FireEye è un vero e proprio occhio critico quando si tratta di cyber attacks. Per il 2018, i riflettori sono puntati sui malware utilizzati per rubare credenziali. È stato infatti osservato un utilizzo continuativo di questa tipologia di malware, da parte di cyber criminali e altri attaccanti, diffuso tramite allegato nelle email di phishing o distribuito con kit di exploit. Al contrario, dalle analisi FireEye è emerso che il ransomware, pur rimanendo una minaccia concreta, è in continua diminuzione. Una tendenza, questa, iniziata alla fine del 2017 che si è dimostrata costante.
Jens Monrad, Principal Intelligence Analyst di FireEye
Analizzando la Dynamic Threat Intelligence (DTI) di FireEye, che include i dati raccolti tramite le appliance email e di rete, per il periodo 1 gennaio 2018 – 31 dicembre 2018, si nota che quasi il 50% di tutte le minacce rilevate in Europa rientra nella categoria dei malware per il furto di credenziali.
Il malware per il furto di credenziali è un problema globale ma è soprattutto negli stati membri dell’Unione Europea in cui prestare particolare attenzione per il 2019.
Uno dei motivi è la continua attenzione dell’UE alla digitalizzazione attraverso iniziative che vanno dalla garanzia di una connettività ad alta velocità, alle modalità con cui i cittadini interagiscono con i governi, fino alla possibilità per le aziende e i cittadini UE di concludere transazioni di business online. Ovviamente, aumentare la connettività significa purtroppo anche ampliare la superficie delle minacce informatiche. Cosa ancora più critica, la continua espansione all’interno dei servizi pubblici digitali potrebbe essere potenzialmente un’area di interesse quando si tratta di rubare credenziali e potenziali informazioni sensibili disponibili su portali web governativi.
In passato, il malware per il furto di credenziali era rivolto essenzialmente al settore dei servizi finanziari. L’aumento registrato nel 2018, potrebbe tuttavia far pensare ad uno scenario in cui le credenziali per l’accesso ai sistemi centrali dell’UE saranno implementate nei futuri file di configurazione del malware. Nel corso del 2018 FireEye ha osservato una serie di cyber criminali che hanno messo in vendita non solo grandi volumi di credenziali rubate, ma anche il presunto accesso diretto all’infrastruttura aziendale. Inoltre, famiglie di malware note per essere utilizzate per il furto di credenziali, hanno ampliato il loro target includendo i principali rivenditori online, siti di gioco d’azzardo e altri siti non appartenenti al mondo dei servizi finanziari.
È anche facilmente intuibile che, dal punto di vista della minaccia di spionaggio informatico, potrebbe avere più senso per un attaccante acquistare il presunto accesso alle credenziali rubate o all’infrastruttura, by-passando le fasi iniziali di intrusione.
Jens Monrad, Principal Intelligence Analyst di FireEye
Nel nostro M-Trends Report 2018, abbiamo affrontato, tra gli altri, il tema della mancanza dei presupposti di sicurezza di base, il che rende la gestione dell’identità e degli accessi una sfida molto difficile per molte organizzazioni. Il fatto che molte aziende debbano ancora implementare l’autenticazione multi-fattore non farà altro che facilitare la raccolta delle credenziali da parte degli attaccanti.
In conclusione, mentre altre categorie di malware, come i ransomware, occupano la maggior parte dei titoli di giornale, stando alle ricerche di FireEye, una minaccia che sta prendendo sempre più piede e di cui le organizzazioni e i governi devono essere maggiormente consapevoli, è quella rappresentata dal malware per il furto di credenziali. Pur essendo una minaccia globale, essa è particolarmente problematica in Europa, soprattutto se si considerano le strategie accelerate di digitalizzazione. Le organizzazioni dell’Unione Europea non possono trascurare il valore delle credenziali presenti nel cyber spazio e devono assicurarsi di tenere sempre conto dei rischi che possono derivare da un furto di credenziali.