Autore: Redazione SecurityOpenLab
Il panorama delle minacce informatiche continua ad evolversi, diventando ogni anno più pericoloso. I cybercriminali sviluppano nuovi malware, tecniche e metodi per attaccare aziende e utenti finali e il numero delle vulnerabilità rilevate e sfruttate ogni anno aumenta. Nel 2023 i sistemi di Kaspersky hanno, infatti, rilevato quasi 125 milioni di file malevoli, in media 411.000 al giorno in aumento del 3% rispetto all’anno precedente. Grazie all’utilizzo di strumenti e tecniche complesse, le Advanced Persistent Threats (APT) si confermano le minacce più pericolose, altamente mirate e difficili da rilevare. In un contesto di crisi globale e di escalation degli scontri geopolitici, questi attacchi sono ancora più pericolosi. Il prossimo anno gli autori di APT introdurranno nuovi exploit su dispositivi smart, mobile e wearable per creare botnet e perfezioneranno i metodi di attacco alla supply chain. Inoltre, la maggiore disponibilità di strumenti di IA non è sfuggita all’attenzione dei cyber criminali più esperti, che li sfrutteranno per uno spear phishing più efficace.
L'anno scorso abbiamo scoperto" Operation Triangulation", un’importante campagna di spionaggio contro i dispositivi iOS, compresi quelli dei nostri colleghi. Durante l'indagine, il nostro team ha identificato cinque vulnerabilità in iOS, tra cui quattro zero-days, che oltre a smartphone e tablet si estendevano a computer portatili, dispositivi wearable e gadget per la smart home. In futuro, assisteremo ad altri casi isolati di attacchi avanzati per sfruttare i dispositivi destinati agli utenti finali e la tecnologia domestica intelligente. Inoltre, i device iOS non saranno gli unici bersagli: i criminali potrebbero estendere gli sforzi di sorveglianza ad altri dispositivi, come le telecamere installate nelle case smart o i sistemi delle auto connesse, facili da colpire grazie a falle, configurazioni errate o software obsoleti attraverso metodi “silenziosi” di consegna degli exploit. La protezione dei dispositivi personali e aziendali è sempre più importante. Le piattaforme XDR, SIEM e MDM, oltre ai tradizionali prodotti antivirus, consentono la raccolta centralizzata dei dati, accelerano l'analisi e mettono in relazione gli eventi di sicurezza provenienti da diverse fonti, facilitando una risposta rapida agli incidenti complessi.
A fronte delle crescenti tensioni geopolitiche, gli attacchi informatici promossi da uno Stato potrebbero aumentare così come il coinvolgimento degli hacktivisti. Il pericolo degli attacchi State-sponsored non si limiterà a infrastrutture critiche, governi o società di difesa, ma potrebbe colpire anche il settore dei media a scopo di contropropaganda o disinformazione. Gli hacker si concentreranno principalmente su furto di dati, distruzione delle infrastrutture IT e cyber-spionaggio, non criptando solo i dati ma distruggendoli, una minaccia significativa per le aziende vulnerabili agli attacchi di matrice politica. Gli hacktivisti, invece, possono influenzare la sicurezza IT effettuando veri e propri attacchi informatici, tra cui attacchi DDoS, furto o distruzione di dati, defacement di siti web. Oppure possono rivendicare attacchi non commessi con conseguenti indagini non necessarie e maggior affaticamento per gli analisti SOC e i ricercatori di cybersecurity, come nel recente caso di attacco alla centrale elettrica privata israeliana Dorad a inizio di ottobre durante il conflitto tra Israele e Hamas.
Raggiungere i propri obiettivi attraverso fornitori, integratori o sviluppatori è una tendenza sempre più diffusa e le PMI, spesso prive di protezioni contro gli attacchi APT, stanno diventando dei gateway che consentono agli hacker di accedere a dati e infrastrutture dei principali operatori, i loro obiettivi finali. Nel 2024 questi attacchi raggiungeranno un nuovo livello: il noto software open-source potrebbe colpire specifici sviluppatori aziendali e il, cosiddetto shadow market, introdurre nuove offerte, tra cui pacchetti di accesso rivolti a vari fornitori di software e di servizi IT. Di conseguenza, coloro che sono interessati a orchestrare attacchi alla supply chain, grazie all'accesso a un ampio bacino di potenziali vittime, possono selezionare con cura gli obiettivi per attacchi su larga scala.
Chatbot e strumenti di Gen AI sono ampiamente diffusi e accessibili, la tendenza non è passata inosservata ai criminali che stanno sviluppando chatbot black-hat basati su soluzioni legittime, come ad esempio WormGPT, basato sul modello linguistico open-source GPTJ e progettato per uso malevolo. L'emergere di questi strumenti semplificherà la creazione di messaggi di spear-phishing, che rappresentano spesso la fase iniziale negli attacchi APT e di altro tipo. Oltre a creare rapidamente messaggi persuasivi e ben scritti, permette di generare documenti per impersonare e imitare lo stile di persone specifiche, come un partner commerciale o un collega della vittima. Il prossimo anno gli aggressori svilupperanno nuovi metodi per automatizzare lo spionaggio. Ciò può includere la raccolta automatica di dati online della vittima, come post sui social, commenti sui media o rubriche scritte, che saranno elaborati con strumenti generativi per creare vari messaggi di testo o audio nello stile e nella voce dell'individuo specifico.
In uno scenario sempre più complesso la consapevolezza della cybersicurezza e l’implementazione di misure preventive, tra cui l'intelligence avanzata sulle minacce e il monitoraggio in grado di anticipare gli ultimi sviluppi, sono l’unica via per respingere in modo efficace gli attacchi informatici.