Autore: Redazione SecurityOpenLab
L'autenticazione e la gestione dell'accesso all'identità saranno oggetto di attacchi più frequenti. Molti aggressori hanno già iniziato a rubare o a bypassare i token di autenticazione a più fattori. In altre situazioni, sovraccaricare gli obiettivi di richieste - ad esempio negli attacchi all’autenticazione a più fattori - può portare ad accessi riusciti senza la necessità di una reale vulnerabilità. I recenti attacchi contro Okta e Twilio hanno dimostrato che anche questi servizi esterni vengono violati. Tutto ciò, naturalmente, si aggiunge ai problemi di password deboli e riutilizzate, situazioni ancora ricorrenti negli ultimi anni. Per questo è ancora più importante capire come funziona l'autenticazione e come i dati sono accessibili e a chi.
La minaccia del ransomware è ancora forte e in continua evoluzione. Se da un lato si assiste a uno spostamento verso una maggiore esfiltrazione dei dati, gli attori principali continuano a rendere sempre più professionali le loro operazioni. La maggior parte dei grandi cybercriminali si è estesa anche a MacOS e Linux e sta guardando anche all'ambiente cloud. Nuovi linguaggi di programmazione come Go e Rust stanno diventando sempre più comuni e richiedono un adeguamento degli strumenti di analisi.
Il numero di attacchi continuerà a crescere perché sono ancora redditizi, soprattutto quando l'assicurazione informatica copre parte dell'impatto. Gli aggressori si concentreranno sempre più sulla disinstallazione degli strumenti di sicurezza, sull'eliminazione dei backup e sulla disattivazione dei piani di ripristino di emergenza, ove possibile. Le tecniche di Living off the Land svolgeranno un ruolo importante in questo senso. Si tratta di un attacco informatico in cui gli intrusi utilizzano software e funzioni legittimi disponibili nel sistema per eseguire azioni dannose su di esso.
I malware che rubano le informazioni, come Racoon e Redline, stanno diventando la norma per le cyber infezioni. I dati rubati spesso includono le credenziali, che vengono poi vendute per ulteriori attacchi tramite i broker di accesso. Il numero crescente di dati, unito alla complessità dei servizi cloud interconnessi, renderà più difficile per le organizzazioni tenere traccia delle proprie informazioni. L'obbligo di accesso ai dati da parte di più soggetti rende più difficile mantenerli crittografati e protetti. Una chiave di accesso API trapelata, ad esempio su GitHub o sull'app mobile, può essere sufficiente per rubare tutti i dati. Questo porterà a progressi nell'informatica rispettosa della privacy.
Le email sospette e gli attacchi di phishing continuano a colpire milioni di utenti. Gli aggressori continueranno a cercare di automatizzare e personalizzare gli attacchi utilizzando dati precedentemente trapelati. Le truffe derivanti dalle minacce Business Email Compromise (BEC), si diffonderanno sempre più ad altri servizi di messaggistica come SMS, Slack, Teams chat, ecc. per evitare il filtraggio e il rilevamento. Il phishing, invece, continuerà a utilizzare i proxy per catturare i token di sessione e rubare quelli dell’autenticazione a più fattori, oltre a utilizzare diversivi come i codici QR per nascondersi ulteriormente.
Non sembra essere vicina la fine degli attacchi agli scambi di criptovalute e ai contratti sulle varie blockchain. Persino i cybercriminali degli Stati Nazionali stanno cercando di rubare centinaia di milioni in valute digitali. Continuano gli attacchi più sofisticati agli smart contract, alle monete algoritmiche e alle soluzioni della finanza decentralizzata, oltre ai classici attacchi di phishing e malware.
I fornitori di servizi vengono sempre più spesso attaccati, vedendo compromesse le loro prestazioni. Gli aggressori abusano poi degli strumenti installati, come PSA, RMM o altri tools di distribuzione, per operare su quel terreno. Non si tratta solo di fornitori di servizi IT gestiti, ma anche di società di consulenza, organizzazioni di supporto di primo livello e partner collegati in modo simile. Questi insider esterni sono spesso considerati come l'anello più debole di un'organizzazione bersaglio, senza che gli attacchi alla catena di fornitura del software siano stati accuratamente elaborati.
Ci saranno più attacchi attraverso il browser, condotti dall'interno delle sessioni. Le dannose estensioni del browser scambiano gli indirizzi delle transazioni o rubano le password in background. Si registra anche una tendenza a dirottare il codice sorgente di tali strumenti e ad aggiungere le backdoor attraverso il repository GitHub.
Dall'altro lato, i siti web continueranno a tracciare gli utenti con JavaScript e a condividere con i servizi di marketing gli Id di sessione attraverso i protocolli HTTP. Gli aggressori amplieranno le tecniche di Formjacking/Magecart, in cui piccoli snippet aggiunti rubano tutte le informazioni in background del sito web originale. Con l'aumento del serverless computing - che consente agli sviluppatori di creare ed eseguire applicazioni senza gestire i server - l'analisi di questi attacchi può diventare più complicata.
Si è già verificato un enorme spostamento di dati, processi e infrastrutture verso il cloud. Questa tendenza continuerà con una maggiore automazione tra i diversi servizi. Molti dispositivi IoT faranno parte di questo grande cloud iperconnesso di servizi. Ciò comporterà l'accesso a molte interfacce di programmazione e quindi un aumento degli attacchi nei loro confronti. A causa dell’automazione, questo può scatenare attacchi su larga scala.
Gli hacker hanno sempre nuove idee su come modificare i processi aziendali a proprio vantaggio e profitto. Ad esempio, cambiando i dettagli del conto bancario nel modello del sistema di fatturazione di un'organizzazione o aggiungendo il proprio cloud con il contenitore dei dati come destinazione di backup per il server di posta elettronica. Questi attacchi spesso non comportano l'uso di malware e richiedono un'attenta analisi del comportamento degli utenti, proprio come il crescente numero di attacchi insider.
I processi dell’Intelligenza Artificiale e del Machine Learning saranno utilizzati da aziende di ogni dimensione e settore. I progressi nella creazione di dati sintetici alimenteranno ulteriormente alcune frodi di identità e campagne di disinformazione che utilizzano contenuti falsificati. Una tendenza più preoccupante sarà quella degli attacchi contro gli stessi modelli di IA e ML. I cybercriminali cercheranno di sfruttare i punti deboli del modello, di impiantare di proposito distorsioni nei set di dati o di utilizzare semplicemente i comandi per inondare le operazioni IT di avvisi.