Gli esperti di cyber security prevedono un anno difficile. I ransomware continueranno, ma sono solo la punta dell’iceberg.
Autore: Redazione SecurityOpenLab
Il nuovo scenario sociale da una parte, l’evoluzione del cybercrime dall’altra, fanno da corollario alle previsioni per la cyber security del 2022 snocciolate da Trend Micro durante l’appuntamento annuale con il Security Barcamp. Spetta a Lisa Dolcini, Head of Marketing Italy, tratteggiare un panorama complesso e articolato. La “continua evoluzione dei sistemi interconnessi che permeano la nostra vita ha accelerato la trasformazione digitale con ambienti sempre più articolati ed estesi, che aumentano e ridefiniscono la superficie di attacco a disposizione dei cyber criminali”. Al contempo, ha preso forma una “evoluzione del cybercrime non solo per il maggior numero di attacchi, ma anche per la tipologia delle attività e gli strumenti messi in campo, che affiancano nuove tecniche alle metodologie collaudate”.
La prima parte dello scenario è molto semplice da comprendere perché tutti, in qualche misura, lo stanno vivendo. Gli studenti con la Didattica a Distanza, i lavoratori con il lavoro agile, tutti i privati cittadini con un incremento più o meno accentuato dell’impiego di strumenti online per sopperire ai limiti che il COVID ha imposto alle comunicazioni, alla circolazione, agli acquisti e altro.
I cambiamenti del cybercrime sono invece più difficili da focalizzare, nonostante scatenino azioni che impattano fortemente sulla vita reale. Per descriverli è intervenuto Robert McArdle, Director FTR Cybercrime Research di Trend Micro, che ha messo l’accento sui concetti chiave. Il primo è il ransomware-as-a-service, dove la parola chiave è service. Nel cambio di business model che ha operato il cybercrime i malware sono di fatti diventati un servizio. Anzi, ogni passaggio della catena di attacco è ora disponibile come servizio, dalla produzione del malware al riciclaggio di denaro.
Lo schieramento di tecniche più sofisticate è parte integrante dell’impianto di attacco, che si basa sul presupposto del riscatto. Riuscire a rubare dati di grande valore è fondamentale per disporre di una merce di scambio per la quale la vittima sia disposta a pagare un’estorsione, che sia singola, doppia o tripla. Se questo presupposto fallisce, tutto il business affonda. Ecco perché è necessario affilare continuamente le tecniche e le tattiche che permettono di raggiungere gli asset critici.
Tuttavia, ammonisce McArdle, il ransomware non è l’unica minaccia. Non sono da dimenticare i commodity malware, che sono sempre presenti. L’esempio più lampante è Emotet, che è stato il primo esemplare della categoria ed è tornato per rispondere alla necessità di strumenti versatili. È tornato perché gli affiliati dei gruppi ransomware (e in particolare di Conti) necessitano di un abilitatore delle operazioni ransomware, che spiani cioè la strada alla diffusione del ransomware agendo come mezzo iniziale di infezione e compromissione della rete target.
Sono i due elementi descritti, insieme, a costituire un terreno fertile per una serie di minacce con cui ci si dovrà confrontare nel 2022. Le descrive Gastone Nencini, Country Manager Italy di Trend Micro, in sei punti.
I primi due sono quelli accennati da McArdle: ransomware e malware commodity. Nel primo caso l’obiettivo primario saranno i server, con attacchi mirati perpetrati mediante servizi esposti. I malware commodity invece saranno la spina nel fianco delle PMI, che dovranno vedersela con gli affiliati a servizi RaaS e i piccoli cybercriminali, che manterranno un basso profilo colpendo dispositivi IoT e altri strumenti di uso frequente.
Questo però è solo l’inizio perché mancano quattro punti decisamente problematici. I piatti forti, infatti, saranno le minacce cloud e quelle alle supply chain. Nel primo caso si vedranno i cybercriminali impiegare armi e strategie sia innovative che conservatrici e collaudate per colpire chi sfrutta servizi cloud, e in particolare gli ambient DevOps e le API.
Sul fronte delle supply chain il discorso è invece molto complesso. Nencini ha ribadito un concetto fondamentale ma ancora poco compreso: è imperativo imparare a controllare non solo ciò che accade in casa nostra, ma chi entra in casa nostra. Il Cavallo di Troia oggi è il fornitore di tecnologie o di servizi, una persona di fiducia conosciuta, con cui si lavora da tempo, e che gode dei permessi per interagire in maniera digitale con l’azienda. Le aziende non eseguono controlli su questo tipo di collaboratori, e sbagliano.
Non perché il fornitore non sia degno di stima, ma perché è l’obiettivo perfetto dei cyber criminali che vogliono attaccare l’azienda target, più difficile da “bucare” del piccolo fornitore. I cyber criminali sfrutteranno ogni punto debole della catena, dagli oggetti IoT a ogni anello della supply chain, quindi nulla deve godere di fiducia incondizionata.
Non è un caso che l’altra voce nell’elenco delle Predictions 2022 siano proprio le minacce IoT. Secondo Trend Micro gli attaccanti non si limiteranno più ad assumere il controllo di un gadget IoT. Lo useranno come punto d’ingresso per abilitare ulteriori attività criminali, per spostarsi lateralmente all'interno delle reti e per dare il via alla nuova corsa all'oro, scatenata dai dati delle automobili intelligenti.
Detto questo, non si pensi che riusciremo a liberarci della piaga delle falle zero day. Secondo trend Micro nel 2022 verranno scoperte in-the-wild ancora più vulnerabilità zero-day. La finestra disponibile per trasformare una vulnerabilità in un'arma verrà ridotta a pochi giorni, se non addirittura a qualche ora, e gli exploit saranno scritti per bug corretti in fase beta, prima che le relative patch possano essere rilasciate ai clienti. Un segmento di cybercriminali sarà spesato per tenere d'occhio le aziende e anticipare il rilascio di patch.