La diffusione della crittografia rafforza la protezione della privacy, ma per contro apre le porte a minacce più sofisticate e difficili da individuare. È uno dei dati chiave che emergono dal report Zscaler ThreatLabz 2024 Encrypted Attacks basato sull'analisi di oltre 500 miliardi di transazioni e 500 trilioni di segnali giornalieri elaborati dalla piattaforma Zscaler Zero Trust Exchange nel periodo compreso fra ottobre 2023 e settembre 2024.

Il polso della situazione è preso da due dati di base: il primo è che ormai il 99% del traffico Chrome è ora crittografato con HTTPS, con Mac e Windows che seguono a ruota. Il secondo è che nel periodo in esame Zscaler ha bloccato 32,1 miliardi di attacchi incorporati nel traffico crittografato con TLS/SSL, pari all'87,2% di tutte le minacce rilevate. Altrimenti detto: i cyber criminali stanno sfruttando la crittografia per aggirare le misure di sicurezza.

Minacce e obiettivi

Il malware crittografato, che include contenuti web dannosi, payload di malware e malware basato su macro, si è affermato come la principale minaccia, tanto che da solo rappresenta l'86,5% di tutti gli attacchi bloccati, pari a 27,8 miliardi di incidenti. Tra le famiglie di malware più diffuse spiccano AsyncRAT, ChromeLoader e Atomic Stealer.

Seguono i siti di AD spyware (2,9 miliardi) e il phishing (921 milioni). Gli attacchi di phishing tramite canali crittografati sono aumentati del 34,1%, alimentati dal crescente uso di strumenti di GenAI e dalla crescente disponibilità di kit di phishing-as-a-service che includono certificati TLS nelle loro offerte. Tra le tecniche più preoccupanti adottate dagli attaccanti emerge il phishing adversary-in-the-middle (AiTM), in grado di replicare i siti affidabili con un'impressionante precisione. Gli attaccanti utilizzano strumenti avanzati e la crittografia TLS/SSL per creare campagne di phishing praticamente invisibili, riuscendo a intercettare e inoltrare credenziali o token di sessione in tempo reale.

Ad avvantaggiarsi del traffico crittografato sono anche attività illecite quali il cryptomining e il cryptojacking basati sul web, che hanno registrare un'impennata del 122,9% su base annua, trainati principalmente da CoinIMP, Kryptex e XMRig. Si tratta di un trend preoccupante legato all'aumento del valore delle criptovalute.

Gli Stati Uniti e l'India sono i principali bersagli degli attacchi crittografati, seguiti da Francia, Regno Unito e Australia nella top five.L'escalation delle minacce crittografate riguarda tutti i settori, ma alcuni sono più colpiti di altri. L'industria manifatturiera rimane il bersaglio principale, con i settori del commercio al dettaglio e all'ingrosso e dell'istruzione che registrano i maggiori aumenti di attacchi crittografati rispetto all'anno scorso, rispettivamente del 232,3% e del 28,7% su base annua. Gli aggressori prendono di mira questi settori per via dell'elevato volume di dati sensibili che gestiscono.

Una buona notizia è che il report evidenzia anche una diminuzione del 59,3% delle botnet crittografate, dovuta a un'attività di comando e controllo più furtiva che indica un passaggio verso approcci più nascosti all'interno dei canali crittografati. Gli attacchi crittografati tramite domini registrati di recente (NRD) sono aumentati del 414,9% su base annua: rappresentano tutt’ora una quota minore di attacchi crittografati rispetto ad altre categorie di minacce, ma l’impennata è una chiara indicazione della tendenza alla rotazione di domini usa e getta nel traffico crittografato, che complica ulteriormente l’attività di difesa.

Altra tendenza in crescita è la fuga di dati tramite HTTPS, in cui gli attaccanti sfruttano i canali crittografati per sottrarre dati sensibili dai sistemi. Il report cita esempi di malware come Blank Grabber, VIPKeylogger e LummaC2, che utilizzano la crittografia HTTPS per eludere i controlli di sicurezza e trasferire i dati rubati.

Chiudiamo con una nota sugli APT: Zscaler ha rilevato un aumento significativo dell'abuso dei servizi cloud da parte dei gruppi APT, che sfruttano piattaforme come GitHub e Dropbox per condurre le proprie attività dannose, nascondendosi nel traffico legittimo e sfruttando la crittografia TLS/SSL. In particolare, i gruppi APT russi tendono a riutilizzare le stesse piattaforme di servizi cloud, mentre i gruppi nordcoreani come APT37 mostrano una persistenza nell'abuso degli stessi servizi per distribuire il malware ROKRAT. In ultimo, i gruppi APT iraniani, come MuddyWater, utilizzano OneHub per distribuire strumenti di monitoraggio remoto (RMM) da oltre due anni.

Tendenze e mitigazione

Tra le tendenze future, il report prevede un ruolo crescente dell'intelligenza artificiale e dell'automazione negli attacchi crittografati. Gli attaccanti sfrutteranno l'AI per creare e-mail di spear phishing realistiche, contenuti dannosi e nuove minacce che abusano dei canali TLS/SSL. La crescente attenzione alla crittografia post-quantistica porterà gli attaccanti ad archiviare le comunicazioni crittografate con l’intenzione di decifrarle in futuro.

Il report conclude con una serie di best practice per prevenire le minacce crittografate: adottare un'architettura Zero Trust per proteggere l'accesso alle risorse; ispezionare il 100% del traffico, incluso quello crittografato, per identificare e bloccare le minacce nascoste; implementare la microsegmentazione delle reti; utilizzare una sandbox basata su cloud per isolare e mettere in quarantena gli attacchi sconosciuti, infine monitorare attentamente i servizi cloud per individuare eventuali abusi.