Con la consueta sintesi e attenzione per i dettagli, Giampaolo Dedola, Security Researcher GReAT di Kaspersky Lab, ci ha introdotto allo scenario attuale delle minacce online. Ad oggi, le soluzioni di protezione Kaspersky hanno bloccato oltre 1,2 mld di attacchi, riconosciuto circa 200 mln di URL malevole e più di 1,1 mln di tentativi di furto di danaro online.
Si tratta di numeri online e in continuo aumento ma, nonostante un trend in crescita, qualcosa sta cambiando nel modo di operare degli attaccanti. Meccanismi di infezione e di furto di dati bancari continuano a essere tra i più utilizzati anche se in sensibile diminuzione, così come i pericolosi ransomware. Si passa infatti dai 1,5 mln di utenti colpiti nel 2016 ai 950mila del 2017.
Gli attaccanti risultano inoltre meno propensi a sviluppare nuove famiglie ransomware, un particolare che potrebbe portare a pensare a una specializzazione di alcuni gruppi hacker e alla preparazione di nuovi tipi di minacce. Non di meno, il fenomeno ransomware continua a preoccupare tutte le realtà professionali, le aziende e anche i privati. Il nostro Paese è stato il secondo più colpito dopo il Giappone, nel 2017, da noi il principale attore è stato Cerber, diffuso con grande frequenza via email, tramite bollette e notifiche fasulle.
Come precisa Dedola, gli attaccanti si stanno maggiormente concentrando sul “nuovo” fenomeno dei miners; c’è interesse per le criptovalute, un particolare che sta portando al radicale cambiamento degli schemi di attacco e monetizzazione. La piattaforma di mining non rappresenta di per sé un vero problema, dato che si occupa di effettuare calcoli per il mantenimento della blockchain e consente di sviluppare attività che sono poi premiate con criptovalute.
Tuttavia, gli hacker distribuiscono miners su sistemi terzi, client, server, datacenter, per sfruttarne illecitamente le risorse e generando numerosi problemi in termini di qualità dei servizi offerti ai clienti primari delle piattaforme, un elevato consumo energetico e possibili guasti o difetti dei device e delle reti interessate. Oltre a un rallentamento delle piattaforme, si rischiano seri danni ai dispositivi che non sono pensati per operare costantemente al massimo delle potenzialità (device IoT o smartphone, per esempio). Hacker e gruppi di attacco rilasciano i miners utilizzando le consuete formule di diffusione malware, sfruttando script, eseguibili, spesso in javascript, perciò interpretabili dai comuni web browser. Si passa dalla compromissione di siti e banner, ma anche per l’adozione dei widget dei portali web, componenti sempre attivi che contribuiscono a diffondere la minacci anche se l’utente finale non interagisce direttamente.
Tutte queste attività sono state rilevate dagli esperti ed effettuate tramite attacchi diretti anche ai più comuni CMS, come WordPress o Joomla. Una volta distribuiti i miner (tramite botnet, trojan, worm o anche software legittimi) i cybercriminali potranno dunque generare criptovaluta utilizzando le risorse del sistema infetto, per poi convertire queste attività in soldi. Secondo Kaspersky questo è uno dei nuovi fronti di attacco e costituisce un serio pericolo per la produttività aziendale. Specifiche attività APT sono state rilevate per infettare i sistemi interni alle reti clienti, dai client ai server.
