Fortinet analizza il fenomeno dei malware e il pericolo che rappresentano sia per i device che per l’intero network aziendale, proponendo alcune valide contromisure. Chi opera nel settore della sicurezza utilizza strumenti open source per analizzare gli exploit, effettuare test per la difesa e sfruttare esempi concreti, contestualizzandoli in scenari creati a scopo formativo.
Tool che consentono inoltre agli esperti di monitorare nel tempo i comportamenti del malware e dei cybercriminali, offrendo insight su come identificare gli sviluppatori di malware e prevedendo quali saranno le caratteristiche dei malware di prossima generazione e le possibili strategie di attacco. Tuttavia, anche gli hacker hanno accesso a i siti web consultati dai ricercatori, e stanno sempre più puntando lo sguardo su strumenti malware open source, da utilizzare per le loro attività criminali.
Anthony Giandomenico di Fortinet
I cybercriminali che sviluppano i tool da utilizzare sono guidati dagli stessi modelli economici di ROI del loro target. Perché quindi costruire un attacco da zero quando qualcun altro ha già fatto gran parte del lavoro per te?
I tool open source per la sicurezza informatica e per la prevenzione dei malware possono essere trasformati facilmente in nuovi attacchi.. Ironia della sorte, dopo che gli sviluppatori della botnet IoT Mirai hanno rilasciato il codice sorgente, diversi siti l’hanno pubblicato online. Ora, a più di due anni dalla sua uscita, continuano a esserne rilevate nuove varianti.
Il modus operandi dei cybercriminali professionisti
Gli hacker più esperti sono in grado di combinare il codice open source con uno strumento per l’evasione come Veil-Framework, anch’esso open source, per riconfezionare il codice con l’obiettivo di provare a bypassare l’anti-malware. Ovviamente, la capacità di chi sta effettuando l’attacco informatico di accedere facilmente a questo codice malevolo può dare un vantaggio nella modifica e nel test delle nuove versioni con funzionalità aggiuntive.
Sfortunatamente, mentre trasformare in armi alcuni di questi strumenti open source richiede un certo livello di sofisticatezza da parte degli sviluppatori, è possibile cambiare con facilità le finalità di molti dei tool malware disponibili gratuitamente. Se un “newbie” vuole cominciare a operare nell’ambito del cybercrime e, per esempio, tiene in ostaggio alcuni computer infettati da ransomware per chiedere un riscatto, non avrà difficoltà a sfruttare uno dei molti ransomware proof-of-concept facendo alcuni semplici aggiornamenti, come cambiare l’indirizzo del wallet a cui inviare i pagamenti, e così sarà pronto per iniziare l’attacco.
Le contromisure
Gli strumenti open source sono spesso il risultato di una ricerca avanzata da parte dei migliori professionisti della sicurezza. Proprio per questa caratteristica, forniscono ai cybercrimininali nuovi target da raggiungere; in questo modo sarà meno probabile che le loro vittime dispongano di adeguate misure di sicurezza.
Per affrontare in modo adeguato la sfida, le imprese devono implementare specifiche contromisure:
– segmentazione per prevenire i movimenti laterali attraverso il network;
– analisi comportamentale per rilevare anche i minimi cambiamenti nel traffico;
– automazione per migliorare il rilevamento delle minacce e la risposta;
– threat intelligence in real time per prendere decisioni critiche in tempo reale;
– automazione e machine learning per le attività più dispendiose in termini di tempo;
– protezione avanzata dalle minacce;
– soluzioni per la sicurezza pienamente integrate per condividere informazioni e rispondere alla threat intelligence come un sistema unico;
– implementando un Security Fabric integrato che copre i network estesi, i team dell’IT security possono anticipare la curva delle minacce informatiche per rilevare e rispondere al meglio agli attacchi.
