro attività legittime.
I criminali informatici inizieranno presto a utilizzare il machine learning (ML) per il reclutamento, il che li aiuterà a identificare meglio i potenziali muli riducendo al contempo il tempo necessario per il reclutamento. Le campagne manuali saranno sostituite da servizi automatizzati, che sposteranno il denaro attraverso diversi livelli di scambio di criptovalute, rendendo così il processo più veloce e più difficile da rintracciare. Il riciclaggio di denaro as-a-service (LaaS) potrebbe diventare rapidamente mainstream come parte del crescente portafoglio CaaS. Per le organizzazioni o gli individui che dovessero cadere vittime di questo tipo di crimine informatico, il passaggio all’automazione significa che il riciclaggio di denaro sarà più difficile da rintracciare, riducendo le possibilità di recuperare quanto sottratto.
Guardare all’esterno di un’organizzazione per trovare indizi sui futuri metodi di attacco sarà più importante che mai, per prepararsi prima che gli attacchi abbiano luogo. I servizi DRP sono fondamentali per valutare la superficie di attacco vista dagli attori delle minacce esterne, per individuare e risolvere i problemi di sicurezza e per ottenere informazioni contestuali sulle minacce attuali e imminenti prima che avvenga un attacco.
4) Le città virtuali e i mondi online rappresentano nuove superfici di attacco per la criminalità informatica
Il metaverso sta dando vita a nuove esperienze completamente immersive nel mondo online e le città virtuali sono tra le prime a fare la comparsa in questa nuova versione di Internet guidata dalle tecnologie di realtà aumentata. I retailer stanno addirittura lanciando prodotti digitali disponibili per l’acquisto in questi mondi virtuali. Se da un lato queste nuove mete online offrono un mondo di possibilità, dall’altro aprono la porta a un aumento senza precedenti della criminalità informatica in un territorio inesplorato. Ad esempio, l’avatar di un individuo è essenzialmente una porta d’accesso a informazioni di identificazione personale (PII – personally identifiable information), che lo rendono un obiettivo primario per gli aggressori. Poiché gli individui possono acquistare beni e servizi nelle città virtuali, i portafogli digitali, gli scambi di criptovalute, gli NFT e tutte le valute utilizzate per le transazioni offrono agli attori delle minacce una nuova superficie di attacco. Anche l’hacking biometrico potrebbe diventare una possibilità concreta a causa delle componenti AR e VR presenti nelle città virtuali, rendendo più facile per un criminale informatico rubare la mappatura delle impronte digitali, i dati di riconoscimento facciale o le scansioni della retina per poi utilizzarli a scopi malevoli. Inoltre, le applicazioni, i protocolli e le transazioni all’interno di questi ambienti sono tutti possibili obiettivi per gli avversari.
Indipendentemente dal fatto che si lavori da qualsiasi luogo, che si apprenda da qualsiasi luogo o che si facciano esperienze immersive da qualsiasi luogo, la visibilità, la protezione e la mitigazione in tempo reale insieme all’endpoint detection and response (EDR) avanzato sono fondamentali per consentire l’analisi, la protezione e la bonifica in tempo reale.
5) La commoditizzazione del malware Wiper consentirà attacchi più distruttivi
Il malware Wiper è tornato in auge nel 2022, con l’introduzione di nuove varianti di questo metodo di attacco vecchio di dieci anni. Secondo il Global Threat Landscape report del primo semestre 2022, redatto dai FortiGuard Labs, il malware di tipo “disk-wiping” è cresciuto in concomitanza con la guerra in Ucraina, ma è stato rilevato anche in altri 24 Paesi, non solo in Europa. La sua crescita è allarmante perché potrebbe essere solo l’inizio di qualcosa di più distruttivo. Al di là dell’attuale realtà degli attori delle minacce che combinano un worm informatico con un malware wiper e persino un ransomware per ottenere il massimo impatto, la preoccupazione per il futuro è la commoditizzazione del malware wiper per i criminali informatici. Il malware che potrebbe essere stato sviluppato e distribuito da attori governativi potrebbe essere rilevato e riutilizzato da gruppi criminali e utilizzato nell’ambito del modello CaaS. Data la sua ampia disponibilità, combinata con l’exploit giusto, il malware wiper potrebbe causare una distruzione massiccia in un breve periodo di tempo, data la natura organizzata della criminalità informatica odierna. Per questo motivo, il tempo di rilevamento e la velocità con cui i team di sicurezza possono rimediare sono fondamentali.
L’utilizzo di inline sandboxing con AI è un buon punto di partenza per proteggersi dalle minacce ransomware e dai malware wiper più sofisticati. Consente una protezione in tempo reale contro gli attacchi in evoluzione, perché può garantire che solo i file benigni vengano recapitati agli endpoint, se integrato con una piattaforma di sicurezza informatica.
Cosa significano questi trend per i professionisti della sicurezza IT
Il mondo del crimine informatico e i metodi di attacco dei malintenzionati in generale continuano a crescere a grande velocità. La buona notizia è che molte delle tattiche utilizzate per eseguire questi attacchi sono già note, il che consente ai team di sicurezza di proteggersi meglio da questi attacchi. Le soluzioni di sicurezza dovrebbero essere rafforzate con il machine learning (ML) e l’intelligenza artificiale (AI), in modo da poter rilevare i modelli di attacco e bloccare le minacce in tempo reale. Tuttavia, un insieme di soluzioni di sicurezza specifiche non è efficace nel panorama odierno. Una piattaforma di sicurezza informatica di tipo mesh, ampia, integrata e automatizzata, è essenziale per ridurre la complessità e aumentare la resilienza della sicurezza. Può consentire un’integrazione più stretta, una migliore visibilità e una risposta più rapida, coordinata ed efficace alle minacce in tutto il perimetro della rete.
Una visione più dettagliata delle previsioni e delle principali indicazioni per i CISO è disponibile sul blog Fortinet.