Fortinet ha presentato le previsioni elaborate dalla global intelligence dei FortiGuard Labs, relative alle minacce informatiche che possiamo aspettarci per il 2022. I cybercriminali stanno perfezionando le proprie strategie e stanno mettendo a punto le loro metodologie per colpire nuove aree in modo tale da coprire l'intera superficie di attacco, approfittando soprattutto dal lavoro da remoto.
I criminali informatici stanno cercando di massimizzare le opportunità che derivano dall’edge 5G-enabled, dal core network, dall’ambiente domestico e persino dalla rete internet satellitare localizzata nello spazio. I trend identificati dai FortiGuard Labs rivelano le strategie che gli avversari informatici sfrutteranno in futuro, proponendo delle raccomandazioni che aiuteranno le aziende a prepararsi per proteggersi dagli attacchi imminenti.
Il tema degli attacchi informatici left-hand e right-hand viene spesso trattato valutando le minacce provenienti da varie direzioni, quando sono visti attraverso una catena di attacco come il framework MITRE ATT&CK. Dal left side della catena di attacco è possibile trovare gli sforzi compiuti prima di mettere in atto un’azione malevola, che comprendono attività quali la pianificazione, lo sviluppo e le strategie di acquisizione degli strumenti che verranno utilizzati.
Dal right side troviamo invece la più familiare fase di esecuzione degli attacchi. I FortiGuard Labs prevedono che i criminali informatici dedicheranno più tempo e sforzi alle attività di ricognizione e all’identificazione di funzionalità zero-day per sfruttare le nuove tecnologie e garantire attacchi di maggior successo. Sfortunatamente, vedremo anche un aumento della velocità di lancio di nuovi attacchi right side, a causa dell'espansione del mercato del Crime-as-a-Service.
Il ransomware diventerà più distruttivo: in futuro, l'espansione del crimeware continuerà ad essere una presenza costante e – parallelamente - il ransomware rimarrà un punto centrale. I criminali informatici che fanno uso di ransomware lo combinano con il distributed denial-of-service (DDoS), sperando in questo modo di prendere alla sprovvista i team IT in modo che non possano mettere in atto contromisure per mitigare i danni di un attacco.
Il fatto poi che si aggiunga la presenza di una "bomba ad orologeria" di malware wiper, che potrebbe non solo distruggere i dati ma anche i sistemi e l'hardware, determina l’urgenza per le aziende di pagare in fretta il riscatto richiesto.
Il malware wiper ha già operato, ad esempio, prendendo di mira i giochi olimpici di Tokyo. Dato il livello di convergenza tra i metodi di attacco dei criminali informatici e le minacce avanzate persistenti (APT), è solo una questione di tempo prima che funzionalità distruttive come il malware wiper vengano aggiunte ai toolkit dei ransomware. Questo potrebbe essere un fattore di preoccupazione per gli ambienti edge emergenti, le infrastrutture critiche e le supply chain.
I criminali informatici utilizzano l'AI per padroneggiare i deep fake: l'intelligenza artificiale (AI) viene già impiegata per attuare la difesa informatica in molti modi; è ad esempio utilizzata per rilevare i comportamenti insoliti che possono indicare un attacco, che solitamente avviene da parte di una botnet. Gli hacker stanno inoltre sfruttando l'intelligenza artificiale per contrastare i complicati algoritmi utilizzati per rilevare le loro attività malevole.
In futuro, tutto ciò si evolverà: i deep fake stanno infatti diventando una preoccupazione crescente perché sono in grado di sfruttare l’intelligenza artificiale per imitare le attività umane e possono essere utilizzati per migliorare gli attacchi di social engineering. Inoltre diventerà sempre più facile creare deep fake, data la continua commercializzazione di applicazioni avanzate utili a tale scopo.
Queste potrebbero portare a impersonificazioni in tempo reale su applicazioni vocali e video, che potrebbero superare l'analisi biometrica ponendo sfide sempre nuove per forme sicure di autenticazione come le impronte vocali o il riconoscimento facciale.
Più attacchi contro sistemi poco colpiti finora nella supply chain: in molte reti, Linux esegue molti dei sistemi informatici di back-end, e fino a poco tempo fa, non è stato un obiettivo primario della comunità dei criminali informatici. Recentemente, invece, sono stati rilevati nuovi file binari malevoli che prendono di mira il WSL (Windows Subsystem for Linux) di Microsoft, che è un livello di compatibilità per l'esecuzione di binari eseguibili Linux nativamente su Windows 10, Windows 11 e Windows Server 2019.
Inoltre il malware botnet è già stato scritto per le piattaforme Linux. Questo contribuisce a espandere ulteriormente la superficie di attacco nel core del network e all’aumento delle minacce che devono essere monitorate in generale. Tutto ciò ha conseguenze per i dispositivi Operation Technoloty (OT) e le supply chain in generale che girano su piattaforme Linux.
La sfida per chi si occupa di difendere i sistemi informatici va ben oltre il numero crescente di attacchi o l'evoluzione delle tecniche utilizzate dai cybercriminali. Si stanno esplorando nuove aree potenzialmente soggette ad attacco, che abbracciano una superficie ancora più ampia. Le organizzazioni di tutto il mondo continueranno ad espandere i loro network con nuovi perimetri definiti dal modello work-from-anywhere, dal remote learning e dai nuovi servizi cloud.
Allo stesso modo, per quanto riguarda l’ambiente domestico, si assiste all’incremento di attività come l'apprendimento e il gaming connessi. Questo aumento della connettività veloce, ovunque e in ogni momento, rappresenta un'enorme opportunità per i criminali informatici, che si adatteranno spostando risorse significative per colpire e sfruttare gli ambienti edge e ‘anywhere‘ attraverso il network esteso, piuttosto che prendere di mira solo la rete centrale.
Il crimine informatico prende ora di mira lo spazio: dal momento che l'accesso a internet via satellite continua a crescere, i FortiGuard Labs prevedono che le nuove minacce proof-of-concept (POC) prenderanno di mira le reti satellitari nel corso del prossimo anno.
Gli obiettivi più rilevanti saranno quelle organizzazioni che si affidano alla connettività satellitare per supportare attività a bassa latenza, come il gioco online o la fornitura di servizi critici a sedi remote, così come uffici delocalizzati, oleodotti e gasdotti o crociere e compagnie aeree. La potenziale superficie di attacco si espanderà ulteriormente man mano che le imprese aggiungeranno reti satellitari per collegare sistemi precedentemente fuori rete alle loro reti interconnesse, come ad esempio i dispositivi OT remoti. É inoltre probabile che seguiranno poi tipologie di attacco come il ransomware.
Attenzione al portafoglio digitale: colpire i wire transfer è diventato sempre più difficile per i criminali informatici, dal momento che le istituzioni finanziarie criptano le transazioni e richiedono l'autenticazione a più fattori (MFA). I portafogli digitali, d'altra parte, a volte possono garantire una minor sicurezza.
Mentre i wallet individuali potrebbero non costituire un grande profitto per i criminali informatici se presi di mira, la prospettiva potrebbe cambiare man mano che le aziende inizieranno a utilizzare sempre più i portafogli digitali come strumento di pagamento per le transazioni online. Dato ciò, è probabile che sempre più malware saranno progettati specificamente per prosciugare i portafogli digitali e prendere di mira le credenziali che vi sono memorizzate.
Anche gli sport digitali sono un bersaglio: quello degli esport, competizioni di video gaming multiplayer che spesso coinvolgono giocatori e squadre professionali, è un settore in espansione che è sulla buona strada per superare il miliardo di dollari di entrate quest'anno.
Gli esport sono un bersaglio invitante per i criminali informatici, che utilizzano attacchi DDoS, ransomware, oppure furti finanziari o delle transazioni, così come attacchi di ingegneria sociale, poiché richiedono una connettività costante e sono spesso giocati da reti domestiche poco protette o in situazioni in cui viene ampiamente utilizzato l’accesso Wi-Fi aperto. A causa della natura interattiva del gioco, gli esport sono anche target per le esche e gli attacchi di social engineering. Dato il loro tasso di crescita e l'interesse crescente verso queste categorie, gli esport e il gioco online saranno probabilmente importanti obiettivi di attacco nel 2022.
L’ampliamento dei margini del perimetro è alimentato dal crescente numero di dispositivi Internet-of-Things (IoT) e OT, così come dagli smart device alimentati da 5G e dall’AI che consentono transazioni e applicazioni in tempo reale. Poiché i criminali informatici prendono di mira l'intera rete estesa come punto di ingresso per un attacco, nuove minacce edge-based continueranno a emergere.
Gi hacker continueranno a perseguire l’obiettivo di massimizzare qualsiasi potenziale lacuna di sicurezza determinata da intelligent edge e dai progressi nella potenza di calcolo per creare minacce avanzate e più distruttive a un ritmo senza precedenti. Man mano che i dispositivi edge diventano più potenti e con più capacità native, nuovi attacchi saranno progettati per colpire ‘fuori dall’edge’. Man mano che la convergenza delle reti IT e OT continua è probabile un aumento degli attacchi rivolti all'OT, all’edge in particolare.
I criminali informatici prosperano grazie agli attacchi ‘living off the land’: sta sempre più emergendo una nuova minaccia basata sull’edge, denominata “Living off the land", che consente al malware di sfruttare i set di strumenti esistenti e le funzionalità all'interno di ambienti compromessi in modo che gli attacchi e l'esfiltrazione dei dati sembrino normali attività di sistema e passino perciò inosservati.
Gli attacchi Hafnium sui server Microsoft Exchange hanno usato questa tecnica per vivere e persistere nei controller di dominio. Gli attacchi "Living off-the-land" sono efficaci perché utilizzano strumenti legittimi per svolgere le loro attività. La combinazione di living off the land e di Edge-Access Trojans (EATs) potrebbe significare che i nuovi attacchi saranno progettati per essere autonomi fuori dall’edge, dal momento che i dispositivi diventano più potenti, con più capacità native e, naturalmente, più privilegi. Il malware edge potrebbe monitorare le attività e i dati edge e poi rubare, dirottare o addirittura chiedere il riscatto di sistemi critici, applicazioni e informazioni senza essere rilevato.
Il Dark Web rende scalabili gli attacchi alle infrastrutture critiche: gli hacker hanno imparato che possono incrementare i propri profitti vendendo il malware as a service. Piuttosto che competere con altri attori che offrono strumenti simili, espanderanno perciò i loro portafogli per includere attacchi basati sull'OT, soprattutto perché la convergenza OT e IT sull’edge prosegue.
Tenere in ostaggio questi sistemi e infrastrutture critiche per un riscatto sarà lucrativo, ma potrebbe anche avere grosse conseguenze, incluso l'impatto sulla vita e sulla sicurezza degli individui. Poiché le reti sono sempre più interconnesse, qualsiasi punto di accesso potrebbe essere un obiettivo per entrare nella rete IT. Tradizionalmente, gli attacchi ai sistemi OT erano il dominio di attori più specializzati, ma tali capacità vengono sempre più spesso incluse nei kit di attacco disponibili per l'acquisto sul dark web, rendendoli disponibili a un insieme molto più ampio di cybercriminali.
Il perimetro è diventato sempre più frammentato e i team di cybersecurity spesso operano in silos. Allo stesso tempo, molte organizzazioni stanno passando a un modello multi-cloud o ibrido. Tutti questi fattori contribuiscono a creare l’ambiente ideale per i criminali informatici che adottano un approccio olistico e sofisticato. Un tessuto di cybersecurity integra i controlli di sicurezza in, e attraverso, reti e risorse ampiamente distribuite.
Unitamente a un approccio Security Fabric, le organizzazioni possono beneficiare di una piattaforma di sicurezza integrata in grado di proteggere tutte le risorse on-premises, nel data center e nel cloud o sull’edge. Chi si occupa delle strategie di difesa informatica, dovrà pianificare in anticipo le azioni da mettere in campo sfruttando la potenza dell'AI e dell'apprendimento automatico (ML) per accelerare la prevenzione, il rilevamento e la risposta alle minacce.
Le tecnologie avanzate per gli endpoint come l'EDR (endpoint detection and response) possono aiutare a identificare le minacce pericolose in base al loro comportamento. Inoltre, l'accesso di rete zero-trust (ZTNA) sarà fondamentale per l'accesso sicuro alle applicazioni per estendere le protezioni ai lavoratori mobili e agli studenti, mentre Secure SD-WAN è importante per proteggere i confini WAN in evoluzione.
Inoltre, la segmentazione rimarrà una strategia fondamentale per limitare il movimento dei criminali informatici all'interno di una rete e per limitare le violazioni a una porzione più piccola della rete. Mentre la velocità degli attacchi continua ad aumentare, l'intelligence sulle minacce, attivabile e integrata, può migliorare la capacità di un'organizzazione di difendersi in tempo reale.
Nel frattempo, in tutti i settori e in tutte le tipologie di organizzazioni, i dati condivisi e la collaborazione possono consentire risposte più efficaci e prevedere meglio le tecniche future per scoraggiare gli sforzi dei cybercriminali. La priorità, per interrompere gli sforzi della supply chain dei criminali informatici prima che essi tentino di fare lo stesso, dovrebbe rimanere quella di allineare le forze attraverso la collaborazione.