È passato il tempo in cui i
malware zero day erano una rarità. Secondo una ricerca di WatchGuard
il 74% delle minacce rilevate nel primo trimestre del 2021 erano malware zero day, o comunque non rilevabili con antivirus basati su firme. Complice è anche la sempre maggiore popolarità degli
attacchi fileless. Il report mette poi l'accento sull'aumento degli attacchi di rete, e della sempre più frequente pratica di riutilizzare i vecchi exploit.
Partiamo proprio con gli attacchi fileless. Sta esplodendo la
popolarità di XML.JSLoader, un payload dannoso che è apparso per la prima volta fra i malware più diffusi. È stata anche la variante rilevata più spesso tramite ispezione HTTPS nel periodo in esame. Tipicamente viene utilizzato un attacco XML (XXE) che apre una shell per eseguire comandi non visibili all'utente legittimo.
Un altro modo per ingannare le soluzioni antimalware è quella di usare un
nome file legittimo esistente. L'esempio pratico è quello del loader Zmutzy quasi sempre associato al ransomware Nibiru. Le vittime ricevono la solita email di phishing con allegato un file compresso. L'esecuzione del file zip scarica un PDF che sembra legittimo, in realtà non lo è.
L'invettiva dei cyber criminali non si esaurisce in un paio di trucchetti. Per bersagliare i
dispositivi IoT è stata approntata una variante di Linux.Ngioweb.B che trasforma i dispositivi IoT in una botnet con server di comando e controllo a rotazione per evitarne l'identificazione.
Sfruttando questi e altri strumenti, complessivamente nel primo trimetre 2021 sono stati rilevati
oltre 4 milioni di attacchi di rete, con un aumento del 21% rispetto al trimestre precedente. I server e le risorse aziendali on premise sono ancora obiettivi di alto valore nonostante la diffusione del lavoro remoto e ibrido.
La strategia di difesa ritenuta al momento più efficace vede l'impiego di corsi di
formazione per educare gli utenti di tutti i livelli a individuare le potenziali minacce e non abboccare alle email di phishing. L'implementazione di una strategia di sicurezza proattiva e a più livelli che coinvolga l'apprendimento automatico e l'analisi comportamentale per rilevare e bloccare minacce nuove e avanzate.